レポート「ニューノーマルの働き方改革 :すぐに始められるデジタル変革への道」後編
2020年10月20日と21日の2日間にわたって開催された、Webセミナー「ニューノーマル(新常態)の働き方改革~すぐに始められるデジタル変革への道~」。
Day2のプログラムの中でも情シスの興味であろう「セキュリティ」トラックを聴講。
5名の登壇者のほぼ全員が強調していたのが「経営層が変わることなしにセキュリティ対策の成功はない!」というメッセージでした。もしかすると経営層の皆様には耳が痛いセミナーだったのかも知れません?!
Webセミナー「ニューノーマル(新常態)の働き方改革~すぐに始められるデジタル変革への道~」概要
- Day1:2020年10月20日(火)13:00 – 16:00 クラウド活用、マーケティングの2トラック
- Day2:2020年10月21日(水)13:00 – 16:00 営業/フロント業務、セキュリティの2トラック
今回は、Day2の基調講演に続き、「セキュリティ」トラックについて紹介します。
今すぐ実践できそうな内容もあれば、ちょっとばかり哲学的なプレゼンもあり、少しだけ引き出しが増えた感じがしたセッションでした。
この記事の目次
【HENNGE】3度目となるニューノーマルへの変革にどう対応したか
HENNGE株式会社、Cloud Sales Division/ Partner Engagement Sales Section / Section Manager「奥谷 慶行 氏」による講演「ニューノーマルへの変化を続けてきた、クラウドベンダーの解」。
SaaS認証基盤「HENNGE ONE」を提供するHENNGE株式会社。
自社で開発しサービス提供を行っているものでも、開発したその企業では意外とそのサービスを使っていないということは良くあることです。しかしながら、HENNGEにおいては全くの逆。HENNGE社内で発生する諸問題を解決しながら、そのノウハウをそのままサービスに盛り込んだという「HENNGE One」の開発秘話は、筆者にとって非常に興味深いものでした。
奥谷氏は、HENNGE株式会社がこれまで挑戦してきたことから導き出した「ニューノーマル」への“解”を紹介すると宣言しました。
新型コロナウイルス対策に端を発し、「ニューノーマル」という言葉がまるで流行語かのように独り歩きしている昨今。
一方、HENNGEは、すでに過去2回ニューノーマルへの変革を経験してきたと言います。
1回目は2000年度初頭、インターネットが本格的に普及した頃。そして2回目が2009年以降のリーマン・ショック後です。
今回は3回目のニューノーマルへの変革として、働き方だけではなく日常の生活様式にも変革が求められていると感じていると言います。
おそらく多くの方は「ニューノーマル≒在宅勤務」と思われているのではないかと思いますが、「在宅勤務をすれば”ニューノーマル”なのかというとそうではない」と奥谷氏。確かに、特定産業従事者への打撃など在宅勤務で解決することではありません。
「ニューノーマル」とは、これまでの当たり前が当たり前ではなくなること「常識が変わる」ことだと奥谷氏は述べています。
<引用:HENNGE様プレゼン資料より抜粋>
先進的な取り組みが当たり前
奥谷氏は、これからは先進的な取り組みなどは当たり前の世の中になるとしています。
HENNGEでは、これまでの当たり前を疑うことからスタート、そこから得た気づきを経て変革に挑戦してきました。
1990年代にはLinux管理ツール「HDE Controller」、2000年に入るとEmailセキュリティ、2011年には現在の主力製品であるクラウドセキュリティ「HENNGE ONE」を開発。
これらのサービスはHENNGEが変革を繰り返し、常に学びを得ながら進んできた証だと言います。
「HENNGE ONE」が直面した壁
業績を伸ばし続けた「HENNGE ONE」ですが、早々に課題に直面したそうです。エンジニアの採用が難しく、業績のアップに追いつかないという他社から見たら羨ましいような課題でした。
そこでグローバル採用にかじを切ったHENNGEですが、主に日本に興味を持った海外学生を採用するグローバル採用は、社内公用語の英語化・社員分布が世界各国に散らばるという新しい変化ももたらしました。
その頃、自ら生産性の高い働き方を選ぶフリーアドレス化にもチャレンジしています。
「HENNGE ONE」の新しい課題
数々の課題が解決し業績も好調と思われたHENNGEですが、またまた課題が噴出します。
<引用:HENNGE様プレゼン資料より抜粋>
例えば、各社員が許可されていないクラウドサービスを勝手に使い始めてしまうというシャドーITなどの問題です。
