禁止されると人は“抜け穴”を探す　セキュリティ事故を起こさないために必要な「大人の文化」

CEOもインターンも扱いは同じ

澤円氏（以下、澤）：では、次に行きましょう。この内容に関してもう少しお話をしていくと、正社員、派遣スタッフ、それから学生のインターンにいたるまで、全部まったく同じ扱いでセキュリティ上は扱われるという状態になります。

ここにまた例外はないんですね。重み付けもなにもありません。ただのIDとして取り扱われます。

仮に先ほどのようなことが起きると、「これはどう見てもCEOのサティア・ナディラなんだけど、どうする？」とか、そんな判断はないんですね。「扉が空いたところとログインしたところが違う。はい、ロックダウン」というかたちにします。そういったシンプルにしておくということが大事なんですね。

これに一番近い考え方はなにかというと健康診断です。健康診断、みなさん行かれたことがあると思うんですけれど、健康診断に行ったときに「あなたは社長だから、γ-GTPの値、今日だけ20パーセントオフにしておきます」とか、そんなことは絶対ないですよね。「あなたは若いんだから、課長の分、メタボ検診の10センチを上乗せしておきなさい」、そんなことはないですよね。

あくまで数値として全部管理されるというのが健康診断の特徴というか絶対条件なんじゃないかなと思いますが、ITに関してもまったく同じです。とくにITのセキュリティに関していうと、その人の立場だったり、職位だったりというものは、無視しなきゃいけないんですよ。

これも先ほど言った、例外を認めないというところの根っこの部分になります。これを認めてしまうので、ほとんど事故というものは大ごとになってしまいます。「あの人がやったから……」「あの人のものだから……」というところで、どうしても手心を加えてしまって、ことがややこしくなるということになります。

セキュリティ、ITの仕事に関していうと、そういった職位や職責、あるいは人物というものは無視しなければならないことがあるということが原理原則としてあります。

「べからず」集は逆効果

とはいえ、セキュリティというと、どうしても「べからず」という発想になりがちなんですね。

「あれをやっちゃいけない」「これをやっちゃいけない」「持ってきたパソコンをつなげちゃいけない」「このネットワークにはログインしちゃいけない」「ワイヤレスネットワークは使っちゃいけない」「社外にパソコン持ち出しちゃいけない」という、べからず集というのをずらっと並べることがよくあるんじゃないかなと思います。

とくになにかの問題が起きたときに「よし、これは禁止にしよう」「これはやっちゃいけないことにしよう」。べからず集を作ります。

残念ながらべからず集というのは、たいていの場合、逆効果になります。なぜ逆効果になるのか？　これは後でお話をします。

では、どうすればいいのかということなんですが、「これだけやればOK」集を作るんですね。

「これさえやればいいですよ」「これさえクリアしていただいたら、あなたは自由ですよ」というようなかたちで、OK集をなるべく数少なく作っておくというふうにすると、これはユーザーさんからの受け入れが容易になります。

障壁にならない「わかりやすいルール」作りが鉄則

先ほどマイクロソフトも7割の人がITリテラシーが高くないと言いました。ですので、なるべく簡単にさっさと使いたいわけですね。そこに持ってきて、「あれやっちゃダメ」「これやっちゃダメ」と言われると困るわけです。ミスが怖くなってしまって、最悪の場合ITを使わなくなる可能性があります。

ITを使わなくなるとどうなるとどうなるかというと、当然ビジネスのスピードが落ちます。パフォーマンスが落ちます。情報共有のスピードが落ちます。業績が下がって、お給料が下がって、しまいに会社が倒産するわけですよね。

オーバーに言ってるように聞こえるかもしれないけど、これ事実です。これだけITが世の中に対して浸透している今となっては、それを使わなくなるということは致命傷になっちゃう可能性があるんです。

