経営のミッションには入らない「セキュリティ」　ボトムアップ型で重要な“抽象化して辻褄を合わせること”

企業内で海外ビジネスが大きいことが与える影響

中野仁氏（以下、中野）：では清水さんとマイクロソフトの山本さんと中野で、鼎談として話せればと思います。山本さんに軽く自己紹介してもらってから始めましょう。

山本築氏（以下、山本）：みなさん、ご参加ありがとうございます。日本マイクロソフト山本です。私はマイクロソフトで、Microsoft 365というビジネス本部の製品の主幹チームにいる、プロダクトマーケティングマネージャーです。それまではセキュリティコンプライアンスを担当していたので、ご縁があり、今日は清水さんと中野さんと登壇しています。

みなさんどうぞ忌憚ないご意見というか、いろいろコメントをいただきながら、いろいろ楽しめればと思っています。どうぞよろしくお願いします。

中野：よろしくお願いします。では、話を進めたいと思います。改めて（アサヒグループホールディングスが）海外売上率が大きいというのと、他の会社でもそうですが、利益率はやはりだいたい海外のほうが高いケースが多いんですよね。

ビジネスとしても利益が大きいところは重要度も上がってきます。システムにおいては、ロールアウトする時に海外を想定するかしないかで、システムアーキテクチャが大きく変わってきます。海外のビジネスが大きいことは、施策に対してけっこう影響を与えてきていますか。

清水博氏（以下、清水）：そうです。でも正直（変化として大きいのは）10年どころではなく、ここ5、6年ぐらいが一番大きな変化です。だから、今のITの前の国際事業の時にはこのような比率になっていなかったし、私自身が国際事業に関わっている時ですら、1割、2割もいかなかったくらいです。

“通常”と言ったら怒られますが、「日本でがんばっているメーカー」のような感じで。日本は人口が減っているし、海外に行かないと先がないみたいなことを言われるから、「それなら海外に行ってみるか」というレベルの挑戦でしかなかったのです。この変化はここ5、6年のことです。

現実的には、実は準備ができていません。先にビジネスが動いているので、「じゃあどうする？」という時に、2016年時点ではまだOffice2003だったので「どうやってグローバルのコミュニケーションを取るんだよ」という話は当然あって。もっと深い課題もありますが、これはすごくシンプルなものです。

コミュニケーション（のこと）だけを取ったとしても、「電話」とか、そういうレベルです。メールはもちろん使えますが、そこに頼るしかないのが、当時ダイレクトに発生していた課題です。

理解不十分なままセキュリティサービスを導入すると過剰投資になることが多い

中野：そうですよね。国内だけでビジネスをやっているのなら、大きな投資は必要ないはずです。急激にグローバルにビジネスで出ていったような話の時に、まず最初にコミュニケーションをつなげなければいけないのと同時に、セキュリティも考えておかなければやばい、みたいな話があります。

しかもそれが急激に来たことは、要因としてけっこう大きいのかなと話を聞いていて思いました。あと、ビジネスが先行していたことはかなり大きいですよね。

だから、けっこう新鮮というか本質的だなと思ったことが、働き方やワークスペースを構築するようなバーチャルデジタルワークスペースを作る。それをもって、ビジネス上のベネフィットを生み出すために「じゃあセキュリティもセットでしょ」という語りにおいて一番理解されない話は、とりあえずセキュリティだけをイシューとして持っていくこと。

これが一番最悪のパターンで、「もういい帰れ」みたいな話にほぼなりますが、きちんと組み合わせて話を持っていくことは、非常に王道だなと思います。

清水：わからないでやるのはまだマシでしょう。話だけは聞いている感じで、最後に「金がない」とかは最悪です。私としては当然利用すべきだとは思いますが、世の中で発生しているような大きなインシデント、さながら個人情報が漏れたというようなところに便乗したがる傾向があります。

みんな一時的で、理解されていない状態でそういったサービスを導入している可能性があります。熱が冷めたら引き継ぎがまったくされていなくて、後々「なんでこんなのやってんだ？」みたいな。その火消しのほうが時間がかかる話です。

ランサムウェアなどの「情報を人質に取られました」みたいなけっこうクリティカルな話があって、「うちは大丈夫だろ」となっている時に、話に便乗して入れてしまうことは、個人的には1つの方法論としてはありだとと思います。

