セキュリティも中期的なビジョンを持つべきだ　IT投資の稟議に必要なのはビジネス側への課題落とし込み

2019年からはじまったセキュリティの本格的な見直し

清水博氏（以下、清水）：では、この5年で何が起こったのかということで、先ほどあったようにいくつか例をあげていきたいなと思っています。

ちょっと近いところの話で、日付でいうと2019年の4月で、私がITにきて5年経った時。いろいろ当然戦略などはもっと前に考えてはいますが、2017年や2018年に出始めて、最近メチャメチャホットな“ゼロトラスト”みたいな言葉が出てきて。「これは部内で共有しなきゃ」と、情報をまとめて。もうえらい、壮大なサブタイトルに書いていますが「ビジネスに変革を起こすネットワーク戦略」（笑）。

実は社内のドキュメントですが、その中でもやはりセキュリティというところで、「みんなで考えようよ」と。この時は別にセキュリティ担当じゃないんですけど（笑）。

セキュリティをちゃんと管理していく、セキュリティマネジメントと概念をちゃんと持っていくべきであるというところや、「そもそもゼロトラストって何」というような基礎的な知識の情報を集めて。このあたり、ちょっとどちらかというとコミュニティレベル、F5やマイクロソフトなどもいるコミュニティなどに出て、セキュリティの専門家みたいな人たちがあーだこーだというところを、いろいろ話を聞いて社内で展開するようなきっかけがありました。

社内でゼロトラストの話をするも上手くいかない

ではどんな話したのか。このあたりはもうみなさんも知っていると思うのでゼロトラストの話はしませんが、ちょっと当時はやはり「かっこよくみんなに説明したい」「ゼロトラストけっこうおもしろいよ」ということで。今日はマイクロソフトが使っていた資料をそのまま切り抜いてきたのでもしかしたら見たことあるかもしれません。

部内でマイクロソフトを含めて「この概念大事だよね」「境界防御って、本当に大丈夫？」という話を出して。「なんやねんそれ」みたいな感じで聞いていましたが、いろいろ読んでいくとまあまあ合理的だと。

けっこう昔からある概念ですが、会社として必要だったかという意味では、たぶん不要だったという。

これもマイクロソフトの資料ですが、こういう資料の中でAzure ADのアイコンを使っているから、2018年ごろにAzureの世界でゼロトラストしましょうという話が出ていたので、こんな話を部内でやってきました。

境界の中で起こっていることをけっこう見過ごしているというところは、実はこのゼロトラストの概念の中で私自身が一番わかっていたけど、ちょっと目を瞑っていた部分です。極端にいうと、内部犯というような、セキュリティ概念かなと思っています。

変な話ではありませんが、例えばメーカーであれば、やはり新商品などは当然すごい大事な情報です。ただ、すごく残念なことに、我々もそうですが発売前に競合の情報を持っていたり、実はけっこう競合の資料を持っていたりがけっこうあります。

逆に言うと、我々の資料も漏れているということだから、そういう意味でここはもうほぼ見過ごされてると私が感じた部分なので。

最終的にはゼロトラストの概念の1つになりますが、今までの境界防御と違い、誰を信用するしないじゃなく、基本的には誰も信用しないことを前提に、セキュリティ設計をしていかなきゃいけない。

というところで、最終的には我々の組織がどう変わるのかを、この資料で説明しましたが、個人的にはけっこうわかりやすいと思っていて。資産とか脅威とか、場合によっては利便性っていうような切り口で。

今ならなんとなくわかる感じもします。リモートワークの話もあるので、どこでも仕事できるとか。弊社の中ではもうちょっと伝わる感じはしますが、なにせ3年ぐらい前なので「それってなんのメリットあんの？」みたいな。そんな話から入っていったので、けっこう「よくわからん」と言われました。

今の資料でもわからないと。私もびっくりしました。「これでわからなきゃ、もう誰もわからないよ」と思いましたが、ここからゼロトラストは正直アサヒの中でもそんなに盛り上がらず、低空飛行しながら今日にいたる感じです。これが1つの悪い例。こういうふうに、たぶんセキュリティの話をしてもダメなんだな、というのが私の所感です。

ITの話題はビジネスに落とし込んで説明する

あと最近における365です。アサヒもE5になっているので、スライドのような図です。当時もこれをパッとした瞬間に、アサヒの場合、わからない人であれば「いや、もういいです」と言われます。

「この図、何を言いたいのかよくわからん」と。ITだろうがなんだろうが、経営に持っていってもこんなんじゃ通用しない。実はこの図はすごく重要な図です。今アサヒはゼロトラストの最初の1歩を踏み出そうとしていて、実はもう年内にはそうなっていきますが、だいたい経営から「もういいよ」と言われます。