<引用:HENNGE様プレゼン資料より抜粋>
「当たり前を疑う」というHENNGEの課題解決方法では、ここでもやはり当たり前を疑う方法で課題解決をしています。各社員が自分で運用に合ったサービスを選んで導入しているのなら、「会社が要件定義やテストなどして、サービスを選定する必要がない仕組みにすれば良い」。
サポートにも自ら経験した課題解決のノウハウ
「HENGE ONE」は、クラウド開発会社が自ら経験した課題を元に開発したサービスですが、クラウドサービスへの不安は根強いこともあり、多数の機能を盛り込むのではなく必要十分な機能だけを搭載するという方針で開発していると言います。
また、「HENGE ONE」のサポートサービスにも自社のノウハウが活かされているそうです。
「HENGE ONE」では、技術支援や設定代行サービスは標準サービスとして提供されていますが、他社製品ではオプション扱いであることが多く、これも「HENGE ONE」の特長のひとつと感じました。
<引用:HENNGE様プレゼン資料より抜粋>
この結果、「HENGE ONE」の解約率は0.16%、平均して約51年使ってもらえるサービスになっていると言い、奥谷氏は胸を張ります。新型コロナへの対応もあり、HENGEでの現在の出社率では1割~2割とのこと。この状況下でも、HENGEはサポートを超えてカスタマーサクセスに取り組むとしています。
不正ログインからWebサービスを守るための解
Auth0株式会社、ソリューションエンジニア「岩崎 輝之 氏」による講演、「デジタル変革を止めるな!サービスを不正ログインから守るセキュリティ対策とは?」。
不正ログインにフォーカスを当て、エンジニアならではの詳細かつ具体的な対策が語られました。
不正アクセスによる影響は
安全で使いやすい認証・認可のサービスを提供しているAuth0は、5.5億以上のIDを管理し、月次のログイン処理数は40億回を超えるそうです。岩崎氏は、クラウド上のシステムが攻撃者に狙われていると指摘しました。
Auth0が管理するテナントにおいても、最大で全アクセス中の67%が不審なトラフィックだったと言います。
では、不正アクセスが成功すると、どうなるのでしょうか?
岩崎氏は、不正アクセスによる企業への影響を次の4点にまとめています。
- 社会的評判の失墜
- 収益の損失
- 運用コストの増大
- 個人保護法やデータプライバシーに関する法規制への違反
そして、岩崎氏が強調したのが「最終的には経営判断が伴うもの。不正アクセスについては、システム部門だけで対策を考えることではない」ということです。
Auth0のセキュリティ観点
一方、不正アクセスを防ぐといっても、すべてを阻害すれば良いのではなく、ユーザーに使いやすいセキュリティ施策でなくては意味がないと岩崎氏は言います。
<引用:Auth0様プレゼン資料より抜粋>
また、Auth0はセキュリティ観点として次の3点に着目しているとしています。
- 継続性
以前はネットワークの入り口を固めるという考え方。ログインだけを固めログイン後はどのような操作もできていた。ログインしたあとも継続してリスクを計測し、リスクが高いか低いかを確認し続けることが大切。 - 適応性
多要素認証を出すにしても、リスクが高い場合や攻撃によるアクセスだった場合だけ出すなど、ユーザーにとっての影響の大きさも考慮して多要素認証を出す必要がある。必要に応じて多要素認証を出し、ユーザーの協力を求めるなど、使いにくいと思われない工夫が重要。
ユーザーからすると多要素認証は、使い勝手が悪くて面倒くさいもの。
Auth0のサービスでは、攻撃の可能性がありそうな場合・リスクが高いと思われる場合のみ多要素認証を求める機能を追加している。 - 事業の成功
顧客の事業の成功、顧客が使いづらいところをなくす、使いたいと思ってもらえることでユーザーが繰り返し使えることが重要。そもそも顧客が事業を続けるためにセキュリティがあるという視点が大切。
2020年以降のセキュリティ
Auth0では、2020年下半期には、ブルートフォース攻撃やパスワードリスト型攻撃に対する自動防御機能、2021年上半期には機械学習を活用した高度異常検知機能など、今後も様々なセキュリティ機能を追加予定だといいます。
理由は、変化していく攻撃手法への対応に加え、ツールを使い易くすることにあります。
岩崎氏は、まとめとして、「各企業でデジタル変革をする上で、セキュリティが問題になって変革が進まないといったことが起きないことが大切」と述べています。
セキュリティフレームワークの活用を
株式会社サイバーセキュリティクラウド、取締役CTO「渡辺 洋司 氏」による講演、「形骸化で終わらない 企業におけるセキュリティ対策の組織とは- 情報システムやアプリケーションを安全に作り守るためのセキュリティフレームワークとツール活用 -」。
