圓窓代表
澤 円(@madoka510)

立教大学経済学部卒。生命保険のIT子会社勤務を経て、1997年、外資系大手テクノロジー企業に転職、現在に至る。プレゼンテーションに関する講演多数。琉球大学客員教授。数多くのベンチャー企業の顧問を務める。
著書：『外資系エリートのシンプルな伝え方』（中経出版）／『伝説マネジャーの 世界№1プレゼン術』（ダイヤモンド社）／『あたりまえを疑え。―自己実現できる働き方のヒントー』(セブン＆アイ出版)※11月末発売予定
Voicyアカウント：澤円の深夜の福音ラジオ　メルマガ：澤円の「自分バージョンアップ術」　オンラインサロン：自分コンテンツ化　プロジェクトルーム

皆さんこんにちは、澤です。

『7pay（セブンペイ）』のセキュリティー・インシデントについては、大変な話題になりましたね。

サイバー犯罪の怖さを思い知らされるのと同時に、セキュリティーを意識したシステム開発の難しさも改めて明らかになりました。最終的にサービス停止という判断にまで至る、近年ではかなり大型のサイバー犯罪事案となっています。

この事案に関しては、経営陣の説明会見の様子もあちこちで話題になりました。特に「二段階認証」という記者の質問に対する社長の反応は、日本の事業会社とテクノロジーの関係性を浮き彫りにするものでした。

日本は、ITエンジニアと呼ばれる人の７割以上がITベンダーに存在し、事業部側には３割以下しかいない、という調査結果があります。そして、経営陣の中にITに詳しい人が含まれていることは極めて稀で、ITのトップは役員ではなく、一部門長であることがほとんどです。

そのため、IT投資の判断を経営視点でするためには、複数のステップを踏んで「上層部まで上げていく」という必要が出てきます。また、役員としてCIOという肩書を持っている人が全くITバックグラウンドを持っていない、ということも珍しくはありません。

そして、大企業であればあるほど、IT部門を子会社しているパターンが多くなり、「本社内にエンジニアがいない」という構図になりやすい状況です。IT子会社から親会社に対して強い影響力を与えるのは、簡単ではないでしょう。

また、ともすれば「思いつき」のようなアイデアを、むりやり実装するような仕事をしている人も少なくないようです。

「セキュリティーについて完全に理解させる」を目指してはいけない

私自身、日本の大企業のIT子会社からキャリアをスタートさせました。その時は、いわゆる部課長レベルはほとんどが本体からの出向者で、ITの知識を持っている方は稀でした。

そのため、通訳となるようなリーダークラスの方々の負担が非常に大きかった印象があります（私の上司もそんな立ち位置でした）。

私がいた会社のパターンが全てに当てはまるわけではないのは重々承知していますし、在籍していたのはずいぶん前の話なので、今は改善されている可能性も大いにあります。

ただ、今でもこのような構造になっていて、「本社にテクノロジーが分かる人がいないから苦労する」とか、「発注者がIT音痴で会話が成り立たない」とか、そんな嘆きは毎日のように耳に入ります。

とはいえ、問題点ばかりを上げていても仕方ないので、この産業構造の中でエンジニアはどのように振る舞えばいいのかを考えてみたいと思います。

冒頭に触れさせていただいた『7pay』のようなセキュリティーに関する問題は、極めて重要である一方で、会社の経営方針からすると「戦略的投資」と見てもらいにくい部分でもあります。

というのも、利益を生み出すテクノロジーではないからです。しかし、デジタルトランスフォーメーションが叫ばれている昨今、ITのセキュリティー・インシデントは企業経営において致命傷になります。

そのことを実感できないからこそ、あるいは自分事としてとらえられないからこそ、経営陣は投資を渋ったり、細かい説明を求めたりするわけです。

これを打破することことそ、エンジニアの腕の見せ所です。ではどうすればいいのか。

セキュリティーのリスクを細かく説明するというアプローチもありますが、テクノロジーに疎い経営陣では、前提知識がなさ過ぎて理解不能になりがちです。

ということで、もっと手っ取り早いのが「セキュリティーに関してもっともらしい説明ができるようにトレーニングする」という方法です。

「えー、うちの経営陣はそんなの受け入れてくれないよ」とお思いの方もいますよね。

もちろん、簡単な話ではないのは確かです。

とはいえ、「会社がやばいことを技術的に分かっている」のであれば、やっぱりここはエンジニアが頑張るしかありません。そのためには、「社内でセキュリティーに詳しい人」というタグを自分に付けておく必要があります。

