2021/7/21

便利の裏に潜む罠。「超ハイブリッド時代」の攻めと守りのDX戦略

木村 剛士
NewsPicks, Inc Brand Design Chief Editor
 さまざまな業務プロセスがデジタル化・オンライン化する超ネットワーク時代。いつでもどこでも、インターネットを介してクラウドにアクセスでき、場所を問わずに仕事ができる今は、一昔前は考えられなかったことだろう。

 しかし、便利さに比例して裏ではセキュリティの脅威も増していることを、普段気にしているビジネスパーソンは少ないはず。経営には、テクノロジーのメリットを積極的に活用する“攻め”の姿勢と、リスクに対する“守り”の姿勢の両方が求められている。

 これからの経営、事業推進に求められる攻めと守りのテクノロジー戦略とは──。ユニクロ、ライザップのCIOを歴任し、現在はIT戦略の立案・推進支援を手がけるISENSEの岡田章二代表取締役と、シスコシステムズでセキュリティ事業を統括する石原洋平執行役員に語っていただいた。

“丸投げ”の罪

──ここ数年でDX(デジタル・トランスフォーメーション)を「自分ごと化」する企業は増えてきました。ですが、各社、試行錯誤の印象です。お二人は、日本企業のDXの進め方について改めてどう感じていますか。
岡田 今、猫も杓子もDXですよね。
 DXが進んでいる企業と、思うように進んでいない企業の差が広がっている印象があります。その差は何で生まれるのか。
 進んでいる企業をみると、“DXブーム”が訪れる前から、社内に業務改革を推進できる人材とテクノロジー人材を最適配置し、将来を見据えてデジタル変革を続けてきた企業が多い。
 一方、うまくいっていない企業のほとんどは、以前からその人材がいない、または足りない状況でIT戦略の立案・推進をシステムインテグレータ(SIer)などの外部企業にアウトソーシングし、社内にナレッジが蓄積されていない場合が多いのです。
 DX推進のカギになるテクノロジー人材は、米国の場合は全体の70%が事業会社側、30%がITベンダー側にいると言われています。
 一方で、日本の場合はその逆。70%はITベンダー側で、事業会社側には30%しかいない。この状況では、ベンダーに“丸投げ”せざるを得ないのも納得できますよね。
 これまでは、この状況でもまだよかった。というのも、過去のIT化の目的は、主に既存業務の効率化やコスト削減。
 業務プロセスの抜本的見直しや、新たなビジネス創出まで範囲は広がっていなかったため、外部のITベンダーにも任せやすかったのです。
 ただ、DXとなるとそうはいきません。DXとは単純なIT化、デジタル化ではなく、テクノロジーを活用してビジネスそのものをトランスフォームさせ、新たな価値を生むこと。
 事業そのものを理解していないと取り組めません。外部のITベンダーに丸投げしてやすやすとできるものではないんです。
 会社の中枢にいる経営陣や各事業の意思決定者層が、デジタルを活用した経営改革を本気で考える必要がありますが、DXが進んでいない企業は、言葉を選ばずに言えば、その根本的なことができていないということです。
──「丸投げの罪」ということですね……。
岡田 事業会社側、ユーザー企業がITベンダーに依存し、社内に業務改革を推進できる人材とテクノロジー人材を採用・育成、最適配置できていなかったという長年の歴史が関係しています。非常に根深い問題ですね。

