SI企業のAさんからメールが来た。
SI企業A氏:お久しぶりです。前回から1年以上経ってしまいましたが,ようやくサービス開始にこぎ着けました。「情報セキュリティ管理包括支援サービス」と「運用改善ソリューション群(ITアウトソーシングとコンサルティングのセット提供)」の2テーマが中心です。某外資系ファームとの戦いも,ほぼ勝ちと言える状況になってきました。
Aさんは運用管理や内部統制を得意とするワーカホリックなコンサルタント。数年前にユーザー企業を飛び出して今の会社に移り,新しいサービス事業の開発に取り組んでいる。ユーザー企業時代に面識を得てから,時々雑談に付き合ってもらっている。
私にはもう1人,Bさんという雑談仲間がいる。大手製造業のIT企画部門にいて,製造業務とITの両方に明るく,IT戦略の立案に携わっている。売る立場のAさんと買う立場のBさんが損得なしに展開するディスカッションは,現場経験のない私にはとても勉強になるし,何より面白いので混ぜてもらっている(ちなみに,Aさんの勤務先とBさんの勤務先との間に取引関係はありません)。
今回もすぐにBさんから返信があり,活発なやり取りが始まった。このやり取りが面白かったので,本人たちの了解を得て,以下,座談会風にまとめて紹介する。
「嫌なこと」の近くに商売のタネ
ユーザーB氏:ご連絡ありがとうございました。「情報セキュリティ包括支援サービス」は期待ですね。「嫌なこと」は商売になりますから。ISMS(Information Security Management System)のエビデンス(証拠)を取るとか,既存の社内規程とISMSの適用宣言書の文書を統合するとか,事務局の雑用を助けるとか,リモートで事務局代行するとか…。
SI企業A氏:昔から「嫌なこと」の近くには商売のタネがころがっていますね(笑)。実際には,まだISMSの取得まで行かないお客様が多いので,社内規定と情報セキュリティ関連の文書を統合して,その中から「現段階で最低限守るべきこと」を抽出し,キャンペーン的に社内で啓蒙活動をするといった流れが人気です。
IT部門の「兼任」セキュリティ担当が営業に「このツール入れたいんだけど,予算が厳しいんだよね」などと言って情報収集するところから話が始まるパターンが多いです。でも,予算が取れないってことは,ツールを入れても何をやるかが明確になっていないことが多いんですよね。
結局,ISMSで言うCIA(Confidentiality:機密性,Integrity:完全性,Availability:可用性)で現状を評価するだけでは不十分なんです。日常業務の効率や,セキュリティ強化のための活動そのものの経済性も考えて,目的や具体目標を設定するところまでやらないと。
ここがまさに「嫌なこと」。ここをスキップして,一見もっともらしく見える導入効果をうたうツールでお茶を濁そうとするセキュリティ担当者が多い。でもそれじゃ予算は取れないですよ。私が経営者だったらそんな予算請求は即刻却下ですね(笑)。
この話にはもう一つポイントがありまして,どこまでアウトソースすると「ベンダーとユーザー双方にとって具合がよいか」という線引きの最適化です。これに関して私は個人的にご存じの「小僧モデル」(笑)を提唱しています。
佐竹:「小僧モデル」って,責任者はあくまでもユーザーの社員で,ベンダー側はその下に小回りの利く実働部隊を提供する,という分業方式でしたよね。メンツや建前に縛られることなく身軽に動ける人,という意味の「小僧」ですね。
「身内が嫌がる仕事を引き受ける」のはしんどいけど,プロとして他人のお困りごとを解決してあげるのなら,キャリア上もメリットがあるしOK,という話はIT業界以外でも結構ありますしね。
SI企業A氏:身内の世話が仕事になるというのは,特にIT系の仕事では本来あるべき姿かも知れません。私も,周りの心配をしていて気付いたら情報セキュリティも専門になっていた感じですから,本当に。
