第399号コラム:宮坂 肇 理事(株式会社NTTデータ・アイ SDコンピテンシー推進部 部長)
題:「セキュリティ技術者のコミュニケーションについて」
本コラムは第399号となりました。この“399”の意味を探ってみると興味深い内容を見つけた。
約50年前の1963年11月22日金曜日に米国テキサス州ダラスにて、第35代アメリカ合衆国大統領ジョン・F・ケネディが銃撃され死亡した事件が発生した。本事件では、ケネディ大統領とコナリー知事を襲った考えられている銃弾が、担架から発見され「魔法の銃弾」と呼ばれているとのこと。この「魔法の銃弾」が証拠物件399(Warren Commission EXhibit 399)として扱われているとのことである。本事件や本銃弾の解釈は他に譲るとして、証拠物件の法廷での解釈がなど、興味を引くものである。
さて、本コラムの主題に戻ることとしたい。筆者は前回の本コラム第375号(2015/8/17掲載)にて、「セキュリティ人材の一考察」をテーマにして記した。当該コラムの中で 「企業等で活動する情報セキュリティ人材は、技術だけではなく、組織連携しながら活動し、とくには経営層に対して説明理解してもらうなどのコミュニケーション
など幅広く高い能力を要求されることが多い。」と記した。最近、様々な場面で“コミュニケーション”という言葉を聞くことが増えてきており、本コラムでは、“コミュニケーション”と“セキュリティ技術者”の二つをつなげて “セキュリティ人材におけるコミュニケーション”をテーマとして記してみたい。
セキュリティ技術者に限らず、一般的に技術職に就く技術者はコミュニケーションが不得手であると言われている。同分野の技術者同士は、会話が弾む、議論に花が咲く。ところが、異業種の方々との会話、上長や幹部クラスとの会話、顧客との会話が上手くいかないことが多々ある。
一方、営業職につく営業の方は、顧客との会話が上手である。顧客との会話では、今日のニュースや顧客の趣味趣向などを巧みに引き出しながら会話を進めることで引き込み、顧客の案件での要望を聞き出している。営業職ほど巧みなコミュニケーション能力は技術職には必要ないかも知れないが、見習うことは多いかと思う。
一般的には、営業職と技術職がおおまかに役割分担しており、顧客と折衝し案件を受注してくるのが営業職、案件を実現して顧客に引き渡すのが技術職というような体制になっていることが多い。営業職は常日頃から顧客との接点を持ちつつ、顧客と技術職とのパイプ役になっているので、様々な人との会話を日常的に行っていることから、話術に長けているのかも知れない。顧客志向で物事を考え、進めている。技術職は、顧客要望を技術で解決するため、技術者同士で難しい議論を重ね、顧客要望を実現する役割である。技術者は技術的な関心は非常に高く、高い技術力を常に欲している傾向が強い。技術志向で物事を進めている。
良く聞く話は、営業と技術に壁があるということを他企業からも聞くことが多い。営業職の目的が顧客の要望を引き出し案件化することであり、顧客とのコミュニケーションはわかり易い表現をしつつ、メッセージを伝えることである。一方、技術職の目的は顧客要望を技術で実現することになるための会話であることから、要望を技術で達成することが目的であり、営業職と技術職でそもそも異なる。業務の目的やコミュニケーションスキルの身に着けかたも異なるのであろう。
とはいえ、技術職でも顧客をはじめとして様々な方々と会話することは必要であり、技術職でもたとえば顧客目線で会話ができるコミュニケーションスキルを身につけることは必要であろう。
さて、営業職と技術職のコミュニケーションスキルの違いなどは、他の書籍や文献等に委ね、話題をもとに戻すこととする。セキュリティ技術者に求められるコミュニケーションとはどのようなものなのだろうか。
セキュリティに明るくない他者から見たセキュリティ技術者は、どのように映っているかを取り上げてみたい。
・セキュリティ技術者の言葉って難しくてよくわからない
・セキュリティ技術者って何しているかわからない
・セキュリティ技術者って高い所から話をされる
・セキュリティ技術者の話は遠い世界のように聞こえる
・セキュリティ技術者って怖い存在のように聞こえる
似たような意見があるが、総じて、セキュリティ技術者は技術者目線で話しをしてしまうことが多く、会話相手の目線に合わせての会話ができていないのが課題ではないのかなと思う。つまり、コミュニケーションスキルが必要なのかな、と考える。
最近CSIRTを構築する企業が増加傾向にあり、CSIRTの構成メンバとしてセキュリティ技術者を雇用する企業も増えていると思われる。これらに従事するセキュリティ技術者は、特に、コミュニケーションスキルを要求される。たとえば、JPCERT/CCの 「コンピュータセキュリティインシデント対応チーム(CSIRT)のためのハンドブック」では、CSIRTのチームメンバには技術的スキル、対人スキルが必要であると書かれている。技術的スキルは、セキュリティに関する知識や経験のみならずネットワークやOSなどの知識も保有することが望まれている。対人スキルは、CSIRTの活動として組織連携や CSIRT間連携、企業内の組織と連携することが必要となり、外交能力やコミュニケーションスキルを保有することが必要となっている。
(詳細は、JPCERT/CCから公開されている上述ハンドブックやCSIRTマテリアルをご参照されたい)
企業内のCSIRTのチームメンバは、コミュニケーションスキルが少ないと苦労を強いられることになる。
セキュリティインシデントが発生し、非常事態になるとインシデントレスポンスなどの企業内で活躍をすることになる。CSIRTメンバは、社内関連部門、社外関連部門への説明や連携、役職の高い方々への説明などシーンに応じて、かみ砕いた説明をしたり、補足事項を追加したりしながら、相手の反応をみつつ事実を伝えることが重要となる。
技術職であるセキュリティ技術者は、技術者同士で目的を共有できると、その目的に沿ったコミュニケーションをとることは相当にうまい。ところが、異業種であったり、セキュリティに全く興味がない人たちに、技術論で説明したり、あるべき論で説明したり、言葉を多く発してしまうなど、結果的に相手に消化不良を起こさせ理解を得られないことも多いのではないだろうか。相手に、「セキュリティ」を理解してもらうためのコミュニケーションスキルは、セキュリティ技術者にとっても必要な能力であると考える。
では、セキュリティ技術者がどうやってコミュニケーションスキルを身につけていけばよいのであろうか。 本コラムでは、いくつかをピックアップしておく。
・顧客折衝時に営業職と同行する
・いろいろな場面でプレゼンテーションし、必ずフィードバックを受ける
・自己啓発で研修等のトレーニングを受ける
・異業界異業種交流会に参加し、まったく違う分野や職の方々と会話する
・技術職でない管理職とも会話をする
・経営者等と会話する
セキュリティ技術者のコミュニケーションスキルについてはさらに考えなければならない課題や問題がありそうであるので、人材育成とセットで今後も考えていきたい。いずれ、本コラムでも紹介したいと思う。
さて、政府では、2月1日~3月18日は「サイバーセキュリティ月間」と定め、国民一人ひとりが、セキュリティについての関心を高めるとともに、問題に対応していくことが必要であるとし、イベントや広報などの様々な取り組みを通じて、広く国民に伝えている。ぜひ、この機会にセキュリティ技術者も周囲へのセキュリティへの関心を促すなど、セキュリティにあまり関心のない方々と“コミュニケーション”をとって頂きたい。
【著作権は、宮坂氏に属します】