なので、「これさえやっておけばOKですよ」という、わかりやすいルールを作っておくことが鉄則になってくるんじゃないかなと思います。

例えばマイクロソフトには、「華麗になる自腹文化」というものがあります。自腹で買ってきたものを自由に使いましょうという、自腹文化というものがあるんですね。

ちなみに、これは全部私が持っているものです。私は自分ではそうでもないと思ってたんですけれど、やはり異常なまでのガジェッターで、新しいものが出ると、とりあえず買って試しちゃうというところがあって、うちのかみさんに「これをどうやって使い分けるのか？」と禁断の質問を受けると、いつもゴニョゴニョと誤魔化すんですけれど。

こういったMacとかiPadとかiPhoneを自由に使って構わない。それこそ会社に持って行って使ってもぜんぜん構わないですね。とくに最近はオープンソース系の人材も増えてきていますので、会社の中でもMac使いがかなり増えてきています。iPhoneも使っている人がかなり多いです。

ドメインにログインは必須

当然、条件があるんですね。「ただし」があります。

基幹業務システムに入り込むには、それを使うんだったらドメインにログオンして頂戴ね、ということになるんですね。

基幹業務というものは、当然その情報はクリティカル度が高いわけですよね。漏れたりしたら大変なわけです。ということは、きちんと管理をされていないといけないと。

そのためにはなにがいるかというと、先ほど言った、1個しかないユーザーIDと紐付いた状態で管理できることが絶対条件になります。つまり、ドメインに入ってもらうということになるわけですね。そういう論法です。

だから、「使っていいよ。ぜんぜんいいよ。ただしドメインに入ってね」となると、Macを使っている人はどうやって入るかというと、仮想環境にWindowsを入れて、そのWindowsでドメインに入って基幹業務に関しては使うということになります。

めんどくさいと思うかもしれないですけど、使うのはどうせ基幹業務の部分だけです。メールとかチャットは全部Mac上でできます。

みなさん考えていただきたいんですけど、基幹業務しか使わない人ってほとんどいないんですよね。基幹業務は全体からすると、パーセントでいうとかなり少ないというのが、いろんな調査を行った結果として出ています。

どんな業種・職種の方であっても、「一番見てるのはなに？」と聞くと、たいていの場合はコミュニケーションツールです。メールだったり、あるいは情報共有のサイトだったりというところが割合的には多いんですね。

だから、「基幹業務の部分を使う時だけは、ドメインにログオンしたアカウントで入ってください」、これは業務上はぜんぜんネックにはならないです。

もしものときもIntune管理下なら安心

そして、先ほど言ったように、Apple製品も、場合によってはAndroidも、こういったものも利用はまったく問題ないです。

ですので、Androidのスマートフォンを使っていたり、iPhoneを使っている人間がメールやチャットを見たり、場合によっては基幹業務に入ることもあります。

でも、これも条件があるんですね。先ほどドメインという話をしましたけど、もう1つ。（Microsoft）Intuneの配下に入ると。

管理下に入ると、業務アプリケーションを利用することもできます。ちゃんと業務アプリケーションがApp Storeにあるんですね。それをダウンロードして、インストールして使うことができます。

もう1つ。MSITが、個人用のデバイスなんだけれど、ちゃんと守ってくれることになります。

もし仮に落としたというようなことになると、ちゃんとリモートワイプをかけたりという仕組みもあるわけですね。「落としちゃった」「飲み屋に忘れちゃった」ということがもしあったとしても、結果的には致命傷を負わないで済むということになるわけです。

禁止すると人は“抜け穴”を探す

そして、先ほど言ったように、禁止事項を増やすとどうなるのかという話なんですが、禁止事項を増やすと、人は抜け穴を探すんですよ。そういうふうにできてるんですね。「どうやったら抜け穴があるかな？」と探し始めます。

ある会社は、「インターネットに接続していない端末で仕事をすることによって、セキュリティを担保している」とおっしゃっていました。確かにそうですね。インターネットにつながっていなかったら、外部からの攻撃はできません。

でも、そこに別のルールがあったんですね。夜の8時になると、その業務端末は強制的に電源が落とされるというルールがありました。どうやら労働組合との取り決めのようなかたちで、ルールが別にあったんですね。ITのルールとは別にありました。

すると、働いている人はどうなるか？　すべての仕事が8時に終わってればいいんですけれど、残念ながら日本人は少し長く働く癖がついちゃってますから、終わらないわけです。

