セキュリティも働き方改革も“ビジネスアーキテクチャ”　注力する場所を決め、組織の意思決定で握り、やりきる大切さ

組織に変化をもたらすなら人材流動性が必要

中野仁氏（以下、中野）：今回踏み込みたいのが、体制の作りです。どうやってそういう組織にしていくかといったような、組織にフォーカスした変わり方みたいなところを、清水さんに聞きたいです。最初入った時に（組織が）どうで、今どういうふうに変わってきたのかみたいなことです。

清水博氏（以下、清水）：どうだろう。私の目線ではまだ何も変わっていないと思っています。僕は、たぶん変われないと思っています。こういう質問をするとちょっと「どうなの？」となりますが、山本さんがあと何年マイクロソフトで働くかは、たぶん自分の頭の中にはあるわけです（よね）。一生働こうなんて思っていないから。

山本築氏（以下、山本）：確かに一生はないですね。

清水：我々も含めて、日本の中のいろいろな企業は今の若手たちが（その企業に）一生いるなんて思っていないわけです。だけど「どれぐらいいるの？」といった時に、山本さんほど明確でない可能性が高いんです。「なんかいい企業があったらいこうかな」ぐらいの感じなんです。

例えば、あえて組織を作ろうにも、弊社の中では1つのカルチャーではないから、そもそも会社の組織が人が入れ替わる仕組みになっていません。

（弊社では）最近ちょっと上がってきましたが、例えば離職率が1桁台、1パーセントとか2パーセントというレベルだと、基本的に全部同じ人がやっています。組織の最終単位は人だから、そこから変化を生み出すには、人が変わらないとダメ。そうなった時に、論理的に見たら人はそんなに変わらない。放っておいたら組織が変わるわけはないので、私はそんなに変わっていないと思います。

ただ、やり方が変わったんです。組織も人もまだ何も変わっていないので、当然やり方に対する抵抗や、場合によってはまだ慣れていないことも十分発生していていて。人や組織が変わってきたということはまだないし、変わらないと私は思います。

たぶん変わらないものや未来がわからないものを無理に変えていくのは、我々としては相当パワーがいるし変わらないとは思わないのですが、最終的には今のマイクロソフトも含めて、人材流動性が高くなっていくフェーズに突入すると思います。

そうなっていないとたぶん回らなくなるので。結局、人が動き始めたら、グッとアサヒが伸びる時がくると思います。それは私の人材流動性の話です。教育や組織作りは今の課題があるからもちろんやらなければいけないのですが、私はそう思います。

中野：なるほど。

山本：企業の変革は、セキュリティとぜんぜん関係ないですが、すごく私の興味ポイントです。

清水：ぜんぜん関係ないよね。

人の振る舞いが変わったのは、組織とKPIも全部変えたから

山本：ナデラが入ってきた瞬間に、カルチャーが変わってマイクロソフトが変わったとよく言われます。カルチャーが変わった理由は何かというと、人の振る舞いが変わったとよく言われます。ただ、それと一緒に組織とKPIを全部変えているんです。

他の企業を見ると、カルチャーを変えようとして社長が「ミッション、ミッション」と落とすだけですが、組織とKPIが変わっていないと人の振る舞いが変わらないから。結局、やっていることは同じだということを今話を聞いていて考えていました。

清水：今の話は、そのくらい人が流動性がなかっただけという課題ではなくて、流動性がないと、みんなが慣れ親しんだKPIで回っているということです。

先ほどのマイクロソフトのナデラの話もそうだと私は思いますが、たぶんKPIも自分の概念も新しくマイクロソフトに入れ込んで、それに合わない人は普通に辞めているはずです。

長くいる方がどれぐらいいるかというのはありますが、それに共感したり、これでやっていけると思っているから長くいるわけです。今の我々の流動性で言うと、やはりまだまだ辞めていく人が少ないので、共感しようがしまいがやらなきゃいけないと思っているから、人の流動性がなくなっているということです。

いずれ起こると思いますが、その時はたぶん指数関数的に、爆発的に会社が変わる時だと思います。今はまだ単純に、やり方やルールをしっかり新しいレールに乗せて何とか回さなければというフェーズかなと私は思います。

セキュリティも働き方改革もビジネスアーキテクチャ

山本：ジョブローテーションなどもあったりするのですか。

清水：メチャクチャあります。当然職種にもよりますが、我々のグループの中でも、かなり激しいジョブローテーション、人事異動は一大イベントです。誰がどこにいるというのも最も重要な情報です。こんな情報は重要かと思うのですが、今のところはまだそういう組織です。

山本：逆にそこで暗黙知が養われていく関係もあるんですか。

清水：それはあります。人対人の仕事なので、場合によっては「あそこにあの人がいるから戦略がこうだ」と逆算する人もいます。「すげえな、戦略を逆算できるんだ」みたいな。