それは1つの手法ではあるけれど、「ビジネスにどうインパクトを与えるんだ」「ほかに脅威があるからうちは大丈夫か」と（いうことを）、やはりきちんと理解をしてもらう。「まだやってないのに」「やろやろ」という人は社長に怒られそうだから「やんなきゃ」と言っているだけなので、それは私のポリシーには反します。やはりきちんと理解をしてもらうことが必要だと思います。

中野：インシデントドリブンのセキュリティ推進は、手口やテクニックとしては非常にあるし、ベンダーもそこに便乗してマーケティングを打つ動きもやはりあるにはあります。ただ、お話されたように継続性がなく、長続きしなくて、とりあえずわからないまま投資するから、だいたい過剰投資になります。

お金だけだったらまだいいですが、よくわからないプロセスやルールを過剰に作って、結局その後片付けが3、4年わからずに運用されていて、生産性を下げていることが起きがちです。そういう意味で、遠回りに見えてもきちんと王道からいったほうが近道になるのかなと話を聞いていて思いました。

会社のルールやガバナンスと辻褄を合わせた上で導入する

清水：IT部門は依頼されることがけっこう多くて、受け身的な仕事が多いです。だから、自ら人に絡んでいこうという人格は、組織の中であまりないはずです。

ただ、先ほどから言っているようなセキュリティをやろうと思ったら、辻褄が合うようにしないといけない。会社のルールやガバナンスは完全に密着なんです。ITだけで入れると、ITが勝手にやっているだけだし、お金も出にくい話です。

会社をどうガバナンスとして担保したうえで攻めに転じられるかは、育成上は、他の組織と私たちから仕掛けられるような体制が必要かと思います。どうしても内気になる方が多いですが、それはどの会社もそうだと私は思います。

山本：改めて清水さんの話を聞いて思ったのは、まさに中野さんも言っていたベンダーが「漏洩しますよ」「インシデントありましたね」と（言って）売るケースが非常に多いですが、マイクロソフトはプロアクティビティ的な製品がまずドーンと先に出ているので、それをどう担保するかという方向性にいきます。

実際は、セキュリティはやらなくていいのが一番理想です。セキュリティがなくても守るものが完全に担保されていて安心な状態がいいですが、そうもいかない環境や、オープンネットワークで広がって仕事をしたい、もっと向上したい、ビジネスを推進したいと思うからこそ、たぶんやらなくてはいけないことが出てくるという順番だと思います。

複雑だからこそシンプルにして話す必要がある

あと、清水さんの話を聞いていて、やはりすごく重要だなと思ったのは抽象化です。抽象化はすごく重要だと思っています。（清水さんは）抽象化するのがすごく上手じゃないですか。具体性から抽象化するプロセスを、本当にできるようにしていかないと。我々ベンダーでもそうですが、「システムはこの製品が売れたら」という話ではないじゃないですか。

清水：まあねえ。でも残念なことに、日系的ベンダーはそれしかやってこないので、ぜんぜんお付き合いしていないです。その会社たちも、マイクロソフトの製品をそういうふうに提案してきていますからね。

山本：抽象化すると一般的なワンポリシーで語られるので。だからこそ我々がやらないといけないのは、その抽象化をした時にみなさんのビジネスをどうドライブする余地があるのかを議論することで、そういう（議論をする）ケースが非常に増えてきていると思います。

清水：テクノロジーの世界もそうですが、僕は美大を目指した時代もあって。そもそも抽象化とは何かという時に、ニアリーイコールでシンプル化なんです。よりシンプルにしないといけないんですよ。

山本：そうですよね。

清水：セキュリティの世界はメチャクチャ複雑だから、1つのツールを入れてその会社のネットワークがどうなるというのは（ない）。当然ながら「入れてみたけれど、ぜんぜんうまくいかないじゃん」という話はたくさんあるので、結局それを抽象的にシンプル化して話せないと、誰もわからないのです。

山本：そのプロセスのアプローチがすごくいいなと思うのが、清水さんは経営の目線からソフトウェアやシステムやITを見ていることです。その上で、抽象化してシンプル化するんです。

清水：だってあの人たち「わかんない」って言うから、しょうがないじゃない。

経営のミッションにセキュリティは入っていない

山本：今の流れはセキュリティから経営に向かうベクトルで、それを抽象化しようとしている。最近のゼロトラストのガイドラインを見ると、EDR（Endpoint Detection and Response）だ、CASBだ、SASEだと、ものすごくカテゴライズされていて、抽象化として誤解され始めたなというのが、今私が思っているところです。