「まあいいや、帰ろう」というほど、いい加減な民族でもないので、どうするかというと「どうにかしてこの仕事を別の端末でできないかな？」と考え始めるんですね。

その会社ではラッキーなことにUSBを使えたんです。USBをプスッと挿して、データをコピーして抜いて、インターネットにつながっている数少ない出島のような端末のところに行ってプスっと挿して、自分のフリーメールのアドレスからそれを家のパソコンに送って。

そして、たっぷりとマルウェアが培養されている家のパソコンでパカパカとそれらの仕事をして、いつまにやらデータが漏れちゃいました。これは現実にあった話です。どことは言いませんけれど、そういったことが起きるんですね。

なにが不幸だったのか。もともとはセキュリティのレベルを高めるために、インターネットに接続しないというルールにしてたはずなんですよね。ですが、その一方で、ぜんぜん違うルールがあったりするわけです。夜8時になるとパソコンが落ちる。

なおかつ、8時になったら「もういいや、終わっちゃったから、俺帰る。飲みに行こう」とやって、それを続けたらどうなるのか？　その人、絶対に上司に怒られますよね。「だってパソコンが8時までなんだもん」。たぶん、その言い訳は聞いてくれないわけです。結果、こういう抜け道を探すということになってきます。

こういったことが起きないようにするためにはどうすればいいかというと、今日はかなりマインドセットの話が多いんですけど、実はそこに帰結します。

なぜかというと、今ある技術というものはすべて、セキュリティレベルを高めるために全部ちゃんと揃ってるはずなんです。だけど、マインドセットによってそれが全部崩されているんです。

日本の企業は「社員を子供扱いしている」

次はショッキングな言い方かもしれないんですが、実はこれなんですね。社員を子供扱いしているということが、グローバルで日本を見たときのマネジメントの問題として指摘されている事実です。

「日本って不思議な国だね。社員をまるで子供のように扱うんだね」。これは、ガキ扱いするというよりも、どちらかというと、子供のように過保護にするという意味です。「そこまでやらなくていいだろう」というサービスを施してしまうんですね。

なんでもかんでも欧米のほうがいいとは言いませんけれど、「いいじゃん、そんなの契約で」というふうに、欧米の人から見ると、あるいは日本以外のアジアの諸国からすると、すごく不思議に見えるんですね。

「いいじゃん。本人に任せれば」とならないんです。制度や仕組みによってそれをどうにか担保しようとすることが、日本人の特徴だったりするんですね。

理由は、社員を完全に大人扱いする。要するに、契約書によってそれを担保するというやり方をせずに、仕組みやITによってどうにかそれをカバーしようとするのが、日本人マインド、日本人のIT環境にありがちな話になります。

高い透明性が企業経営を守る

さて、今から少し話題を変えてみたいと思います。マイクロソフトの中で、こんな言葉をよく使います。「Single Version of Truth」ということをビジネスの中で言ったりすることがあります。

これはなにかというと、そのままなんですね。「真実は1個だけですよ」。あまりピンとこないかもしれないんですけれど、マイクロソフトにおいてデータ、とくに基幹業務におけるデータは1個しかない。あるいは、ここと決められたところにあるデータだけが本物だという、そういった定義になっています。真実はとにかく1つだけだと。

そして、なにもかも透明にしちゃうんですね。高い透明性が企業経営を守ると、我々は考えています。

どういうことか、デモでご覧いただきましょう。例えば、これがなにかというと、私が運営しているマイクロソフトテクノロジーセンターの全世界の稼働状況になります。

テクノロジーセンターというのは部屋が何部屋かあって、そこのなかでセッションをデリバリーしていったり、あるいはお客さんとディスカッションをして、なにかの答えを導き出したり、そういったことをするわけなんですが、そのセッション数だったりが全部こうやってダッシュボードになっています。

そして、これは全世界で41ヶ所、サテライトまで入れると50ヶ所近くあるんですが、それが全部一覧で見えることになります。使いたいという人たちは、とにかくこのツールを全世界で使うことになるんですね。