社内勉強会を何度も開いてセキュリティーに関する情報提供をしてもいいですし、パソコンの壁紙を「セキュリティー命」にしてもいいでしょう。あるいは、「Security」と書かれたTシャツやジャケットを着て出社するのも面白いかもしれませんね。

いずれにせよ、自分にタグ付けすることで「あいつはセキュリティーに詳しい」という印象を与えれば、上層部に対してセキュリティーの話をしやすくなるでしょう。

そして、実際に役員レベルに対してセキュリティーの知識を授けるチャンスをつかむことができたら、どうすればいいでしょう。

重要なのは「役員たちにセキュリティーについて完全に理解させる」ということを目指さないようにすることです。矛盾しているように思えるかもしれませんが、前提知識のない人に理解させようとするのは、無謀です。

なので、「とりあえず、人前でセキュリティーに関する話をしても恥をかかない程度に話せる状態にする」というレベルを目指せばOKです。

そのためには、概念論を分かりやすく伝えることと、SNSのセキュリティー設定項目に出てくる程度の用語をインプットしておけばOKです。

セキュリティーの概念論であれば「家のドアが開くのが問題ではなく、誰が家のドアを開けるのかが問題ですよね。なので、ID管理は確実に本人を特定できる構造でなくてはならないわけです」という説明は、それっぽく聞こえます。

その上で「本人を特定するためのID管理のために、弊社ではxx社のxxを導入し、かつ多要素認証をかけるためのツールも実装しております。ただし、多要素認証のために利用しているツールについては、セキュリティーの観点から情報公開は控えさせていただきます」とでもお話ししてもらえば、十分に説明になるでしょう。

そして、「詳しい技術的な説明は、弊社セキュリティー担当〇〇からさせていただきます」と言えば、質疑応答でまごつくような余計なリスクを避けることもできます。

役員としての威厳を保ちつつ、かつ余計な恥をかかずに済むように立ち回ることができれば、非常に重宝がられることでしょう。

エンジニアはトレーナーを買って出よう

セキュリティーだけに限らず、他のITサービスに関しても同様でしょう。

もし、自社のサービスがスマホアプリとして展開されたのであれば、まずは役員に対して「自社製品の使い方を教える」という役目を買って出てみましょう。そして、あちこちの会合に参加したときに自分でデモを見せられるようになれば、それだけでも広告塔としての効果は絶大です。

その昔、とある日本のメーカーの役員さんが、アメリカの超有名製品の対抗馬として出した新製品のデバイスを、上下逆に持って記者会見でプレゼンしてしまったことがありました。

翌日のネットでは、新製品発表としての話題ではなく「役員が自社製品の上下の向きも分からずにプレゼンをした」と、散々な扱いを受けていました。

これこそ、経営危機を招くような痛恨のミスです。

そうならないようにするためには、エンジニアが役員たちのトレーナーを買って出なくてはなりません。これからは、ありとあらゆる企業がテクノロジーカンパニーになることが求められます。

そのためには、経営陣がテクノロジーを語れるようにならなくてはなりません。

テクノロジーのバックグラウンドを持たないCEOが会社の指揮を執った結果、業績悪化や株価の低迷、買収されて消えてしまったり、最悪の場合には多額の負債を抱えて倒産、という事例も世界中には数えきれないくらいあります。

経営陣が必ずしもエンジニアである必要はありませんが、少なくともテクノロジーに対して理解しようとする努力とリスペクトの気持ちを持つことは必須条件です。

そのためには、テクノロジーの世界に生きている皆さんが、その後押しをしてあげることが大切です。

あ、どんどん昇りつめて社長になってくれてもいいんですよ！

セブン&アイ出版さんから、私の三冊目となる本が発売されました。「あたりまえを疑え。自己実現できる働き方のヒント」というタイトルです。

本連載の重要なテーマの一つでもある「働き方」を徹底的に掘り下げてみました。
ぜひお手に取ってみてくださいね。

＞＞詳細はこちら

＞＞要約はこちら　澤円さんが教える働き方のヒント『あたりまえを疑え。』