レガシー環境でセキュリティ担保もできていなかった　システム統括部マネジャーが語る過去のアサヒのシステム状況の過去

自己紹介

清水博氏（以下、清水）：アサヒグループホールディングスの清水と言います。私自身はもともとある意味この酒類業界の人間ではなくSIにいた人間で、私も若い時はとにかく本当にもうゲーム業界に行きたくて、プログラミングなどの学習をよくしていました。そういう意味ではSIの領域に足を踏み入れましたが、ひょんなことにいろいろな機会があり、こういった消費財メーカーに来るきっかけになりました。

そのため、実態としてITきっかけでアサヒにいるわけではなく、実はアサヒビールの事業、具体的には国際事業をやらしてもらうためにアサヒに入社したっていうのが、もう14、5年ぐらい前かと思っています。

IT離れてもう実は10年以上経っていて。5年ぐらい前から、アサヒグループホールティングスのシステム統括部に所属し始めました。

そのきっかけですが、私自身ももともとITかじっているっていう意味では、まったくゼロベースではありません。ただ一方で、アサヒのビジネス側にいた私の目線でいうと、インフラ含めてとにかくビジネスを正確に遂行できるレベルには達していないと思っていた部分で。「どうなってんだろうな」と、ちょっと興味本位もあるんですけど。

そういう機会があり、かっこよく言うと「ちょっとなんかやってやろうか」ぐらいの感じで、「うちの会社、もうちょっとよくなるんじゃないか」というような、そんな目線でシステム部門に来ています。そのため、通常の会社の情シス部門みたいな部門になります。

アサヒグループホールディングスにおけるIT部門の位置づけ

アサヒグループホールディングスのIT部門の位置づけという点では、どうなっているのかをちょっと触れておいたほうがいいと思っていて。今日お話しする上で、やはり予算や金、当然、戦略立案全部がかかってくるので、部門のポジションが不明確だと、ちょっと話がつながらないかなと。

アサヒグループは今ホールティングカンパニー制をひいているので、各事業会社は図のとおりホールディングの日本の下にぶら下がっている。海外もスライドの右のほうにありますが、IT部門は各事業会社にはもう存在していないことを、この図でお話ししておきたいと思っています。

今でいうと、例えば「パブリッククラウドにサーバー立てたい」みたいな、個別レベルでそんな話をできることは今のところない状態になっているので、基本的にはホールディングのIT部門としての全体の予算を持って、その方向性や戦略を確立させた中で、各事業会社に利用をしてもらっています。

そのため、サービス提供側みたいな感じです。アサヒグループの各事業会社に対して必要なサービスを作り、そのサービスを提供してホールディングから各事業会社にお金を請求しているかたち。そのため、「サービスがちょっとイマイチだぞ」と言われたら変えなきゃいけないし、お金を請求しているから、やりたいことを実現してあげなきゃいけない立場になっています。

本日のセッションの内容と伝えたいこと

今日用意しているものはタイトルどおりですが、少し脱線する内容も含めています。ちょっと簡単に、弊社の状況だけ伝えたいと思っているのとともに、今日はセキュリティ領域の話ではあるので。先ほどの紹介の記載にもありましたが、私はセキュリティの担当ではありません。

別にセキュリティの専門チーム、CSIRTのチームもあるので、私自身がセキュリティに対する、ある意味専門的な領域を持っているのではありません。どちらかというと全体の企画・立案や、アーキテクチャが私のミッションになっているので、グループ全体の必要な基盤などを企画していく立場になります。

そのため、その立場の中でセキュリティの話をしようと思います。その中で、良い例・悪い例と書いてありますが、我々が今までやってきたことをいくつかの例、事例ではなくやり方みたいなものをちょっとあげて、まとめとしています。

スライドに書いたような着地になるかわかりません。ちょっとズレるかもしれません。我々がやってきたことにおいて、そもそもセキュリティに興味がある人はいますけど、会社としてはあまり興味はないかと思っています。

あまり真面目に説明しても、誰も聞く耳を持ってくれてないので。我々に興味がない人には基本的にはもう説明しないというのが私の方針なので、わかる人にちゃんと説明してしっかり進めていこうと思っています。

アサヒグループホールディングスのビジネスの現状

アサヒとしては、先ほどもお話ししたように酒類事業や、飲料事業、食品、その他とありますが、売り上げベースでいくと、実は海外で4割強収益をとっている会社になってきています。これがどういうことかは、たぶんみなさんであれば想像できていると思います。