「Engagement Request Tool」からリクエストをしていって、そして予約されたものだけがカウントされるということになります。入り口はとにかく1個しかないんです。ここから予約をされたもの以外はデータとして認められません。

ここで予約をすると、全部、そのセッションが終わったあとに、ここに反映をされることになります。そうすると、各国の状態が1発でわかる状態になっています。

レポートを作って仕事をしてる気にならない

例えばちょっと見てみましょうか。せっかくですので、画面スケッチを使ってみましょう。Japanは、ここにありますね。371という数字があります。ブラジルやフランスにちょっと負けてるんですね。

「チクショー」と思うわけです。「ブラジルなんて3つ違いか。どうにか抜いてやる」「電話攻撃でもして、予約できないようにしてやろうか」とか、いろいろ作戦を練れるわけですね。

ちなみに、North Americaが断トツなんですが、これは20ヶ所ぐらいの合算になってるので放っておいていいです。割る20すればたいした数字ではないので。

というようなことが、毎日、毎日アップデートされるので、このデータを見ていれば、私はもう次のプランを立てることができるし、あるいは、今どれぐらいの回数やってるのかなということを再集計する必要もまったくないんですね。このポータルを見るだけでいいという状態になっています。

やり方は、「予約するときにこのツールを使ってね」ということを使いたい人に対して徹底する、それだけなんですね。「メールベースで僕に依頼しても、それは受け入れられないよ。このツールで入れてね」、この1ヶ所だけにする。

先ほど言った「例外なしにする」ということは、こういうところなんです。例外なくそうやっていると、一発でデータが見られる状態になります。

レポート業務というものは、けっこうこれが麻薬なんですね。仕事している気分にさせる魔力があります。ですが、残念ながらそれはなにも生み出していないんですね。なにかを生み出しているのは、なにかを作っているときです。レポートを作ってるときじゃないです。レポートは、過去の話をまとめているだけです。

我々が、ITプロとしてやっている仕事は、未来を創る仕事で、明日を創る仕事ですから、レポート業務をいかに減らすかということも、非常に大事なポイントなんですね。

今日のキーノートの中でもそういったお話があったと思います。オペレーションに関するお話を、ビットアイル・エクイニクスさんからしていただきましたけれど、あれもまさにそうなんですね。レポートはもうダッシュボードを信用する。それをすべてにする、という考え方になります。

全世界で起きているビジネスを可視化

この高い透明性というのが企業経営を守るという考え方、これはトップの判断です。この人の顔を知ってるという方、どのぐらいいらっしゃいますでしょうか？

（会場挙手）

何人かいらっしゃいますね。ありがとうございます。別に知ってるからすごくいいことがあるわけじゃないですが、知っておいて損はない人かなと思います。

実はこの人はうちの会社の社長なんですね。「あれ、サティアじゃないの？」と思ったかもしれないんですが、サティア・ナデラはCEOで、社長職というふうに名前を受けているのはこっちの人なんですね。

彼はサティアに対してレポートをしているんですが、彼は社長職であり、法務部門のトップでもあります。法律家のトップですので、弁護士資格を持っている人間なんですが、法務部門のトップがうちの会社の社長なんですね。

サティア・ナデラはエンジニアですから、エンジニアと弁護士がうちの会社を引っ張っています。もはやセールスマーケティングの会社じゃないんですね。新しいものをイケてる技術によって実現する、それを徹底して狙ってるのがマイクロソフトという会社になりました。

とにかく全世界で起きていることをひと目で見られる状態にするということが、ITの役目でもあるわけですね。

そして、次のことを考えるんです。「今はこうなっている、ということは次になにをすればいいんだ？」というところに頭を使えるように、その時間をたくさん取ってもらうために、なるべく簡単にいろいろなものがパッと見られる状態にするということ、まさにこれがITの目指すべきものかなと思います。

決算発表が6日で可能に

ちなみに、マイクロソフトソフトがそれを徹底した結果として、どういうことが起きたかというと、決算ですね。決算がどれぐらいで出るかという話なんですけれど、ちなみに、決算がひと月以内に出せるという会社にお勤めの方、どれぐらいいらっしゃいますでしょうか？　

