{{item.title}}
{{item.text}}
{{item.title}}
{{item.text}}
2021-03-01
新型コロナウイルス感染症(COVID-19)の拡大は、企業における働き方に急激な変化をもたらしました。リモートワークの常態化に伴い、自社のセキュリティ対策の見直しに迫られた企業は少なくなく、日本を代表する航空会社の一つである日本航空も例外ではありません。コロナ禍で取り組んだリモートワークの環境整備やセキュリティ対策の見直し、そこから得られた気付きについて、お話を伺いました。(本文敬称略)
*本対談はPwC’s Digital Trust Forum 2021におけるセッションの内容を再編集したものです。
対談者
福島 雅哉氏
日本航空株式会社 IT運営企画部 セキュリティ戦略グループ グループ長
小林 公樹
PwCコンサルティング合同会社 ディレクター
(左から)小林 公樹、福島 雅哉氏
日本航空株式会社 IT運営企画部 セキュリティ戦略グループ グループ長 福島 雅哉氏
小林:
最初に、COVID-19によるパンデミックが御社の働き方に与えた影響を教えてください。福島さんが所属するIT運営企画部では、どのような対応が求められましたか。
福島:
私が所属するIT運営企画部は、出社制限に伴う全社的な在宅勤務に対応するためのシステム・インフラの整備と拡張を急ピッチで進めることを余儀なくされました。以前より働き方改革や2020年7月に東京で開催予定だった世界的イベントに向けたシステム・インフラの整備は進めていました。しかしながら、このような規模とスピードでそれを求められることになるとは思いも寄りませんでした。私が所属するIT部門のように、物理的な出社が必ずしも必須でない部門は現在、条件が許せば全員の在宅勤務が可能になっていますが、これに至るまでにはさまざまな課題に直面しました。
小林:
具体的には、どういった課題だったのでしょうか。
福島:
まず、在宅勤務を行う部門で必要となる数のノートパソコンの確保や、通信設備におけるリモートワーク急増への対応が、当初は計画していなかった規模とスピードで必要になりました。次に、変化に対応するスピードという点で、クラウドを活用したシステムへのニーズも一段と高くなりました。そのため、クラウドの活用を後押しする新たなセキュリティルールの整備や、クラウドの安全な利用を担保する技術面での実装なども課題でした。また、お客さまの個人情報の取り扱いにも細心の注意を払う必要がありました。お客さまの情報は、社内のイントラネットで取り扱うことが原則であり、リモートワークを推進する上においても、情報を安全に取り扱うことのできるセキュアな環境の構築が不可欠だったのです。
小林:
リモートワークへの移行に加え、クラウドの利活用も加速したとのことですが、従来のオンプレミス型のシステム環境からの切り替えには、相当なご苦労があったのではないでしょうか。
福島:
そうですね。従来のオンプレミス型システムの捉え方や考え方に軸足を置いたままでクラウド利用を推進しようとすると失敗することに気付かされました。今回、コロナ禍においてクラウド化の必要性がこれまで以上に認識されるようになりました。これまで長年に渡りシステムを自前で構築してきたことから「メインはオンプレミス、クラウドはサブ」という考え方が残り続けてきましたが、今、メイン・サブの主従が逆転するパラダイムシフトが起きつつあります。
クラウドの利活用とは、単にクラウド上でサービスを展開したり、SaaS(Software as a Service)を利用したりすることだけを指しているのではありません。これまでオンプレミスで運用していた既存システムをクラウドに移行し、「軸足をクラウドへ変更する」ことです。そのためには、コストやリソースを考慮しつつ、仮想化やコンテナなどクラウドネイティブのテクノロジーを組み合わせて、クラウドネイティブの「考え方」でシステムをそのライフサイクルごと構築し直す必要があります。こうしたことに、当初は気が付きませんでした。
小林:
おっしゃるとおり、オンプレミスでのセキュリティ対策の考え方とクラウドでのそれは、まったく別のものと言えます。
福島:
今後は「クラウドが基本で、オンプレは一部に残るのみ」という「クラウドファースト」をマインドのレベルから実現していかなければいけません。当然、セキュリティに対する考え方もマインドセットの部分から変えていく必要があります。その1つが「セキュリティルール自体をクラウド化する」ことです。
先ほど申し上げたとおり、これまでは自社のビジネスに最適なシステムを自前で構築していました。自社で構築するシステムに対しては「独自のセキュリティルール」を適用してきたことから、クラウド上で構築するシステムに対しても同様の考え方で独自ルールの適用を考えていたのですが、それでは通用しないことが分かりました。振り返ってみれば、「セキュリティの自前主義を残したまま、システムのクラウド化を推進」しようとしていたのです。
小林:
クラウドへの移行は「自前主義から利用主義への転換」とも言えますよね。そのマインドチェンジに時間を要している企業は少なくありません。
福島:
クラウドの利活用は、自社のビジネスに必要なシステムを「作る」という考え方ではなく、サービスとして提供されるインフラやプラットフォームなどを自社のビジネスに当てはめて「使う」という考え方に基づいています。ですから、クラウド利用に関するルールも自社で「作る」のではなく、クラウド利用におけるスタンダードとして提供されるルールを自社に合うように「使う」という考え方が自然です。クラウド化を推進するためのセキュリティルールは、そうした考え方を前提に策定することが大切だということに気付かされ、私たちは、自社のセキュリティ対策をクラウド化により適したものへと変えるために、こうした考え方を理解することから見直しを始めました。
