大企業や一部の先端的な中小企業を除くと,IT活用のためのインフラ整備や,これに伴う「セキュリティの確保」のための十分な支出,投資が行われているとは,とても言い難い。特に,セキュリティ対策への投資は消極的だ。

 出口の見えない未曾有の不況下で,直接的に利益を生み出さないセキュリティ対策は軽視されがちだ。また,「経営者や上司を納得させてくれる提案」をする社外のSI業者やサービス・ベンダも少ない。

 このような状況下においては,現場の技術者が従来のように受動的に「いわれるがままに」予算を立てたり,導入計画を立てているだけでは,事態の改善はあり得ない。積極的に経営者や上司に対して働きかける現場の技術者が必要であり,そのためには説得力のあるプレゼン資料としての提案書が必要なのだ。

 ここは一つ,現場の技術者は営業になったつもりで“いいだしっぺ”になり,経営者や上司に訴えかける必要がある。本来,現場の技術者にはこれらの能力は必須ではない。このため,苦手な場合が多いが,少しの配慮でこれは改善できる。

 本稿では,配慮すべきポイントを押さえたうえで,いかに説得力のあるセキュリティ提案書を作成するかについて説明していく。

基本の心得について

 まず,各論に入る前に,提案する立場に立ったときに守らなければならない基本的な心得について触れておく。

「べき」論は慎む

 まず,「べき」「当たり前」という言葉は禁物だ。現場の技術者,それも専門的な知識が豊富な技術者であればあるほど,「セキュリティに投資すべき」「セキュリティが整備されているのが当たり前」という前提で提案する傾向がある。確かに,一般論,理想論としては正統な主張だが,このアプローチが成功することは稀である。なぜなら,判断するのは経営判断する立場にある経営者や,上司だからだ。

 現場が「べき」論を展開したとき,彼らは「是認する」か「拒否する」かしかできなくなってしまう。必要なのは,彼らが判断し,選択することである。これは「本当にどんな病気でも治ってしまう魔法のような薬」だったとしても,街ゆく人に「買うべき」「買って当たり前」と一方的に押しつける行為がどれほど異常かを考えてみれば火をみるよりも明らかだ。提案は,判断する材料を提供し,判断を仰ぐものでなければならない。

「魔法の言葉」は使わない

 IT業界は毎年,沢山の新語を輩出し,新しい概念が導入される業界である。これはセキュリティに関しても例外ではない。「セキュリティ・ポリシー」などといった用語も決して一般化され,誰でも知っているという類の用語ではない。

 このような,業界に特有な用語や新しい概念を前提とする用語が散りばめられた提案を格好のよい,体裁のよいものであると誤解している技術者が多い。しかし,このような提案が十分理解されることはない。提案は,誰にでもわかるような平易な用語や概念を使用するように心がけなければならない。理解してもらうことが最も重要であり,提案は相手が理解できる言葉と概念で,相手のレベルや立場に立って行わなければならない。

経営者は選択と リスク判断のプロ

 経営判断する立場の経営者や上司は,「選択」と「リスク判断」のプロである。彼らは経営上必要な多くの選択と判断を,会社にとってプラスになるように(少なくともマイナスにならないように)日々行いながら,会社経営を行っている。そうでなければ,会社はとうに潰れているはずである。

 これはセキュリティについても言えることである。現場の技術者から見て,マイナスであるとしか思えないような選択と判断を行っていたとすれば,まずは,判断するに十分な材料を自分が提供できていないことを疑うべきだ。もしくは,期間的な視野が異なっているか,資金繰りの問題など現場が知らない経営上の事情があることを考慮すべきである。

 会社を長期的立場で経営しなければならない経営者の視点や優先順位の付け方は,現場を守る技術者のそれとは異なるのだと理解する必要がある。

三つの選択肢を用意する

 このような心得を踏まえたうえで,説得力のある提案を作成する場合の基本的な戦略について考えてみよう。

 解決策というものは,通常一つということはない。また,経営者や上司が正しく判断するためには,彼らにとって現実的な解が複数あり,それらが比較できなければならない。唯一の解決策というのは,彼らを不安にさせてしまう。

 特に100%の解が現実的にあり得ないセキュリティに関する問題の場合,絶対的な価値で判断できなくても,相対的な比較による価値の評価で判断・選択できるようにしなければならない。このため,最低でも二つの選択肢が必要である。実際には,現実的な三つの選択肢を作るようにしたい。

 逆に四つ以上の選択肢を作ると,理解や比較が極度に難しくなることが多い。「現実的」と断ったのは,「架空」の選択肢では最初から相手にしてもらえないからだ。特にセキュリティについては,無意味な「何もしない」選択肢や,「費用が年商の1%を越えるような非現実的な」選択肢はまったく考慮の対象とされないだろう。

図1 セキュリティ提案に含める三つの選択肢。コスト別の選択肢を含めるのがよい
 選択肢を作成する基準は,費用の過少によるものが,最もわかりやすい(図1)。(1)とにかく必要最低限の費用に抑えた選択肢,(2)業務に直結する部分に限定した費用の選択肢,(3)全社的かつ包括的な導入を行った場合の費用の選択肢などを一つの指標とするとよいだろう。