クラッカーが狙いやすくなった

石原 岡田さんのご指摘、とても興味深い。私は少し身近な視点でお話しすると、ビジネスパーソンのワークスタイルの観点で言えば、コロナ禍の影響で一気にリモートワークが進みましたよね。これも一つのDXと呼べると思います。
 慎重な日本企業、日本人が、半ば強制的だったとしても、デジタル環境を一気に整備したことは、大きな進化です。
 ただ、セキュリティ事業を手がける私の立場からすると、みなさん、SaaSを代表とするさまざまなクラウドをどんどん導入していて社内にはツールが乱立状態。管理の複雑さとリスクも生んでいます。
 クラウドは、オンプレミス型システム(オンプレ)よりも、悪意ある攻撃者(クラッカー)に狙われやすいですから、セキュリティリスクは高い。
 ただ、他国に比べて日本は、その意識がまだ低い企業が多いと感じており、今後セキュリティ関連の事故や事件が増えるのではないか、と危惧しています。
岡田 業務支援系のSaaSサービスは、ベンダーが雨後の筍のように登場してきて、まさにカオスですよね。
 事業会社にとって、SaaSはすぐに誰でも使えるメリットがあるゆえに、場合によってはIT部門に頼まずに、事業部門が好き勝手に導入していて、管理もセキュリティ対策もできていない場合が増えてきています。
 私も、企業のIT戦略、DX戦略においてセキュリティ対策は今後重要なポイントになると思います。

IT化とDXの違いを理解せよ

──人材不足、丸投げ体質、セキュリティ軽視の姿勢など課題について教えてもらいましたが、改めて、DXを進めていく上で重要なポイントは何か。教えてください。
岡田 まず「IT化とDXの違い」を理解することです。
 IT化とは、シンプルに言えばテクノロジーを活用した既存業務の効率化。一方、DXはテクノロジーを活用した業務プロセスそのものの変革、プロダクト・サービスや事業、経営の変革です。
 その変革のために何が必要か。それは、「顧客目線で考える」ことだと思います。シンプルで当たり前なことですが、モノやサービスが溢れ成熟した今は、顧客が何を求めているかをしっかりと見定めることが必要です。
 世界最大のスーパーマーケットチェーン「ウォルマート」の創業者、サム・ウォルトンが徹底していたのは、1つの店舗で顧客の反応を見ること。
 どんなに店舗数が増えていても、新しい取り組みを手がけるときは、1つの店舗だけで実験的に導入して顧客の反応を見て、顧客への価値が高まると判断したもののみ全面展開していたそうです。
──小さく始めて大きく育てる。
岡田 いきなり大きな効果を上げられることなんて、そうはありません。
 小さなことでもいいからまずはやってみて顧客の反応を見る。そして芽を見つけることができたなら、それを大きくするためにテクノロジーを活用して仕組み化し一気に展開する。そうしたチャレンジが重要だと思っています。

分散の時代は抜け穴だらけ

──一方で、大事なのは「守りの視点」。先程石原さんが指摘したように、デジタル化すればするほど、リスクも増える。岡田さんはセキュリティに対してはどんな考え方ですか。
岡田 私もワークスタイルの変化によるリスクについてお話しさせてください。
 独立行政法人の情報処理推進機構(IPA)が公開した「情報セキュリティ10大脅威 2021」によると、昨年は順位になかった「テレワーク等のニューノーマルな働き方を狙った攻撃」が3位にランクインしています。
 これまで日本の企業は、会社の外側と内側に防波堤を作り、守られた内側で仕事をするよう制限していました。でも、リモートワーク時代、クラウド時代になるとそうはいきません。
 今までの枠組みが取っ払われ、働く側は、会社でも自宅でも働けるハイブリッドになり、インフラ側もクラウドが乱立して、オンプレとクラウドのハイブリッドになった。
 働く側とインフラ側がともにハイブリッドだから、従来以上にそれを守るのは難しい。そもそも、社内と社外に防波堤となるセキュリティ対策を施して、社内で仕事をするという従来のセキュリティの考え方では、こうした自体を想定していません。
 その結果いくつもの抜け穴ができ、クラッカーにとって穴だらけの天国になってしまうかもしれないおそれがあるのです。
 米国の企業と比べると、日本はセキュリティリスクに対する意識が低い傾向がありますから、こうした環境下でますますリスクは高まる可能性があります。
石原 おっしゃる通りで、今はとにかく分散の時代。分散したものを守るのは困難で、従来の手法では管理できないと思います。
 それに、適切なツールを使っていると思っていたら、実はセキュリティ強度が低いツールだったというケースもあります。
 だから、「何も信頼しない」という前提からセキュリティ対策をする「ゼロトラスト」がトレンドになっているのだと思います。
岡田 自社のセキュリティ対策だけでなく、ビジネスはいろんな企業とのパートナーシップによって成り立つから、協業企業間のセキュリティも見越さなければなりませんよね。
 ネットワークも同じで、自社が情報を漏洩していなくても、パートナーから漏洩したら同罪。そう考えると、セキュリティ対策の範囲は一気に広がる。そういう意味でも、ゼロトラストの考え方が必要になったのだと思います。
 その観点では、「セキュア アクセス サービスエッジ(SASE=サシー)」というコンセプトは、カバー範囲が広いので有用だと私は感じています。