PwCコンサルティング合同会社 ディレクター 小林 公樹
小林:
効率的なセキュリティ対策を考えられる上で、ゼロトラストも検討されたそうですね。日本航空ではゼロトラストをどのように捉えていますか。
福島:
ゼロトラストについては、境界防御に頼り過ぎないこと、すなわち「境界頼みのセキュリティからの脱却」だと捉えています。ここでいう脱却は、境界防御をなくしてしまうという意味ではありません。むしろゼロトラストを、境界防御のアンチテーゼとして、境界防御の弱かった部分、あるいは実現困難だった課題に対応するための新たなアプローチと位置付け、具体的に2つの側面で適用しています。1つは境界の中、すなわち社内が必ずしも安全とは言い切れないという課題にゼロトラスト型のセキュリティ対策を適用してきています。もう1つは、これまで現在ほどには目を向けてこなかった境界の外、すなわち在宅などのリモート環境におけるセキュリティの確保です。コロナ禍以前より社内向けに築いてきたゼロトラスト型のセキュリティ対策を土台として、今度はそれを延伸する形で社外におけるセキュリティ向上に役立てようとしています。ニューノーマルにおいてもゼロトラスト型のセキュリティ対策が有効だと考えています。
小林:
そうした経緯で、ゼロトラスト・アーキテクチャの実現に取り組まれているわけですね。とはいえ、日本航空のような大規模な企業でゼロトラストの概念を浸透させ、セキュリティ対策に実装していくのは、一筋縄ではいかない作業だったのではないでしょうか。
福島:
そうですね。これからゼロベースで全てのシステムを構築するのであれば、クラウド上で理想のゼロトラスト対策を実現できるかもしれません。しかしながら、過去に構築を重ねてきたオンプレミス環境のシステムと最新のクラウド環境のシステムをハイブリッドで運用しながら、ゼロトラストネイティブのセキュリティ対策を導入することは必ずしも現実的なアプローチだとは言えません。自社にとって最適なアプローチは何か、さまざまな方のアイデアを組み入れつつ取り組んでいます。情報資産がオンプレミス、クラウドのどこにあったとしても、それらが正しく管理されて適切にアクセスできるよう、企業ごとの環境に適したセキュリティ対策の形を考え、それを実現することが、ゼロトラストのアプローチだと考えています。
コロナ禍は、このような、いつの日か実現させることが必要であった「変化」を模索するためのきっかけになったと言えると思います。
小林:
ここまで、コロナ禍におけるセキュリティ対策の取り組みを伺ってきました。私たちは、今回の未曽有の事態を経てニューノーマルの世界へと突入しつつあります。こうした時代の変化にセキュリティ対策の最前線で立ち会われた福島さんの中で、セキュリティそのものへの考え方の変化もあったのではないでしょうか。
福島:
ちょっと逆説的な表現になってしまいますが、「変えないために変えていく」ことが必要という、企業のセキュリティ対策の根底にあるマインドセットの部分でパラダイムシフトが起きつつあると考えています。
小林:
どういうことでしょう。
福島:
例えば、企業のセキュリティ対策では通常、一度決めたルールを簡単に変えることはありません。ルールを変えることによるシステムや運用への影響も大きいですし、ルールを頻繁に変えてしまっては一貫性も保てなくなってしまいます。しかし、リモートワークが当たり前になり、インターネットの利用がさらに拡大するニューノーマルにおいては、企業を取り巻く脅威やリスクが大きく変化しています。そのような中でセキュリティのルールだけが変わらないというのはおかしなことです。
境界防御の「境界」とは固定された「何か」のことです。社内ネットワークという境界、ルールという境界、セキュリティ体制という境界……。最大の境界は私のようにセキュリティに携わる者の固定されたマインドセットです。このように何かを「固定する」ことでセキュリティ対策を築き上げてきたのが従来の境界防御のパラダイムでした。しかし、あらゆることが大きく変化しつつある中、セキュリティもまた、今ある対策が絶対ではなく、ルール、システム、人・組織というあらゆる側面で、むしろ変えていく必要がある、そう気付かされました。これまでよしとされてきた、言わば不可侵なものであっても、時代に応じて変えていく必要があるという当たり前の事実に、日々変化を余儀なくされる中で気付かされ、学びを得たと思います。
ニューノーマルで、働き方やその環境が変わったとしても、情報資産を守るというセキュリティが果たすべき価値を「変えない」ために、その実現手段としてのセキュリティのルール、システム、人・組織については、それらを適切に「変えていく」必要がある。そのような見方に変わってきました。
小林:
最後に、今後のセキュリティ対策への意気込みをお聞かせください。
福島:
企業におけるサイバーセキュリティのOODA(Observe〈観察〉、Orient〈情勢判断〉、Decide〈意思決定〉、Act〈行動〉)ループを実現し、柔軟でスピーディーな対応ができるよう、組織の在り方を検討したいと考えています。また、セキュリティの体制や戦略といったソフトの方面でも、これまでの自前主義から脱却し、クラウドや例えばISAC(Information Sharing and Analysis Center)など社外のセキュリティ組織や専門家と協業していく体制を構築したいですね。社内外を問わず、そうした変革を起こし、実現することのできる人財を集めることが今後の重要課題だと考えています。
小林:
これまでにない変化が求められたコロナ禍で、日本航空のような大規模企業がとても柔軟かつ俊敏に対応されていることは、他の企業にとっても非常に参考になるのではないでしょうか。本日はありがとうございました。