 なお,これらの選択肢を作成するにあたっては,(1)守らなければならないリソースの種類(メール,Web,共有ファイル・フォルダ,ワープロ文章といった電子情報など),(2)守らなければならないリソースの範囲(必要な利用者,コンピュータの特定など),(3)守れなかった(セキュリティ侵害を受けた)場合に予測される影響,被害の算定,影響する業務の範囲が,すべての選択肢で明確になるように比較表などを用意しておく。一見して,それぞれのメリット/デメリットが把握できるようにするなどの工夫も必要である。

IT活用の利益とセットで提案

 セキュリティ問題について,ひたすら危険性を強調するような提案や,最も大きな被害に遭った世間の例などを参照して,導入の費用を正当化しようとすると,その前提となるITの活用,特にインターネットを導入しなければよいと判断される場合がある。

 実際,まだITを導入していない中小企業の経営者が,ここ数年のコンピュータ・ウイルスの被害を見て,「それみたことか。やはり導入しないのは正解だ」と言う場合がある。彼らには,IT化のメリットが見えていない。このために,費用や被害ばかりに目がいってしまうのだ。

 また,すでにITを導入している企業の場合,セキュリティに関する費用は,すでに享受している利益を維持するための費用となり,セキュリティに限定してしまうと支出の話にしかならない。セキュリティ費用は,IT活用の利益と表裏一体の関係にあり,不可分のものだ。これを理解してもらうためにも,わかりきったことと省略せずに,IT活用による利益とセットで評価できる提案書を作成する必要がある。

わかりやすいたとえを使う

 ITやインターネットは,比較的新しいインフラである。しかし,このインフラ上で行う企業活動や情報/モノのやり取りは,しょせん人が行うものだ。多くの場合,実社会の構造がそのまま反映されている。

 このため,IT活用は「新しい酒が新しい革袋に入っている」のではなく,あくまでも「古い酒を新しい革袋に入れている」だけなのだ。すでに電話,FAX,郵便,宅配便などのインフラがあり,企業活動にはこれらのインフラが組み込まれている。ITやインターネットも,これら既存のインフラに新たな手段として追加されるだけである。

 ただし,それぞれのインフラにはそれぞれの特質や世情による事情がある。例えば,宅配便について考えてみよう。宅配便は,モノをすばやく保証された期間内に移動する場合の最適なインフラとして定着している。しかし,「世界貿易センター破壊」テロ事件を機に,航空貨物は厳重な荷物検査による遅延が起こっている。このため,航空貨物のスピード性という特質を最大限に活用する「翌日10時に届ける」サービスは,陸送トラックを利用する通常の宅配便と到着時間が変わらなかったり,場合によっては逆転する場合が出ている。

 また,一般電話/携帯電話は,大規模な自然災害が発生した際や元旦深夜の年始挨拶,人気アーティストのチケット予約などで,十分に活用できるとは言い難いインフラである。

 ITやインターネットにも負の面がある。最たるものが,セキュリティだと言ってよい。ただ,新しいインフラのため,具体的にイメージできる事例や,ビジネスへの影響が簡単に理解しにくいのだ。そこで,インフラとしての特質や弱点,世情による影響などについて,すでに企業活動や一般の社会生活で類似の特性を持つインフラを探し出し,わかりやすくたとえることで理解を求めるなどの工夫が重要になる。

定量的に判断できるように工夫

 セキュリティについて,よく「保険のようなもの」と表現することがある。筆者は,これはあまり適切なたとえではないと思う。が,こと費用対効果を言及しなければならない場合においては,この比喩はそれなりに正しいものと言えるだろう。

 セキュリティ対策は,通常費用だけかかり,何かがあったときに役立つという予防保守的な特質がある。また,費用に対する利益や,予防できなかった場合の損害の算定を算出しにくい性質を持つ。この点において,セキュリティ対策と保険は似通っている。このため,セキュリティについての提案書では,定性的に「大きな被害」「信用を失う」などの表現を用いざるを得ない場合が多い。

図2 提案書はできるだけ定量化して作る
 しかし,「選択」と「判断」を行う側から見たときには,やはりこれでは判断の基準になるとは言い難い。無理矢理にでも,定量化する必要がある。「比較できなければ選択できない」ため,どの程度違うのかを明確にしなければならないのだ。

 では,どうすればよいか。筆者は,数えられる切り口を探せばよいと考える。例えば,得られる利益について金額を算定しようとするのではなく,「経理:無料の交通費計算サイトを利用して交通費申請を安全に検証できる」などといった個別の項目を数え上げ,その項目に対する比較を行い,○の数で比較できるようにすればよいのだ。損害や不利益についても同様の手法を用いれば,○と×の数を比較できるようになる。これだけでも判断する側からすれば,かなりのレベルで比較の差を実感できるようになるだろう(図2)。

根津 研介
筆者はファムに勤務。オープンソース・ソフトウェア活用セミナの企画運営を担当しながら,ネットワーク運用管理やサーバ管理を兼任する。ベクトル型スーパーコンピュータのOS開発,国際フレームリレー網によるエクストラネット構築,フリーソフトの移植・配布サービスの提供を経て,1999年から現職。オープンソースSambaの普及啓蒙を目的とする日本Sambaユーザー会のスタッフでもある。情報処理学会会員,情報処理技術者試験テクニカルエンジニア(ネットワーク)。