（会場挙手）

おっ、何社かいらっしゃいますね。ありがとうございます。では、2ヶ月以上かかるよという方、どれぐらいいらっしゃいます？　どうしても2ヶ月以上必要かなという方。

（会場挙手）

ありがとうございます。何人かいらっしゃいますね。

マイクロソフトはけっこうすぐ出ます。どのぐらいか？　6日で出ます。これ、グローバルですからね。グローバルの売上のデータが6日で株主に対して発表可能なかたちになります。

もしかしたらこの中にも、Worldwide Partner Conference、WPCというイベントに今年も行かれた方がいらっしゃるんじゃないかなと思うんですが、あの中で必ず決算報告がされているのをご存じの方も多いんじゃないかなと思います。

マイクロソフトは6月末が年度末です。Worldwide Partner Conferenceが行われるのは、7月の1週目から2週目にかけてなんですね。もうその時点ではプレゼンテーションができる状態になっています。

なぜか？　さっきからしつこく言っている、入り口が1個しかないからなんです。売上予測に関する入り口も1個だし、売上が計上される入り口も1個です。結果なにが起きるのか？　二重帳簿や粉飾決算をするための隙間がどこにもない状態になるんですね。

そして、1個だけを徹底して守ればいいという考え方になりますので、IT部門のみなさまの仕事もすごく楽になるわけです。集中することができます。

そして、さらにそれを多層で防御していくという考え方になります。そのデータベースの中にいろんな工夫をすることもできます。一発クエリですべてのデータが引けないように途中途中にトラップを仕掛けたり、抜いたとしてもその情報は暗号化されているから読み取ることができないとか、いろんなことができるわけです。そういったことをして防御しています。

でも、オペレーションとしては非常にシンプルなので、結果的には誰もがハッピーになるということになります。

93％の業務システムがクラウドに移行

そして、そういったシステムは、実はどんどん我々がみなさまに提供している、このクラウドに移行するというふうになっています。実はこの基幹業務の93パーセントが今年度中にすべてクラウドに乗っかることになっています。

内訳としては、IaaSだったり、PaaSだったり、作り直しでだったりも含まれるんですが、93パーセントの業務はもうクラウドに上がるという判断がついていて、今まさにその移植作業をしている最中なんですね。

これは非常に数多くのアウトソーシング、アウトソーサーの方々の協力も得ながら、プロフェッショナリズムの力を借りながら、実際にこのシステムは構築をされています。

この中には……マイクロソフトというのはいくつかの大型買収をしています。例えば、LinkedInだったり、Skypeだったり、少し前だとYammerだったり、そういったところのシステムを入れています。

当然もともとはノンマイクロソフトのシステムです。そういったものも含めて、マイクロソフトがやっているITのガバナンスを利かせた管理の中に取り込んで、そして最終的にはクラウド化していくところまでやってるんですね。これが結果的に経営に効いてくるわけです。

今日のテーマは、「経営に効くIT」です。経営に効くITというものは、実は考え方は非常にシンプルだということを、もしかしたらお感じいただけたんじゃないかなと思います。

exeファイルをzipに化けさせる方法

では、いろいろ言ったんですけれど、せっかく私が会社のPCで、デモもできる状態なので、ちょっとおもしろいデモをしましょうか。キーノートでもやったデモなので、デモそのものはキーノートご覧いただいていれば同じことをやります。

さっき言った、例えば「virus.exe」というexeのファイルがあったとします。ちょっとこれはクリックする気にならないですよね。

zipかなにかに化けさせたいと思ったらどうするかというと、キーノートでやりましたね。virusだと踏んでくれないから、gameとかにしましょう。

「game.zip」とかってやりたいんですけど、このexeの拡張子を隠したい場合ってどうするか覚えていらっしゃいますか。右クリックで「Unicode制御文字の挿入」で「RLO」とやって、「piz.exe」と打つと、これzipファイルができあがるわけですね。

