現場万歳－言うは易く行うは難し

セキュリティを専門とするエンジニアとして、情報システムのセキュリティについて相談を受けることがある。

こうした場合、本来のあるべき姿形から乖離した点を原理原則に従って指摘することが多い。指摘事項として、システムの構成変更や運用体制の見直しなどを挙げることもある。しかし、大事なのは次のステップである。

次のステップとは、「現実的な落としどころを探す」ことである。

原理原則にそれほどのバリエーションはないが、落としどころはそれこそ千差万別である。セキュリティの向上という目的を達成する上で、コスト、納期、その他各種制約条件を考慮しなければならない以上、当然のことである。そして、この現実的な落としどころを探る上で最も重要なのは、対象となるシステムに実際に携わっているエンジニアの勇気である。もしくは覚悟とでもいおうか。

相談を持ちかけてくるのは、部下や協力会社のエンジニアを束ねるリーダー的な役回りのエンジニアが多い。指摘を受けたエンジニアの頭の中では、せっかく回り始めた運用体制の変更をお願いしなければならない強面（コワモテ）の運用部門の顔、システムの構成変更など追加の費用負担をお願いしなければならない営業や顧客の顔が思い浮かんでいるかもしれない。

セキュリティの専門家として、これまでの知識を総動員してアドバイスしても、決断を後押してあげるまでしかできない。それでもやろうと決めるのは、最終的には現場を仕切るエンジニアにしかできない。

情報技術やそれをとりまく情勢についての調査・研究に従事する研究員の立場になってもこの思いは変わらない。最後に決断してくれる現場のリーダー、プロジェクトマネージャーがあって初めて、セキュリティエンジニアのアドバイス、研究員の調査や検証作業は生きてくる。