中野：思考パターンを読んで、だいたいこういうふうな考え方をするから、こういうことをするんだなと。

清水：「こういうことをやりたいんだな」ということを、戦略があってではなく、人が行った時にその人から戦略を予測することも十分あり得ます。

中野：人を媒介とした戦略の逆算は確かにやりますね。

清水：それは別に悪いことではないと思います。絶対に最小単位は必要ですから、そういう切り口もあります。セキュリティはぜんぜん関係ないですが、山本さん大丈夫ですか。

山本：ビジネスアーキテクチャですかね。

清水：ビジネスアーキテクチャね。

山本：セキュリティも働き方改革も全部ビジネスアーキテクチャです。先ほど言った、「ランサムウェアにかかりました」という時に、アーキテクチャが全部できていて情報がつながっていれば、どの端末が何台どういう感染をしたかがすぐにデータで上がってくるわけで。それをつなげるのが難しいです。

マイクロソフトでは、そういうパッケージをゼロトラストとして文脈に載せて出しているので、最近ハードルがが下がり始めていて。バズり始めた背景かなと私は思っています。

E3からE5への乗り換え

清水：ちょっと今、山本さんが軽くE5を売ろうとした感じにしか聞こえなかった。

中野：あはははは（笑）。

山本：別にゼロトラストをゴールにしたいわけじゃないですからね。

清水：ぜんぜん違いますよね。先ほどからずっと中野さんがE5を買おうと何回も言っています。八百屋じゃないんだから。そのあたりの野菜を買ってくる感じ（じゃない）。E5は本当にすごく高いから、誰もが買えるわけじゃないし、安易に買うものじゃないよ、本当に。

中野：安易に買うものじゃないって（笑）。

清水：それをくださいって（言ったら）八百屋な感じになるけれど。そんな簡単に売っていたら買いたいぐらいだけど、逆に怖いよね。

実は我々は、「（ベンダーロックされることなく）ソリューションを移行できるようにするために疎結合の抽象化レイヤーを持っている」わけです。出口戦略をちゃんと持った上で常にシステムを企画しているので、Googleの「Jagu’e’r 」というコミュニティにも入って、Googleワークスペースの情報を収集しているんです。

先ほど中野さんが言っていたように、レガシーのレイヤーとモダンなレイヤーを過渡期でつなぎあわせるという目的だけではなく、そこに新たにつながってきたオープンなプラットフォームであっても、粗結合を維持することが大前提にあるんですよね。

「それであれば（ベンダーロックされることなく）やめられるよね」とよく言うのですが、意外にやめられないサービスもけっこう多くて。その意味では、ちょっと我々はミスしたのではないかと。（だから）実は今、（必要なのは）E5だと思っています。

E3だったら簡単にやめられるんです。契約があるから。3年後はわかりません。実はもう、E3ならやめられる方法を私は確立しています。やめる前にE5を買ってしまったから、やめる方法をちょっと見失った感じがあります。

先ほど言ったGoogleのコミュニティでも、Googleワークスペースを持っている戦略とE5は当然違うので。類似するのであれば、普通に考えてE3レイヤーでしょうね。

山本：なるほどね。

清水：セキュリティ分野はどうするかと言ったら、Googleのけっこう上の北米の人も、「それはサードパーティでやってください」と言います。でも、弊社でそれ以外をサードパーティで全部組むのは大変だから、それはそうだよなと思います。

やれなくはないですよ。マカフィーとかいろいろ使ってやればいいんです。（コメントを見て）「マイクロソフトをを信じよう」というのはなかなかおもしろいですね。ただ、そこまでセキュリティを全部設計して運用していくのは、やはりパワーがかかることです。

できないことではないですが、今のところ1回E5にいってしまったら、ワークスペースとしてそれ以外に簡単に乗り換えられません。なので、例えばGoogleワークスペースが、E5的な抱き合わせでオープンソースのいろいろなものを入れてきたら、可能性はゼロではなないです。それは真の出口戦略かなと僕は思ったりします。今のところは、E5には出口戦略がないという余談でした。

ベンダーロックインされるメリット、デメリットを考える

山本：でも、セキュリティの競合がもういなくなり始めているわけで。ポイント、ポイントではありますが、ポートフォリオでデータがつながるという考え方を持った瞬間に、競合がそこまではもうできなくなっています。

中野：ZOZOテクノロジーズさんがどうしてマイクロソフトを選んだかというと、ベスト・オブ・ブリードでやれなくはないけれど、結局運用の負荷やデータをつないできちんと運用し続けるスキルの話になった時に、途端に工数とかかかるリソースが現実的ではなくなってしんどいみたいな話です。

山本：だから、私はベンダーロックインという考え方が変わり始めたなと思うのが、社内にいる身からすると、インテリジェンスをどう連携するかの議論になってきています。目先の何のツールを入れるかは、もうあまり変わらなくなってきています。

エージェントレスで入っていればいいものを使った時に、その上がったログと突合するインテリジェンスの上がインテリジェンス側をどのように、例えばセキュリティをパートナーシップで複合的にもっておくかとか。そういうことを考え方としてできるかもしれないですね。そのあたりの効率で運用を考える——という話はよく出てきています。