もう少しいい例を見ていきます。ゼロトラストの話をする上で、こういう単語を並べちゃうとやはりどうしても毛嫌いするという意味では、「アサヒのゴールは、別にゼロトラストっていう単語ではないよ」というところや、「ゼロトラストって、別にモノとかサービスではないよ。概念ですよ」というところを、これをスタートとして。

考え方、場合によってはこれは1つの枠というか、考え方のツールみたいな。それも事実ですが、「要はセキュリティを考える上での1つのコンセプトです」と最初に謳った上で、昨今でいう弊社のM＆A戦略において、グローバルに広がっていくところで、今どんな課題があるかを掘っていくような手法になっています。

当然ながらこれはCOVID‑19もそうですし、私はビジネス側から来ている人間なので、どちらかというと外部環境における部分の切り口のほうが、はるかにセキュリティに近づくヒントとなっているかなと。

そんな中で、先ほどもお話したようにM＆Aをしてきた会社がだいたい3万数千人いますが、言語も違う、カルチャーも違う中で、アサヒビール含めても130年以上歴史があるので、やはりなんか変わると言っても変われない。

日本が一番だって思っているというのがやはりあるので、グローバルとの間でどうコミュニケーションをとっていくのかという意味で、まずアサヒのゴールとしては実は非常にシンプルで。セキュリティをやりたいわけじゃなくて単純な話です「世界中いつでもどこでも」。

ゼロトラストにもあったような1つの概念を抜き出して、世界中がちゃんとコミュニケーションできるようにしましょうという、すごくシンプルですが業務的目線に持ち込んでいる状態になっています。

特にヨーロッパとか、ワークスペース、デジタルのワークスペースをしっかりオープンなネットワークにのせないと。あと、もともと世界1位のAnheuser-Busch InBevの会社の子会社という意味では、ネットワークの環境や、場合によってはそこで動いているアプリケーションや、データセンターの運用などは、本当に会社ごとバラバラなので、それを揃えていくのはもう至難の業です。

また、一方で彼らにもオープンなネットワークに出てきてもらわなければいけないので、アサヒグループとして、世界中でどこでも業務できるのが、非常にシンプルなメッセージとして、経営に伝わってきたのではないかと私は思っています。

働く場所に依存しないとか、内部犯行を徹底的に防止していくような政策を今後とっていくとか。経営陣でいうと、最終的には本当にPLベースでしか見ていない、利益だけ見ている、そういう業務を専門的にやっている方もいるので。ビジネスがどうなろうがなんだろうが、数字は絶対死守する方もいるので。

そういう意味で、例えば最終的にはプライベートのネットワークを段階的に撤廃していく。今出せないものはちょっと消していますが、コストダウン戦略のような領域もロードマップ上にちゃんと散りばめてあげた上で、アサヒのゼロトラストという概念をビジネスにおとすような取り組み。これは我々としてはうまくいっているほうかなと。

そうすると「なんかグローバルのコミュニケーション課題、解決できそうじゃん、これで」と。ゼロトラストだけではまったく解決できないと思います（笑）。その1つの第一歩としてはできますが。経営のイメージとして「グローバルのコミュニケーション、もううまく解決できる方法が見つかりそうだね」というような進め方になっているという意味では、少しうまくいったかなと思っています。

SoE領域における改善のための切り口

もう1つぐらいいきます。これよく外に出していますが、上がSoEで下がSoRです。アサヒはデータセンター運用しているのでだいぶ減り、今はだいたい8割5分ぐらいがオンプレミスにあります。当然、そこにはオラクルなどの非常にレガシーなものが動いています。サポートが切れたものも、当然たくさん動いています。

一方、SoE領域においてはAzureやAWS、GCPです。アサヒはマルチクラウド戦略をとっているので、先ほど言ったワークスペースを加味した全体のアーキテクチャを、2027年までにどう実現していくのかを書いたりしています。

この中でBoxにちょっとマーカーがしてありますが、Boxをちょっと入れたいという部門の話があって。これ、出たり入ったりでけっこう消えてます。ただ全体のアーキテクチャ上において、こういったサービスは単なるストレージではないかとずっと言われてきていて、そういう話をどやってアーキテクチャの中に組み込むことでやっていけるのかという紹介になります。

これはBoxの資料ですが、生産性とセキュリティと書いてあります。彼らはストレージの会社でもありますが、実はかなりセキュリティの機能が我々としてはかなり重要だっていうところで。我々としては注目していた矢先に、「まさにこういったことをやりたいんだ」というところで、先ほども言いました、総務法務が完全なる味方になっていることです。

