にもかかわらず、セキュリティ担当者の声が経営に届かない構造が続けば、担当者は「自分たちの仕事は組織に理解されていない」と感じます。それが離職につながり、またループが一周する。
ここまで見てきた3つの構造問題、つまり成果の見えにくさが評価を困難にし、属人化が離職のダメージを拡大し、経営の不関与がそれらを放置させている。この構造を変えられるのは、現場ではなく経営層やマネジメント層です。
負のループを断ち切るために経営層ができること
では、具体的にどうすればよいのでしょうか。次の3つの視点が手がかりになります。取り組みやすいものから順に紹介します。
-
セキュリティを「経営アジェンダ」として明確に位置づけ:担当者任せにせず、経営会議で定期的に議題にする
-
セキュリティ担当者のキャリアパスと評価基準を整備:専門性を生かせる道筋を示し、成果が見えにくい仕事こそ評価の仕組みで報いる
-
担当者が経営層に直接報告・提言できるラインを確保:情報がIT部門内で止まらない構造を作る
いずれも、大きな予算をかけなくても着手できるものです。セキュリティの専任者がいない組織でも、兼任の担当者に対してこれらの視点を適用できます。むしろ兼任だからこそ、セキュリティ業務を正式な職務として認め、評価の対象にすることが定着の鍵になります。
1つ目の「経営アジェンダ化」は、経営会議の議題にセキュリティの項目を月1回加えることから始められます。ここで大切なのは、「今月はフィッシングメールを何件検知し、うち何件を水際で防いだか」「次の四半期で対応が必要なリスクは何か」といった具体的な項目を議題に含めることです。
単月の件数だけでなく過去半年の推移を示すと、経営層も変化の方向を直感的に判断でき、報告が実のある議論につながりやすくなります。「何も起きなかった」ではなく「何を防いだか」を共有する場にすることで、セキュリティの仕事が経営層の目に見えるようになります。
次ページが続きます:
【対話が「仕事を見てくれている」安心感に】