中野：だから理論上ベスト・オブ・ブリードはいいし、これは弊社のけっこう大きなテーマでもあります。運用できることから逆算して適切な粒度で固めながら、まとめながら、どう連携するか。連携しながらも、出口戦略はどう取るか。いかにきちんとやめられる状態にするかが、システムのアーキテクチャ上のすごく重要なポイントなのかなと思っています。

山本：ただ私が思うのは、例えばけっこうお客さんから感染や情報漏洩しました」「どういうふうに感染が広がっているのかわかりません」という声ももらいます。

それで我々が入っていくことがありますが、そうなった時に、どのレイヤーで何が起きているのかがわからないから、個別最適にしていると、インシデントの特定が遅れます。先ほどのデータがつながっていない（から）。

ここはベンダーロックインされるメリット、デメリットをきちんと考えていかないと、すごく危険だなと思います。結局、インシデント対応をやりたい時にできないようなところはすごく感じます。

清水：昔でいうと、「LANケーブル抜け」とかそういう話だと思います（笑）。そう思うと、今の世の中はそういうのはできないから。でも、極端にベンダーロックを嫌う方はいますね。

山本：うんうん、そういうのはありますね。

清水：「このままだと完全にロックインされるのではないか」みたいな話があります。私が使っていて、社内でも使っていることもあるんだけど、戦略的にロックインされにいくものもあります。

先ほどの疎結合が効いてくるのですが、例えば自分たちで疎結合状態をきちんと担保できているのであれば、あえてある意味ロックインされにいくのも、非常に重要な戦略だと思っています。しかも、それがある短期的な、場合によっては、ある程度決められた中期的な戦略の中でやれば、むしろマイクロソフトに近寄ったり遠ざかったりします。

いわば男性女性と一緒で、ずっと一緒にいてもだんだんつまらなくなってくるような話です。ベンダーロックは完全にべったりになってしまっていて密結合そのものだから。（それは）要は人と人との関わりと同じように、いい距離感を保つことをお互い調整をしていければ、ある程度ロックされてもぜんぜんいいと私は思います。

山本：そうですね。一概に言えないですが、やはりロックされて何がいいのか悪いのかを議論していかないと、難しいところがあります。というのを内側の人間が言っても説得力がないので、そこは慎重に会話します。

中野：やはり選択することが重要だと思います。ロックするとかロックされるからダメという話ではなくて、それをきちんと選択することです。

どういう目的で、「ここは絶対に譲れない」というポイントがどこかがわかってロックされるならぜんぜんいいですが、そこを考えない状態でロックされて、身動きが取れないのは最悪な状態です。

アサヒの“いかに“ただ単に使っていくか”というマインド

清水：私自身が思っている課題は、ここ何年か「自分たちで考えなければ」ということで、先ほど言ったスタイルではなく、「困ってるから何か提案して」というやり方を、私の場合は排除しました。

そうではなくて「俺たちこうやろうとしているんだけど、できる？」みたいなやり方に変えたから、もう名だたるベンダーはぜんぜん提案しに来ないです。

中野：あはは（笑）。

清水：なので、逆に私はマイクロソフトの目線で、いったいどういうベンダーがコンペティションを取っているのか気になります。日本のベンダーはこのままではまずいのではないかと思ったりします。

山本：どうなんでしょうね。

清水：E5の話だったら、かなり範囲が決まっているから、まだマシですよね。SaaSならともかく、Azureの世界になってきたら本当にもう頓珍漢よ。

山本：いやいや（笑）。よくサティア・ナデラがテック・インテンシティという言葉を使ったりしますが、ITの浸透度のスピード感はどこの国でも差はありますね。

清水：我々もいまだにデータセンターを持っているし、長く苦しんでいるインフラ運用もたくさんあります。それはWindowsベースで動いているものもあれば、Oracleベースで動いてるものもたくさんあります。これをどうしていくかはもう書いていますが、間違いなく決まっているのは、もう作らないという方針です。

オンプレがダメではなくて、我々はメーカーだし。あんなわけのわからないサーバーを本当に触りたくないんです。あんなわけのわからないものはアサヒビールやアサヒ飲料に要る？　絶対にいらないんですよ。ピカピカ光っていて、あんなのを見て何が楽しいんだっていう。

我々は口に入れるものを作っている以上、そっちに集中したいです。あんなものを持たされて、いまだにライセンスとかいろいろ言われて、その管理が面倒臭いです。だから絶対に作るのはやめよう。

“いかにただ単に使っていくか”ということです。完全体は難しいですが、作るから使う領域に、アサヒのマインドはもうかなりチェンジできています。先ほど言ったように、人は変わっていないし組織も変わっていませんが、やり方や考え方を少し変えてきているという意味で、実はこのワードについてこれていないベンダーもけっこういます。

中野：コア・ノンコアの典型的なというか、すごく重要な話だと思います。自分たちはどこにフォーカスするのかみたいな話で、それをきちんと方針として徹底しきるか。言うのは簡単ですが、実際やるのが、やりきるのがすごく重要です。

そのコア・ノンコアはどこか、自分たちはどこに注力して何をやらないのかみたいな話を、きちんと握って組織の意思決定の方向性に持っていくのが、重要かなということです。