内容はともかくIT業界では規模の大小、勝ち組負け組を問わず、小さく始めて大きく育てるのが王道のようです。ただしスピード感に違いがありそうです。トップ集団にいて大きく育つ企業は意思決定のスピードが後続の集団と大差があります。
フルコミットはしなくても、四半期ごとに目標達成のコミットメントをします。
前年比ではなく、目標必達に注力します。たとえ前年比を大幅に上回っても見通し額や目標額未達成なら、事業計画のコミットメントができなかったということで株価も下がります。
賢明な営業マンは達成可能な目標を掲げて毎月達成していきます。ショートホールでワンオンを狙わずロングでも細かく刻んでいく手口です。でもなかなか真似できません。ワンオン、ロングパットなどうまくいったら次のホールでOBだしても気にしません。話がおおきくスライスしました。
いきなりフルコミットで参加するのではなく、小さいことから一歩ずつ進めるのが最適だ。最初のステップは、善意で当然のようにバグや脆弱性を報告してくる外部のセキュリティコミュニティとの付き合いに慣れること。突然のバグ指摘に拒否反応を覚えるかもしれないが、安心・安全なサービスの提供という目指すところは一緒であることを知り、少しずつ心の受け入れ体制を作っていく。それが整ってから、DevSecOpsを洗練させつつ、報告範囲の拡大やコミットメントの宣言などを行うのが良策とカプール氏は提案する。
Dropbox、Director of Security、ラジャン・カプール(Rajan Kapoor)氏