AWS WAFの自動運用サービス「WafCharm」などを提供している株式会社サイバーセキュリティクラウド。
CTO渡辺氏は、「これからセキュリティ施策を作る人に対し、作って終わらないためにも使えるツール」があるという知見を聴講者に提供してくださいました。
リスクアセスメントがおざなりになりがちな現状
<引用:サイバーセキュリティクラウド様プレゼン資料より抜粋>
実際に攻撃を受けた企業から聞き取り調査したところ、攻撃の発生から攻撃発覚までに要した日数の平均は383日。平均なので数日という組織もあるし、数年かかった組織もあるそうです。
テレワークの増加により、システムの投資が加速しています。また、これにより社内の情報がネット上に流れるようになりました。
それでも各企業では、競争優位性を保つため、リスクアセスメントがおざなりになりがちであると渡辺氏は指摘しています。
セキュリティインシデント対応組織
このため、セキュリティインシデントを専門に扱うセキュリティインシデント対応組織の重要性が増しているといいます。
セキュリティインシデント対応組織には次のようなものがあり、それぞれセキュリティ施策を作る企業に役立つツールを公開しています。
- SOC(Security Operation Center)
企業内において脅威の監視・分析などを行う専門組織。検知を重点に置いているのが特徴。
- CSIRT(Computer Security Incident Response Team)
情報システムの安全性や機密を確保するため、発生するセキュリティインシデントに対応し復旧を行う専門の組織。
インシデントハンドリングマニュアルである「CSIRTマテリアル」を提供。CSIRTマテリアルは詳細なドキュメントで、企業でドキュメントを作る際に参考にすれば、一からドキュメントを作る必要がないので有用。 - PSIRT(Product Security Incident Response Team)
自社で製造・販売・運用する製品の安全を確保するためのセキュリティ対応を専門に行う組織。開発ライフサイクルにおけるリスクマネジメントやセキュリティインシデント発生時の有事対応を行う。
そして、セキュリティインシデント対応組織が目指すのは次のようなゴールを実現できる組織づくりにあるとしています。
- 潜伏期間の短期化
- 発覚からの速やかな対応
- 振り返りと未然化
進む法律・ガイドラインの整備
渡辺氏は、法律の観点でも、国内では次のような整備が進んでいると紹介しました。
- サイバーセキュリティ基本法の施行・改正(2019年施行)
- サイバーセキュリティ経営ガイドライン
- 個人情報保護法の施行・改正(2022年施行)
- デジタル庁発足
例えば、「他社ではどのような悩みを抱えているのだろうか?今後起こりうる課題はあるだろうか」といった疑問を持ったときに参考になるのが、「サイバーセキュリティ経営ガイドライン v2.0」。
このガイドラインは、セキュリティ対策は経営責任だということが明記されていることが特徴です。
<引用:サイバーセキュリティクラウド様プレゼン資料より抜粋>
「サイバーセキュリティ経営ガイドライン」は実例集となっており、運用上の課題・悩みとそれに対するプラクティスがまとめられているものです。渡辺氏は、「サイバーセキュリティ経営ガイドライン」は具体的な事例を有識者や企業にインタビューして作成されているため、他社で何が起こったのかを知るために活用できるとアドバイスしています。
渡辺氏は、次のような点を強調して講義を締めくくりました。
- セキュリティ対策は経営者が責任を持って進める
- 各種フレームワークを活用して定期点検を
- リスク評価とリソースのバランスを
セキュリティ施策を作ることを目的にせず、人・モノ・金のバランス取ることが重要としています。
今求められるのは真のソフトウェア・ファースト
Tably株式会社、代表取締役 Technology Enabler「及川 卓也 氏」による講演「世界をリメイクする」。
Googleでの勤務経験をされている及川氏の基調講演は、働き方という概念を飛び越え、今後企業がどうあるべきか、今後日本がどこへ向かうのかという大きなテーマについて考えるきっかけとなった講演でした。
及川氏は長年外資系企業に籍をおいていたため、日本人ながら日本企業のことが良く見えていたと言います。
日本企業は、ITを活用できていない。
諸外国が伸びている中でも日本だけ伸びていない。
そして、伸びている海外企業はいずれもITを活用してきた企業だった。
ソフトウェア・ファースト
