新型コロナウイルスの感染拡大は、企業におけるITのあり方やセキュリティのあり方を大きく変えた。テレワークが普及し、クラウドサービスの重要性が増した。また、境界防御型のセキュリティが通用しなくなり、新しいセキュリティのあり方をどう作り上げていくかが問われるようになった。
従来、こうしたITやセキュリティに関する業務を担ってきたのはIT部門だった。だが、テレワークやクラウドの利用が進み、ITが恒常的に社外で利用される存在になると、これまでのような役割は果たしにくくなる。
では、withコロナ時代のITやセキュリティは誰がどう担っていけばよいのか。そんななか「経営者のITへの理解度が重要になる」と指摘するのが、ラックの武田一城氏だ。
武田氏は先ごろ「『withコロナ』経営者が今やるべきこと〜ウイルスと共存する社会のITとセキュリティ対策〜」と題するレポートを発表し、企業がこれからの時代を生き残るために必要な4つのポイントを提案した。
なぜ経営者が重要なのか、経営者はどのようにITとセキュリティに接していけばいいのか。それを知るために今回、日本マイクロソフトの河野省二氏との対談をセッティングした。両氏の意見から、経営者が実現していくべきセキュリティのあり方を探ってみたい。
コロナ禍で「経営とIT、そしてセキュリティが一体」にならない理由とは
日本マイクロソフト
技術統括室 チーフセキュリティオフィサー
河野省二氏
武田 コロナ禍ではテレワーク環境の整備をはじめとしてITの重要性にあらためて関心が集まりました。とにかく出社ができないため在宅で仕事をこなさないと事業の継続ができない。以前から「ビジネスの基盤となっているIT」が主張されてきましたが、コロナによって多くの人々がそれを実感したと思います。実際に在宅で業務を行うにはITの利用が不可欠です。ただ、在宅勤務でのIT活用があまりにも急激に進んでしまったために、セキュリティ対策も大きく変わる必要があることについては、議論すらなされていないと感じています。新型コロナウイルスの蔓延という緊急事態の際にも事業を継続することは必要です。そして、それを実現するためにはITが必須ですが、セキュリティが保てなければITは本来の機能を果たすことは出来ないでしょう。しかしながら、「経営とIT、そしてセキュリティが一体」であるという前提での議論にはなっていません。これはなぜなのでしょうか。
河野 ITベンダーやセキュリティベンダーの立場でお客様のところに行くと、まず仰るのは「予算がない」です。しかしそうしたお客様も、コロナ禍においてはテレワーク対応とそれに伴うセキュリティ対策をしています。そのことを指摘すると「特例措置なので内部留保金のようなものを使った」と仰います。つまり、セキュリティはあくまで特例なんです。何かの非常事態が発生してそれに特例として対応するというのがセキュリティ対策を実行する最大の要因になっているのです。本来セキュリティで大事なのは、そのインシデント自体への対応や対策ではなく、どのようにすればIT全体を安全に利用できるかです。しかし実際は、なにか起こるたびに「特例処置を実施してセキュリティ対策を講じた」というアリバイを作っているだけという状況です。
武田 特例でその時だけ対応するのではなく、ITをセキュアにすることで安全に利用できるようにすることがセキュリティの役割なのに、それがまったくできてないのが現状ということですね。
河野 はい。特例ではなく通例化しなければいけないことは分かっていても、それができる人がいないのだと思います。セキュリティ対策を通例化するにはITにそれを都度組み込んでいくことが必要です。でも、セキュリティ担当者は運用部門側にいて、開発チームやインフラ設計チームと連携できていない。連携できていたとしても、ITインフラは一般的に5年スパンで更新されるので、必要なセキュリティ対策の実施とタイミングが合わないことも多い。経営者はそうした事情が分からないまま、とにかくセキュリティ対策をやれ、としか言わない。
ビジネスがあり、それをサポートするITがあり、最後にセキュリティがある
ラック マーケティンググループ
武田一城氏
武田 セキュリティ対策はもちろん重要ですが、それは、ビジネス戦略、IT戦略とセキュリティ対策の一貫性を担保することが求められていると思います。それはすべてに当てはまり、今回ほとんどの企業で注目された事業継続は、まさにそれが試された事案だったと思います。
河野 事業継続というと、これまではサステナビリティの観点が重視されていたと思います。サステナビリティは1つのことを長くやるという発想ですが、コロナ禍のような状況ではそれが細くなり、プツっと切れてしまう恐れがある。そこでサステナビリティだけでなく、レジリエンシーという観点での事業継続も重要になってきました。
武田 レジリエンシーは、切れてもすぐつなぐ、壊れてもすぐ戻すという発想ですね。ただ、具体的にはどのようにすれば良いのでしょうか。
河野 はい。その際に重要なのは順序です。事業がおかしくなっているときにセキュリティを優先すると間違いが起こりやすい。テレワークのために、VPNが必要、シンクライアントが必要、ID管理が必要、多要素認証が必要といってITを整備しても、制限のあるITしかできません。ビジネス計画があり、それをサポートするITがあり、最後にセキュリティがあることが重要なのです。
武田 私もそれには非常に同感です。ただし、先ほども話題に上がりましたがITのリプレースはシステム毎にタイミングが異なることが一般的です。すべてを一気呵成に変えることは難しいでしょう。この点にはどう対処すればよいでしょうか。
河野 マイクロソフトでは「ビジネスのリズム(Rhythm of Business)」を大事にしています。社内だけではなく、お客様とのリズムを合わせていくことももちろんそこに含まれています。リズムを合わせることで一緒に考えるタイミングを作ることができるので、ビジネス、IT、セキュリティがばらばらに進むということは起こりにくくなります。もちろん、このようなことがすべての企業でできるとは限りませんが、そもそも、ビジネスは四半期ごとに評価しているのに、ITだけが5年スパンでのリプレースをするというのでは、ITを経営と共に考えることはできません。
