先日某所で、「セキュリティ管理者のモチベーションを高めるにはどうすればいいでしょうか?」と聞かれました。その企業ではセキュリティ管理者が各部署にいるものの、そのモチベーションを保つことが難しいというのです。
実はこの話題はセキュリティ管理者が生まれたときから言われ続けていることです。同じような話題に、セキュリティの重要性を上司が理解してくれない、ですとか、優秀なセキュリティ管理者はいかにして育てるかなどがあります。
一言で言ってしまうと「それは難しいことですね」となってしまいますが、現実的にはいろいろと試行錯誤が行われています。ある企業では、セキュリティ管理者に資格制度を設けて名刺の肩書きを増やすというお金のかからない方法でアプローチしています。また、ある企業では特別な手当を支給しようと人事部と調整を始めています。
社会人が仕事をするにはいろいろなモチベーションがあるとは思いますが、セキュリティ管理者のモチベーションを高めるには「認められること」と「プライドを持つこと」が重要なのです。セキュリティ管理者は、多くの場合、正義感にあふれています。従って、単純な金銭的な手当はかえって不満足を生み出します。「これだけの評価かよ」となってしまうのです。それよりも、社内表彰されるとか、情報セキュリティ防災訓練を責任者として仕切らせるとか、「プライド」に訴える方が効果が高いのではないかと思います。
認めようにも、セキュリティをよく知らない人から見て、その人が「すごいヒト」なのかどうかがよく分からないことも問題としてあります。一口にセキュリティ管理者と言っても、セキュリティ庶務、セキュリティ技術から最高情報セキュリティアドバイザ-(CISO)まで、いろいろなジャンルがあります。しかし、それぞれの能力を示す指標がないのです。既存の資格制度は、このようなニーズを満たしているとは言えません。マネジメントベースの最低限のレベルしか評価することはできず、求められているスキルの網羅性と能力レベルの数値化にはほど遠い状況であると言わざるを得ません。なんとなくセキュリティらしいことを声を大きく話すと認められてしまうという現在の風潮を変えるためにも、それぞれの分野における能力レベル、経験値などを表す資格制度が普及することが、モチベーションの維持と社会的地位の向上には欠かせないと思います。
余談ですが、「キム○クを主役にしたセキュリティ管理者トレンディドラマ」を作れば、セキュリティ管理者の社会的地位が向上するという説が昔から繰り返し語られていますが、いまだに実現しません。
それから重要な点がもう一つ。「モチベーションが上がらない」「正当に評価されない」と嘆く前に、セキュリティ管理者自身も変わらなければいけないことがあるようにも思われます。例えば、セキュリティを振りかざして組織の生産性を阻害するだけでソリューションを提示できないセキュリティ管理者や、Pマークなどに定められた事項の遵守だけにとらわれて本当のリスクが見えないマネジメント偏重のセキュリティ管理者、セキュリティ装置を買ってきて配置するだけの“なんちゃって”セキュリティ技術者、何でも自分でやろうとして他人に手を出させない天才型技術者、本当はセキュリティには詳しくない名ばかりのCISOなど、組織に必要とされる人材として自らが変わらなければならないヒトがたくさんいることも事実です。
セキュリティが当たり前となってきた今こそ、これまで述べてきた様々なことが変わっていかなければならず、そのために業界における各コミュニティや各所で開催されている勉強会のコミュニティが果たす役割は大きいと思います。