これを「Control＋C」、要するに全選択してコピーして、ZIPファイルのアイコンであるファイルに貼り付けたら、それでexeファイルをZIPに化かすことができる、そういう話なんですが。

1分で異常ファイルを指摘

これは、私よくあちこちでデモをやるので、会社のネットワークにつながってるパソコンにうっかりそこで使ったファイルをコピーしたんですね。なにが起きたかというと、1分でチャットが来ました。「お前、なにコピーしてるの？」と言って、セキュリティセンターからチャットが来たんですね。

これが、先ほど言った、一時間に800回起きる要アクションのセキュリティイベントと、そういう考え方だったんですね

1分経った時点でポンと来て、「うわっ、なんじゃ？」と思って、「なんでわかったの？」と。「Windows Defenderでアラートが上がるんだよ」と、「言われてみりゃ、そのとおりだ」なんですよね。「あ、そうだよね」って。

でも、それが要アクションで、なおかつ、1分以内にチャットが来るぐらいに、クリティカル度が高くて、なおかつ、ちゃんとそういうスキームができてるというところに、僕は非常に安心感を持ったんですね。べた褒めしました。「あんたらやってる仕事すげえよ」と。

これはインドのオペレーションセンターから連絡が来たんですよ。それで「あんたすげえな」と言ったら、「あまりそういうことを言われることはない。どちらかというと鬱陶しがられることのほうが多い」みたいなことを言っていたんですが、でも、実際すごいですよね。

こういったものは、とにかく自慢してほしいんですよね。こうやって我々はアクションを取っている。とくにセキュリティに関するインシデントへの対応というものは、どんどん経営層に対してアピールをしたほうがいいです。

「うちの会社ではこんなことが起きている。ゆえにこういうアクションが必要だ」「こういう投資が必要だ」「こういう仕組みがあったほうがいい」「でも、その一方で、大いなる自由が得られて、そして一発でわかるようなダッシュボード化もできますよ」なんて提案ができれば、経営層の人は「うん」と言うわけですね。ITに対してコストだとかなんとかって、そういうことを言うことはなくなるんじゃないかなと思います。

ITの力で明日を創りましょう

では、いよいよ最後にということなるんですけれど。

私はもともとある企業のIT部門の子会社で働いていた経験がありますので、IT部門の人、ITプロの人たちがときに孤独であり、そして心が折れることがある（ということを知っています）。本当に心が折れることありますよね。

サーバールームで夜を明かしたことがある方は、どのぐらいいらっしゃいますか？

（会場挙手）

いるなー！（笑）。どうしよう。今、本当に心がつながりましたね。サーバールームって寒いんですよ。どうするかというとサーバーの上で寝るんですね。これが暖かいんだ。やらないほうがいいですよ。体に悪いですから（笑）。

そういった経験があって。こんなの自慢してるわけでもなんでもないですよ。やっぱりそういう生活ってすべきじゃないんですよ、本当は。だけど、そういうことが起きるんですよね。残念ながら。

そんなみなさん、今、私も心通じましたけど、でもマイクロソフトは知ってるんですよ。

なにを知ってるのか。本当にみなさんがヒーローだって知ってるんです。だって、そんな思いをして必死になってがんばってやってるのがなにかというと、組織の運営に対する紛れもない貢献なんですよね。ちょっと見えにくいだけなんです。ちょっと影のヒーローなだけなんです。

だから、我々がやることは、とにかく明日を創ることだけなんですね。絶対できるんですよ。ITの力があれば、絶対明日を創ることができるし、そのお手伝いを我々はずっとしていきたい、そんなふうに考えています。

みなさんと一緒にITの力で明日を創る。その明日の創り方を一緒に考えるために、これからもずっとお付き合いいただければ幸いでございます。

ちょうど私の持ち時間50分が経過したようです。このあとはぜひBeer Bashで。質問に関しては、そのなかで受けることになっていますので、もしよろしかったらこちらにいらしてください。

最後になります。約束してください。我々はみなさんが明日を創ることをお手伝いします。みなさんも一緒にITの力で明日を創っていきましょう。ありがとうございました！

（会場拍手）