同時に、実は利益もちょっと海外のほうが売り上げの比率よりは高いというぐらいで、やはり海外のほうが利益が高めである領域があります。会社の売り上げは多いですが、事業をやっていく上で、やはり利益を出してその利益を再投資に回す。そういったサイクルを回していかなければ、最終的には売り上げも伸びないし、市場も拡大していかない。市場としてはダウントレンド市場です。

全体を見た時に、今はだいたい3万人ぐらいいます。全部で見た場合に、いろいろなリージョンにそれなりの塊が存在しています。そのため、日本だけのやり方みたいな話、従来でいうとアサヒビールだけ、アサヒ飲料だけみたいなやり方が、もう通用しないことは、この世界地図から見てもわかることかと思います。

現実的にもう半分近くは日本の国籍を持っていないので、当然コミュニケーションは日本語だったり英語だったり、ヨーロッパ側だったら意外に英語が通じずにイタリア語とか。このようなリージョンを持っているので、全世界的に対してのコミュニケーションをどうとっていくか、情報の伝達をどうするのかが、工場内の販売拠点においても、課題はあるとわかると思います。

ITはやりすぎず、やらなすぎずの対応

その時に、ビジネス側とIT側をちょっと分けていますが、私は年ぐらいは営業に近い、グローバルミッションのほうにいたので、まず大前提に業務優先だろうと。

やりたいと思って進みが遅かったり、情報管理っていう目線で「いやそれはダメだ」と言われたら、「会社はどうなってんだよ」「ビジネスを優先するんじゃないのか」とすぐ言っちゃう人だから。正直興味はないし、「業務だけは邪魔すんなよ」と常に思ってきました。

ビジネスから見たらIT、セキュリティなんてもう「勝手にやっとけ」と。究極には、邪魔なもの。表現はともかく、俺の邪魔だけはしないでくれというところは共通認識かと私は思っています。

IT側から見たら、アサヒは実はここから脱出していると私は思っていて。こういった会社も多いと思いますが、今までにおいては「やりすぎず、やらなさすぎず」というぐらいかなと。

経営から「うちってちゃんとやってんだっけ？」みたいな話を聞かれたら、「〇〇の企業とだいたい一緒のことをやっています。あそこもやってるから、うちもやってます」と。

弊社でいうと、食品業界でだいたいみんなやっているならやんなきゃね、というところはあるので。無理してはやらないし、やっていなかったら「だって隣もやってんだから」と。弊社でいうと「KIRINもやってんだから、アサヒもやれよ」みたいなのは定説としてあります。あまり考えていません。周りにあわせるのが、従来型かと思っています。

セキュリティ担保がまったくできていなかった過去

ちょっとマイクロソフト系のロゴを出してみましたが、アサヒの1例として（笑）。ほかにもたくさん似たようなことはありますが、驚異的だと思いますが、2016年までアサヒはOffice 2003を使っていました。私は2014年にIT部門にきましたがそれまで国際にいて、Office 2003でずっと業務してきたという。

この時点で「何考えてんだよ」という話になるわけです。それは単純にOfficeのバージョンが古いから業務効率が下がるとか、場合によってはOfficeの新しい機能が使えないとかそういう話ではなく、セキュリティという目線においても、まったく担保できない。

今日細かくは話しませんが、境界防御におけるセキュリティ担保の点においても、境界を張った上でやっているという意味では、その条件のもとでしかOffice 2003は回っていかない。条件が揃ってないと使えない、レガシーな環境でした。

一方で、実は今のアサヒは、E5を使っているということで。2016年はE3でしたが、このジャンプもやばいです。どうやってやったのかというのがありますが、今日その話はしません（笑）。この5年の中で一気にE5にジャンプするような時系列をインプットしたかっただけで、このスライドを用意しました。

この5年でなにかあるのではないかという、そんなことかと。2016年まで、典型的にIT部門が先行してなにもやってきたわけではないという意味では、繰り返しますが、やりすぎてもいけないし、場合によってはちょっとやらなすぎなのが、弊社の2016年までの立ち位置でした。

これはよく言われている、企業の中における情報システム部門のポジションニングです。我々はメーカーなのでどうしてもマーケティング部門などが非常にホットで、みんなが手をあげて「情報システム部門に行きたい！」「俺も、私も行きたい！」と手があがる部門には、間違いなくなっていなかったのが事実かと思っています。

（次回につづく）