ネットワークもセキュリティも、丸ごと守る

──今岡田さんからSASEという専門用語が出てきましたが、シスコはこのSASEを強力に「推し」ていますよね。SASEについて教えてください。
石原 SASEとは、2019年8月に米シンクタンクのガートナーが提唱した新しいネットワーク・セキュリティのモデルです。
 これからは、いつでもどこからでも複数のクラウドを利用するようになります。各クラウドにはさまざまなネットワークやセキュリティ機能が備わっていますが、それらがバラバラに存在しており、包括的かつ総合的なセキュリティインフラが存在していません
 ですので、ネットワークとセキュリティを効率的に管理するため、ネットワークサービスとセキュリティサービスの統合が有効。SASEはそういった考え方に基づいており、シンプルに言えばネットワークとセキュリティ機能を統合したインフラなのです。
──SASEを実現するサービスは複数の企業が展開していますが、その中でシスコの強みはなんですか。
石原 まず、400人以上の研究者を擁するサイバーセキュリティのインテリジェンス&リサーチチーム「Cisco Talos」を設置していること。このチームでは、毎日2.2兆個のアーティファクトを分析し、150万件のユニークなマルウェアサンプルを解析しています。
 この規模で脅威情報を常に分析している会社は、セキュリティベンダーでもほぼありません。
Getty Images / metamorworks
 それから、シスコは、世界中のクラウドやインターネットに大量のエージェント(センサー)を張り巡らせているため、たとえば「Microsoft365が遅い」といったときに、何がボトルネックなのか瞬時にモニタリングできるのです。ットワークの安定運用にも貢献できる。
 これらが一体化したサービスが、Ciscoのゼロトラストプラットフォームである「Cisco SASE」です。
 シスコの歴史が培った技術とネットワークの信頼性、セキュリティの脅威対策を包括し、クラウドセキュリティとネットワーク、そしてゼロトラストアクセス、モニタリングの4つのポートフォリオを提供しているのが私たちの強みです。
岡田 ランサムウェアのまん延や個人情報漏洩事件はあちこちで起きていますが、セキュリティ対策を全くしていなかったから起きているわけではないんですよね。どの会社も情報セキュリティ対策はやっているけど、どこかに抜け道がある
 人が細かくカバーするのは難易度が高すぎるし、そもそも事業会社にネットワークやセキュリティに詳しい人材は枯渇しているので、包括的にカバーしてくれる「Cisco SASE」の活用は有用だと思います。
 しかも、ネットワークの会社であるシスコがセキュリティまで包括的にケアするのは、理にかなっている。
 バラバラのネットワークに対して、バラバラにセキュリティ対策を講じることはできますが、余計なコストがかかるしネットワークの信頼性、安定性は低下します。
 SASEは、これからのネットワーク、セキュリティのスタンダードになる可能性を秘めているかもしれません。
執筆:田村朋美
編集:木村剛士、金井明日香
デザイン:小鈴キリカ