このような想いから、及川氏は事業の核にITを使うことの重要性を解説した書籍、「ソフトウェア・ファースト(ISBN:978-4-8222-8991-1)」を執筆しています。ソフトウェア・ファーストとは、ITをしっかりと使おうという意味で付けたものの、誤解されて「ソフトウェアがファーストで2番目は何ですか」という質問をする読者が多くいたと言います。
一番(ファースト)は必ず「事業」。事業のためにまずソフトウェアをしっかり活用することが大切ということを強調していました。
- ハードウェアの置き換えは難しいが、中身のソフトウェアの割合を高めることで置き換えができるようになる
- ソフトウェアをしっかりと武器にしていくことが重要
世界をレビューする
ソフトウェアをしっかり活用するため、まず行うべきことはレビューだと言います。
今を理解するため時を戻すと、誰にとっても忘れられない日「2011年3月11日午後2時46分」。
この時ネット上では何が起こっていたのか。
まだガラゲーが主流であった当時、自治体のサーバーがダウンしてしまい、ボランティアのITエンジニアがミラーサイトを立ち上げたりしていました。また、オンライン上にたくさんの地域コニュニティもできました。
奇しくも震災を通して、我々はクラウドの威力を目の当たりにすることになったのです。
パソコン・インターネット・Web・SNS・スマートフォン・AI・IoTなどが我々の世界を変えました。
一方で、これらの技術が登場した当時、「Webとか軽いノリだし・・」のように馬鹿にしている人が大勢いたのも事実だと、及川氏は指摘しました。
近い将来、サイバーとフィジカルが融合する社会になると言われており、このようなテクノロジーを貪欲に取り入れる姿勢こそが大切ではないかと及川氏は主張しています。
リファクタリングとリメイク
続いて、及川氏はこう断言しました。
今世界を変化させているのがテクノロジー
今世界を変えているのはテクノロジーだと認めるべき
新しい技術が世界を変えていることを把握しなくてはいけない
- リファクタリング
リファクタリングとは、内部の構造をクリンナップすることです。ただ昔は、中身はいじらないほうが良いという考えが主流でした。
今はソフトウェアが変化・進化し続けることが重要で、そのためには、手を入れるというリファクタリングが重要であると言います。 - リメイク
リファクタリングと似ているものにリメイクという言葉もあります。
そして、リメイクとは、目的を達成するための手段を見直すことと定義できると言います。
目的はなんだろうということをもう一度見直す
達成するための手段を考え直す
同じことを違う手段ですることができたとしても、もう一度何をすべきかから考え直す
世界は変化し続けており、変化している世界を見つめ直さずにリメイクはできないと及川氏は述べています。
さらに、リファクタリングとリメイクは両方大事だが、今はリメイクが特に重要と考えていると続けます。理由は、新型コロナウイルスは大きな変化をもたらしており、目的の再考が求められているためです。
人々が物事の本質を見出し始めている機会である今こそ、リメイクの好機だとし、「今こそリメイク Let’s remake」とのキーワードを聴講者に示しました。
アップデート
リファクタリングとリメイクと同様、アップデートも必要であると及川氏は言います。
人と組織をアップデートしなくてはいけない
- 技術
- 人と組織
- プロダクト
のすべてをアップデートする必要があると強調しました。
ここで、筆者が衝撃を受けた言葉が「真面目な人の行動がリメイクを阻害する」というもの。
債権者にリメイクを阻害するこのような真面目な人が多いと言います。
自分が若い頃に担当したプロダクトの考え方でプロダクトを出してしまう
自分であれもこれも考えてしまう
普通に出せば2週間でできることを、役職者がいうことをやっていて出すまでに2ヶ月3ヶ月かかってしまう
ひところで表すとすれば「ブレーキとアクセルを間違えてしまう」。
役職者たちがやっているのはブレーキであると及川氏は述べ、「できる人・やる能力がある人がリメイクを実行できるように変わることが必要」と強調しました。
最後に、及川氏は聴講者全員に対して力強いメッセージを残し、講演をまとめました。
日々の業務を少し変えるだけで良いので、世界を変える側に回って欲しい
世界をリメイクしたいと思う
4時間にもわたるDay2の講義でしたが、「ニューノーマルのセキュリティ」と言っても、セキュリティだけに注目していては何も変われないと改めて感じる機会となりました。
また、それぞれの登壇者は各企業の経営層に対しても、変化の重要性を訴える強いメッセージを残していたのが印象的でした。
【執筆:編集Gp 近藤真理】