「お金」をベースにコミュニケーションを取る
武田 河野さんのおっしゃるビジネスのリズムという行動原理は非常に重要だと思いますが、それを実際にやるとなると、どこから手を付けて良いのかがわからないという企業は多いと思います。IT戦略やセキュリティ対策の優先度はどのように決めればよいでしょうか。
河野 リスクをどう受容するかだと思います。極端な例えですが、セキュリティ事故が起こって被害が出たときに100万円の損害賠償で済むなら、それを防ぐために1000万円かけて対策する必要はない、と考えることができます。あるいは、100万円を用意しておいて、セキュリティ費用を一切かけないという考え方も可能です。現実的には、事業ごとにそれぞれどんなリスクがあるかを見積もり、経営にとってのリスクが高いものに対して、相応のお金をかけて対策していくことになるでしょう。
武田 そうした考え方は多くのIT部門が苦手とするところかもしれません。IT部門は経営者の考える論理が分からない。その一方、経営者はITを構成している技術要素や概念が分からないというギャップが存在します。その両者がどうやってコミュニケーションを取っていけばよいでしょうか。
河野 やはりすべてをお金に直すことだと思います。リスクの受容と同じで、共通項はお金です。例えばテレワークについても通勤時間が往復で2時間短くなることでどのくらい儲かるのか、といった観点からコミュニケーションを取っていく。もし、そのデータがなく判断できないなら、データを取得できるようなIT環境を整備する。そのためにお金がかかるなら、経営者は率先して「お金をかけてもいいからやりなさい」と後押しすることも重要です。
武田 技術の進化は速いので、今は費用が高くてできなくても、数年後には安く実現できるようになるケースは多いですよね。2000年代に盛り上がりかけた検疫ネットワークも結局は導入コストが高額すぎて現実的ではありませんでした。しかし、いまはIDaaSの付加機能にすぎません。10数年前には、数千万円のコストがかかったことが、クラウドサービスの進化によって、その1機能として利用できてしまうのです。しかも、非常に難易度の高かった運用もほとんど意識せずに済むのです。IDaaSの導入などもってのほかという意見も散見されますが、現在では利用しない理由を探す方が難しいと言えるほど有効なIT活用法だと思っています。
河野 「Microsoft 365 E5」でも、ユーザーがログインする際に検疫する機能が提供されています。もしそこまでは必要ないと考えるなら、Microsoft 365 E3やE1にして他のセキュリティ対策製品やサービスと組み合わせればいい。これらも結局「お金」をベースにコミュニケーションをすることが近道となるはずです。このような経営者とIT部門の議論を重ねていくことで、その企業にとって最適な形でのITの在り方やセキュリティ対策が何かということが決定されるべきでしょう。
ビジネスのリズムをそろえながら、ビジネスとITの整合性をとっていく
武田 セキュリティの考え方についてですが、言い古された表現ではありますが、従来の境界防御型のアプローチは限界にきていると思います。在宅で業務を行う時点でいくら社内ネットワークを堅固にしても従業員の使う端末を守ることはできません。だからと言って、家庭とオフィスをVPNでつないで境界防御の仕組みを維持しようとするのは非常に難しいでしょう。クラウドをベースにしたゼロトラストセキュリティや、デバイスの脅威を直接的に検知・対処するEDRなどへシフトしていくことを検討すべきです。もちろん、クラウド特有のセキュリティ課題もあります。特に安易なクラウド利用により脆弱な設定のままで利用することで発生するインシデント等のリスクは避けなければなりません。レポート「『withコロナ』経営者が今やるべきこと」では、そうしたポイントにも触れています。
河野 日本は、これまでITコンサルタントや大手SIerが経営者の相談に乗る形の分業体制がうまく噛み合ったことで発展してきました。ただ、今はそうした作戦参謀が少なくなっている気がします。それを欧米のように内製化を進めて自社内で対応しようという動きもありますが、それもうまくいっている企業はそれほど多くない。
武田 ビジネスとITは直結しています。だから経営者こそITやセキュリティのことをしっかりと考えてほしいのです。欧米のこの20~30年間の成長は、GAFAなどのIT失くしてはあり得なかったと思います。それは株式時価総額の上位企業がそれらの企業で占められていることが証明しています。しかし、日本の大企業の顔触れは、昔とほとんど変わっていません。実は米国の従来からある非ITの巨大企業も滅亡した訳では無く、成長できなかっただけなのです。現在の世界市場での日本の凋落は、従来型ビジネスが失敗ではなく、ITをビジネスとすることができなかったことが主要因だと思っています。
河野 そうですね。ただ、セキュリティの前にITがビジネスにどのように影響するのかを考えなくてはいけません。セキュリティファーストという名のもとに、ITパフォーマンスを阻害してはいけません。繰り返しになりますが、ビジネスがあり、それを支えるITがあり、最後にセキュリティがくる。逆に言えば、セキュリティを考えすぎるのではなく、セキュリティが付いているITを導入すればいいのです。それは例えば、ラックが提供するセキュリティサービスかもしれませんし、セキュリティの目利きや参謀役かもしれません。もしくは、それすらも必要ないITを導入するということもあり得るでしょう。
武田 これも繰り返しになりますが、やはり実際に何から手を付けていいか分からないという経営者は非常に多いと感じています。まずはこれまでの背景と現実の課題をしっかり認識すること。ビジネスのリズムをそろえながら、ビジネスとITの整合性を取っていくこと。ラックでは、そうしたお手伝いを含めて、経営者の側に寄り添っていきたいと考えています。