Office 365やMicrosoft 365、Windows 10といったプラットフォームに加え、セキュリティインテリジェンス、そこでは足りない部分を補い合うパートナーという3本柱でセキュリティ強化を推進している日本マイクロソフト。先頃、日本法人の技術統括室Chief Security Officer(CSO)に就任した河野省二氏と、アスタリスク・リサーチの代表であり、またOWASP Japanチャプターリーダーとしても知られる岡田良太郎氏の対談により、クラウドやコラボレーションを前提とした世界におけるこれからのセキュリティのあり方を考察した。
「全て自前」から「共有」へ--より良い環境をより安価に
岡田 良太郎氏
アスタリスク・リサーチ
代表
岡田河野さんとは前職時代も含め長いお付き合いですが、新たにマイクロソフトのCSOとしてどんなことに着手されるのか関心があります。
河野私の前任者は「Chief Security Advisor(CSA)」という肩書でしたが、CSOは、マイクロソフトの考えるセキュリティのコンセプトを日本の皆さんに発信しつつ、日本固有の取り組みを本社に伝える、そのコミュニケーションの真ん中にいるという仕事です。ワールドワイドではNational Security Officerという職種になります。一般にCSOというと、社内のセキュリティに関する事柄を扱うイメージですが、マイクロソフトにおけるCSOは会社の中や外ともコミュニケーションを取り、リレーションシップを築いていく仕事ですね。
岡田CSAからCSO、すなわちAdvisorからOfficerへという肩書の変化は興味深いですね。マイクロソフトが提供するITプラットフォームのユーザーそのものはガバナンスの対象ではないけれど、ユーザーが使っているという環境そのものはガバナンスの対象ということですか。
河野はい。以前はセキュリティベンダー勤務でしたので、「皆さん、もっとセキュリティを強化してください」というメッセージを出していました。一方でその頃から、「正しいIT活用をしていれば、セキュリティは必要最小限でいいのでは」という思いもあり、いまはそれがいっそう強くなっています。マイクロソフトはIT基盤をサービスとして提供し、その中でできるセキュリティ対策を最大限やっていきます。それでもやはり足りないことはたくさんあります。その部分はパートナーの皆さんと協調しながら、より良い環境を作ることを考えつつ、情報を発信していきたいですね。
岡田この数年の変化は興味深いですね。例えば、サブスクリプションモデルで様々な製品やサービスを提供されるようになりました。おかげで予算に制約がある、比較的少人数の会社などでも、ITが利用しやすくなっている。またその結果、ライセンスキーやユーザアカウントなど、あらゆるリソース管理が楽になっています。
河野 省二氏
日本マイクロソフト
技術統括室
CISSP
Chief Security Officer
河野クラウドが本格的に利用されるようになるまではどの会社も「自分たちでIT環境を全て用意しなくてはならない」という考えだったと思います。例えば取引先のアカウントなどもそれに含まれます。クラウドが発展した今はそれが必要なくなりました。ID管理一つとっても、マイクロソフトとグーグルとの間でアカウントを連携できるような時代です。これを活用した働き方改革やガバナンスの実現が行われています。その効果もあって、ITコスト全般が非常に低くなりました。これはビジネスモデルの変革も生み出しています。これはIT業界だけではなく、自動車業界でも起きています。「300万円の車が欲しいけれど、そこまでお金がない」という人に向けて、頭金なしで自動車を利用できる個人リースです。これは、われわれがいま提供しているクラウドサービスと同じサブスクリプションモデルであり、月々の利用料を支払う仕組みになっています。そこには保険やメンテナンス費用も含まれているため、全体費用の計算がしやすくなっています。
岡田“割り勘”のような効果がありますね。
河野はい。昔はサーバを買うとなると、当たり前のように新品のものを購入し、中古品を購入するという発想はありませんでした。中古品ではハードウェアの相性問題などを払しょくできませんでしたし、故障した時の代替品の調達が難しかったためです。この問題を解決したのが仮想化技術です。これによってサーバ機能をソフトウェアレベルで調達できるようになりました。クラウドサービスを利用するときに、サーバが新品か中古品かということを気にする人はいないと思うんです。利用者はそういった悩みから解放されたわけです。
岡田共有を前提にすればいいわけですよね。クラウド利用も必要な知識が揃ってくると、コラボレーションがやりやすくなっています。
河野だから今は、さまざまなクラウドサービスが提供され、利用されているんだと思います。その中でマイクロソフトの特長は何かといえば、「ID管理サービス」が充実していることです。スペック重視の優れた機能を、すばらしい“一品料理”のように提供している事業者はたくさんありますが、ID管理というそれらをつなげて“コース料理”のように提供できるのはマイクロソフトの強みだと思います。「Azure Active Directory(Azure AD)」はOffice 365の機能の一部として提供されるようになりました。これによってID管理の専門家がいなくてもID管理基盤を作ることができるようになりました。「Active Directory(AD)」の管理やプロビジョニングはマイクロソフトが行いますので、お客さまはADをサービスとして使ってください、というものです。ADを利用するための初期投資も、その運用のための人材も不要になったのです。
岡田いま、IT人材やセキュリティ人材の不足がしきりに言われていますよね。どう思いますか?不足しているのはそうだとしても、その不足を数ではかっているところがむちゃくちゃだと思うんです。というのは、専門分野の人間がそれほど必要な前提というのは、逆にどうなんだろうかと思うんですよね。例えば弁護士について言えば、明らかに社会にたくさん必要ですが、リスクの高い事業をする企業を除けば、法的なリスクに備えて弁護士を社員として雇用しているところは、ほとんどありませんよね。それでも、弁護士を誰でも利用できる。同じように、おしなべてあらゆる企業にセキュリティスペシャリストの人数確保が必要かと言われれば、それは違うと思うんです。セキュリティ投資をすることと、頭数を揃えることは根本的に意味が違います。
河野以前に起業コンサルタントの仕事もしていたときのことですが、スタートアップ企業でまず課題になるのが、会計、法務、庶務といったスキルを持つ専門家の確保が難しいことなんです。ただ、こうした業務を行う人たちたちは必ずしも毎日会社に来る必要はありません。そこで、こうした人たちのスキルを一時的に利用できるサービスとして提供することを始めた企業がありました。ITサービスでクラウド型の会計システムなどがあるように、人間自身もサービス化していく可能性もありますね。簡単に言えばアウトソーシングなのかもしれませんが。
岡田そうですね、つまり頭数ありきだというよりも、どの企業でもセキュリティ確保を求めれば調達可能になる仕組みづくりがポイントだということです。それを作るのには、抱え込みではなくコラボレーションが必要で、さらにサービスビジネスモデルの実践も大きなポイントだと思っています。