だから、実はIT部門でBoxなどは完全に確保できない体制になっていて、ドキュメントや社内規定、場合によって社内倫理規定など、データの保管場所や保管期限など、これは当然総務法務でけっこう昔からやりたいことですが、言い方は変ですが予算づけという意味では、我々はメーカーなので、マーケティング予算などと比べると、あんまりつかないわけです。

だから、やりたいこともガバナンス課題もずっと持っていて、今、総務法務とアサヒが一緒に組むことで、実はガバナンス課題がもう、ものすごいスピードで解決していくようなロードマップをひいている。1つの例としてはツールに走ってしまいそうですが、実はビジネスとして、会社として回さなければいけないセキュリティ課題は、実はガバナンスであることも多いと思っているので。

そういった部分でいうと、ITではなく弁護士含めて社内にいる総務法務の人たちが、やりたいことが実現できるという、そんな切り口でやっていたりもします。

アーキテクチャの改善もビジネス側からアプローチ

もう1個いきます。同じようなアーキテクチャです。

先ほど説明漏れてしまいましたが、アサヒでいうとSoEのモダンなアーキテクチャとレガシーのアーキテクチャがあるので、ここをどうつなげていくかの話としては、2027年にはデータセンターを完全に撤廃するか、もしくは一部残さなければいけないものがあるのであれば残す。原理原則は、スライドの赤い枠のところは基本的にはゼロにする戦略をひいているので、じゃあこれをどのようにやっていくか。

やらなきゃいけないことはわかっている。私がいつも言う「What」です。これから何をすべきかは、だいたいわかってます。

しかし、どうやるかがわからないという意味では、この間に抽象化されたレイヤーという概念をおいています。この絵に描かれているサービスにおいては、多くのものはもう導入していると認識してもらえればよくて、絵に描いた餅ではないことになります。

抽象化レイヤーにおいて、赤いレガシーのレイアウトと新しい青いモダンなレイヤーを、どう疎結合の状態でつなぎ合わしていくのか。このような概念を、ITチックですがアーキテクチャベース概念として提案をしていくと、「わからない」とは言われません。

ビジネスの目線であったり、コストダウンであったり、場合によってはアプリケーションレイヤーの話をしていくだけではなくビジネスの話をしていけば、「なんかすごそうだな」と。

これは本当に言われたことで「得体の知れないことをやっているな」ということで、「もう任せます」と。こういうやり方もありかなと私は思っているので（笑）。任せられたらもうこっちのもんかな、という例もあると思っています。

ビジネスに貢献できないセキュリティは片手落ちである

ちょっとまとめておきたいと思います。ちょっと伝わるメッセージかわかりませんが、私なりに5つぐらい、先ほどの話を文面にしてみました。

セキュリティを考える上で、脅威そのものから守るのは当然目的ではないと私は思っていて。セキュリティであっても、ビジネスに貢献できなければ真のセキュリティとしては片手落ちかなと思っています。

一方で、会社にとってリソース、人という意味ではとても大事なもので。人がいなければ会社はもうとっくに倒産しているので、人の働く場所、昨今流行っていますが、ワークスペースの切り口でセキュリティを強化するのは非常に有効だなと。ワークスペースをよくすると言いながら、実はセキュリティはかなり強化されている。これはよくあるパターンかなと思っています。

もう1つは、先ほどの総務法務の話です。企業管理上、ガバナンス領域はけっこううまくできていない会社が多いので、その目的達成にしっかり便乗していくところも1つあるかなと。

これは余談でネットワークの話ですが、弊社は専門線を中心とした莫大なコストをかけてきた中で、ここから脱却するだけで、コスト的な大きなメリットを得られるという意味では、脱却しながらセキュリティを強化していく。脱却する代わりに、セキュリティを強化しなくてはいけないという切り口もあるかなと。

最後に、これはセキュリティに限らずですが、やはり全体のアプリケーションレイヤーもし、ビジネスにおけるビジネスのアーキテクチャも、どんな会社でも中長期的なビジョンっは必要かと思っていて。

我々は、今までまったくセキュリティにはありませんでした。2016年までOffice 2003使っているぐらいですから。そういう意味でセキュリティこそ、言われてやっていたものから、中長期的なビジョンをもつべきであると私は思っています。

最後に、今まで話した話は、正直ベンダーに助けてもらったことは1回もなくて。やはりいろいろなコミュニティやベンダーは、実は我々のことをあまりわかっていなくて、我々としては、最後は自分たちだと思っているので。ちょっとベンダーには怒られそうですが、ベンダーはやる時には手伝ってくれるけれど、答えはやはり自分たちの中にあると常に私は思っているので。

定番の言葉ですが、いつもこれで締めるのでこの2つのメッセージを最後に置きました。私からは以上です。