「セキュリティを強化したいだって? 俺たちの仕事を邪魔する気か!」
前回の「覚醒」を経て、主人公ディランは意気揚々と「プロジェクト・ゼロ・トラスト」を立ち上げた。
しかし、彼を待っていたのは、社員からの感謝ではなく、怒号と冷ややかな視線だった。
多くの情シス担当者がここで心を折られる。「会社を守りたいだけなのに、なぜ全方位から撃たれるのか?」と。
第2回は、技術的な壁よりも遥かに高く分厚い「心理的・政治的な壁」の突破方法についてだ。
この記事は『Project Zero Trust』特集の一部です。全記事一覧はこちら↓
Scenario:四面楚歌のプロジェクト
ディランが最初にぶつかったのは、以下の3つの抵抗勢力だった。
彼らにとって、ディランは救世主ではなく「業務のブロッカー(邪魔者)」でしかなかったのだ。
Insight:なぜ「正論」は通じないのか?
ここでディラン(そして多くの真面目な情シス)が犯すミスは、「セキュリティの重要性」を説教してしまうことだ。
「ランサムウェアが危険なんです!」「NISTの基準なんです!」と叫べば叫ぶほど、現場は白ける。
なぜか? 本書『Project Zero Trust』の著者ジョージ・フィニーはこう指摘する。
「彼らはセキュリティを嫌っているのではない。『変化』を恐れているのだ」
人間は、今の快適な習慣(パスワードの使い回し、VPNつなぎっぱなし)を変えさせられることに本能的な苦痛を感じる。
だから、「セキュリティ vs 利便性」という対立構造で議論している限り、金を稼ぐ部門(営業・開発)に情シスが勝てるわけがないのだ。
ZTR Solution:参謀としての「政治工作」
ZTRラボが推奨する、このフェーズでの生存戦略は「根回し」だ。
ディランが取った行動を、日本企業向けに翻訳して実行せよ。
Step 1. ステークホルダー・マップを描け
いきなり全体会議で発表するな。まずはA4用紙に組織図を書き、キーマンを3色に分類せよ。
Step 2. 「ランチ」で個別に撃破せよ
反対派のボスを、会議室ではなくランチや飲みに誘え。
そして「セキュリティの話」をするな。「あなたの部門のビジネスゴールは何か?」を聞け。
相手のメリット(What’s in it for me?)に翻訳して初めて、彼らは聞く耳を持つ。
Step 3. 「グランド・ストラテジー」への昇華
本書でディランは、ゼロトラストを「IT部門のプロジェクト」ではなく、CEO直轄の「経営戦略(Grand Strategy)」に格上げさせることに成功する。
「情シスがうるさいことを言っている」状態から、「社長の方針として、全部門で取り組む」状態へ。この「虎の威を借る」動きこそが、カオスな社内を鎮圧する唯一の手段だ。
Action:今週のタスク
今週、あなたがやるべきは、ファイアウォールの設定変更ではない。「人」の設定変更だ。
次回予告:
社内の合意を取り付けたディラン。次はいよいよ、ゼロトラストの核心である「設計(アーキテクチャ)」へと踏み込む。しかし、NISTの図をそのまま適用しようとした彼に、現実のネットワーク構成が牙を剥く。
👉 Vol.3 【設計編】「『なんとなく』を許さないアーキテクチャ」 に続く。
👉『Project Zero Trust』特集トップへ戻る
この連載の元となった書籍『Project Zero Trust』は、技術書とは思えないほどドラマチックな小説です。 詳しい内容はこちらの書評記事で紹介しています。
