セキュリティを専門とするエンジニアとして、情報システムのセキュリティについて相談を受けることがある。

こうした場合、本来のあるべき姿形から乖離した点を原理原則に従って指摘することが多い。指摘事項として、システムの構成変更や運用体制の見直しなどを挙げることもある。しかし、大事なのは次のステップである。

次のステップとは、「現実的な落としどころを探す」ことである。

原理原則にそれほどのバリエーションはないが、落としどころはそれこそ千差万別である。セキュリティの向上という目的を達成する上で、コスト、納期、その他各種制約条件を考慮しなければならない以上、当然のことである。そして、この現実的な落としどころを探る上で最も重要なのは、対象となるシステムに実際に携わっているエンジニアの勇気である。もしくは覚悟とでもいおうか。

相談を持ちかけてくるのは、部下や協力会社のエンジニアを束ねるリーダー的な役回りのエンジニアが多い。指摘を受けたエンジニアの頭の中では、せっかく回り始めた運用体制の変更をお願いしなければならない強面（コワモテ）の運用部門の顔、システムの構成変更など追加の費用負担をお願いしなければならない営業や顧客の顔が思い浮かんでいるかもしれない。

セキュリティの専門家として、これまでの知識を総動員してアドバイスしても、決断を後押してあげるまでしかできない。それでもやろうと決めるのは、最終的には現場を仕切るエンジニアにしかできない。

情報技術やそれをとりまく情勢についての調査・研究に従事する研究員の立場になってもこの思いは変わらない。最後に決断してくれる現場のリーダー、プロジェクトマネージャーがあって初めて、セキュリティエンジニアのアドバイス、研究員の調査や検証作業は生きてくる。

このコンテンツの著作権は、株式会社大和総研に帰属します。著作権法上、転載、翻案、翻訳、要約等は、大和総研の許諾が必要です。大和総研の許諾がない転載、翻案、翻訳、要約、および法令に従わない引用等は、違法行為です。著作権侵害等の行為には、法的手続きを行うこともあります。また、掲載されている執筆者の所属・肩書きは現時点のものとなります。