そうじゃないんだよなって。「ベクトルがそもそも違くない？　ビジネス要件が何も書かれていないじゃん」という思いです。

清水：そのとおりですね。だからもし仮に、経営全員のやりたいことリストが手元に全部あるとすると、経営は何人も何十人もいてそれぞれにミッションがあるわけですが、弊社には例えばCIO（Chief Information Officer）みたいな人はいないから、たぶん経営のやりたいことリストにセキュリティはそもそも入っていないの。入っているわけがないんですよ。

山本：それが本質ですよね。

清水：それをボトムアップ型でやったところで、彼らのタスクに入っていないから、まず理解しないですよね。だから、彼らのタスクに強引に入れてもダメです。すでに彼らのタスクに入っているミッションは、人によって利益だったり、売上だったり、人事戦略だったり。いろいろなタスクがあるので直結するのは難しいですが、抽象化させて結びつけなければいけません。

でも嘘はダメです。無理矢理結びつけて「これです」という嘘はダメなので、私はそこを抽象化させたりシンプル化するという表現をさせてもらっています。

中野：私も清水さんと近いような職種をやってきて、まったく同意です。何かと掛けにいかないとダメです。経営のイシューにセキュリティは絶対上がってきません。

でも、先ほど言ったように、トップになった時、裏で経営上のイシューの中に多くのものが絡みます。なので、そこに絡めてきちんと進めようと思うことも必要です。少なくとも、インフラとセキュリティは経営のイシューには本当に絡みません。なので、きちんとビジネスのイシューや経営のイシューに絡めて会話をするのが、すごく重要だなと思います。

あと、清水さんの話にもあった、総務・法務と絡んだらうまくいくとか、進むようになった話もたぶんそうですよね。部門などを巻き込もうと思ったら、やはりビジネスを絡めにいく。現場部門だけではないと思いますが、他の部門も含め、彼らが持っているイシューと絡めたりすると、彼らが協力してくれて、結果的にいいものができるということです。

だから、ITに何を掛けるかというところ。それが経営なのかバックオフィスなのか、フロント系のビジネスサイドなのかはそれぞれですが、そこをきちんと掛け合わせにいく能力が、企画推進者には強く求められます。

たぶんシングルイシューとして「セキュリティだ」「インフラでレガシー化でサーバーはもう古くなっちゃったんで困るんです、もう死にます」みたいなことを言っていても、経営からしてみると、「ふうん」みたいな会話にしかならないわけです（笑）。「なにそれおいしいの？」「それ困るの？　え？　こんなに（お金が）かかるの？　やだ。なるべく出したくないです」みたいな対応にしかなりません。

清水：もっと言うと、「それをなんで今、俺に言うんだ」って言うからね？　「それは前からわかっていた話でしょ。なんで黙ってたんだよ」と言われて、「ちょっと待って、それはお金をかけたくないから塩漬けにしたんじゃないの？」みたいな話は忘れられているんです。

だから、きちんと理解させないと。ITは1年2年の小手先ではできないので、中長期の戦略をもって連続的に進めていくのは、私はすごく大事なところかなと思います。（そうでないと）最後は「誰が決めたんだ？」「いやもう引退してます」と犯人探しをしますから。「引退してるなら、もうよくないですか？」という話になります。

そういう意味で、セキュリティは前工程でしっかりしておかないと（いけない）。後々帳尻合わせをしようと思ったら、絶対うまくいかないと私は思います。

山本：前工程か。それは理解させるところの評価ですね。

清水：私はそうだと思います。

中野：特に、企業体が大きくなればなるほど、施策を企画してから実行して運用に乗せるまでのリードタイムも長いし、先読みして動いておかないと間に合いません。問題が顕在化した時に慌ててやったとしても、だいたい付け焼き刃になるしうまくいかないので、先読みしてゼロトラスト自体を早めに問題提起する必要があります。要は、仕込みで早く動く必要があるのが、大きい会社の特徴かなと思います。

実行フェーズまでどうしても時間がかかります。スタートアップやベンチャーのような小さい会社だったら、「あ、やります」で「半年後にローンチします」以上、終了みたいなことができますが、3万人の従業員がいて、世界に拠点があるような場合は、そういう枠の話にはいかないですよね。

（次回に続く）