「社長、これだけは覚えておいて」――NTTグループ250人のトップが学んだ、有事の際の4つの定石:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
組織の存亡がかかった有事の際の振る舞いだけは、経営者自身が身につけておかなければならない。4つの定石は、全てのリーダーにとっての羅針盤となるはずだ。
「早急な情報開示が必要になります。詳細解明を急いで」――。一見、正しそうに見えるこの指示が、実は現場を混乱させる悪手になることもある。正解のない極限状態のなかで、社長自身の経営理念に基づいた判断軸を養うことが狙いだ。
「社長の経歴や会社の文化、ビジネス規模によって正解は異なります。唯一の正解はない。だからこそ、自身の経営理念を改めて振り返り、自社ならではの判断を下さなければならないことを体感してもらうのです」(横浜氏)
経営者が心得るべき、インシデント対応「4つの定石」
インシデント対応に絶対の正解はないが、横浜氏が数多の経験から導き出した「定石」はある。氏は、社長が有事の際に心得るべき定石を4つ提示した。
- 定石1:報告者を褒める、現場を労う
第一声で「なんでこんなことが起きたんだ」と叱責してはいけない。怒られれば現場は事実を隠そうとし、被害の拡大を招く。「よく報告してくれた」と報告者を褒め、現場を労うことで、風通しの良いエスカレーション環境を確保する。
- 定石2:被害の最小化を何より優先する
原因究明や対外発表も重要だが、最優先すべきは被害の拡大を止めることだ。「どうすれば止血・隔離できるか」を一番知っているのは現場のエンジニアである。社長は現場にあれこれ口を出すのではなく、彼らが作業に集中できる時間とリソースを提供することに徹するべきだ。
- 定石3:隠し通せないが、公表には「サブスタンス」が必要
インシデントはいずれ外部に知られることになると心得るべきだ。ただし、闇雲に急いで公表すれば良いというわけでもない。公表には確かな中身(サブスタンス)が必要であり、それを見つけるのも現場だ。現場にリソースと時間を与えることが、結果として信頼に足る外部公表へとつながる。
- 定石4:現場に「ミッション・インポッシブル」を課さない
再発防止は重要だが、実現不可能な対策を現場に押し付けてはならない。過度な負荷は新たなミスを誘発し、悪循環を生むだけだ。「イケてない再発防止策」を慎むことも、経営者の重要な判断である。
「できていないこと」を認めるのも強さ
約20回にわたり実施された研修を通じて、横浜氏自身も大きな気づきを得たという。
「セキュリティの現場は、前線に行けば行くほど脆弱であるということを改めて思い知らされました。一方で、多くの社長が“できていないことはできていない”と等身大の姿を認め、そこから向き合おうとする姿勢を見せてくれました。ある社長は“インシデントが起きると社員が大変な目に遭う。社員を守るために自分は何をすべきか考えたい”と言ってくれました。予想を超えた発想で、心打たれました」(横浜氏)
経営トップが変われば、組織のセキュリティ文化は変わる。NTTセキュリティでは今後、この社長研修を継続するだけでなく、経営幹部層への展開や、外部企業への提供も進めていくという。
「社長、これだけは」――。技術的な詳細はCISOや現場に任せるとしても、組織の存亡がかかった有事の際の振る舞いだけは、経営者自身が身につけておかなければならない。横浜氏が提示した4つの定石は、2025年以降を生きる全てのリーダーにとっての羅針盤となるはずだ。
Copyright © ITmedia, Inc. All Rights Reserved.