デジタルトラストの構築に向けたPwCのアクション：ニューノーマルのセキュリティ コロナ禍でどのような検討が行われたのか（日本航空）

クラウド移行は自前主義から利用主義への転換である

小林：
リモートワークへの移行に加え、クラウドの利活用も加速したとのことですが、従来のオンプレミス型のシステム環境からの切り替えには、相当なご苦労があったのではないでしょうか。

福島：
そうですね。従来のオンプレミス型システムの捉え方や考え方に軸足を置いたままでクラウド利用を推進しようとすると失敗することに気付かされました。今回、コロナ禍においてクラウド化の必要性がこれまで以上に認識されるようになりました。これまで長年に渡りシステムを自前で構築してきたことから「メインはオンプレミス、クラウドはサブ」という考え方が残り続けてきましたが、今、メイン・サブの主従が逆転するパラダイムシフトが起きつつあります。

クラウドの利活用とは、単にクラウド上でサービスを展開したり、SaaS（Software as a Service）を利用したりすることだけを指しているのではありません。これまでオンプレミスで運用していた既存システムをクラウドに移行し、「軸足をクラウドへ変更する」ことです。そのためには、コストやリソースを考慮しつつ、仮想化やコンテナなどクラウドネイティブのテクノロジーを組み合わせて、クラウドネイティブの「考え方」でシステムをそのライフサイクルごと構築し直す必要があります。こうしたことに、当初は気が付きませんでした。

小林：
おっしゃるとおり、オンプレミスでのセキュリティ対策の考え方とクラウドでのそれは、まったく別のものと言えます。

福島：
今後は「クラウドが基本で、オンプレは一部に残るのみ」という「クラウドファースト」をマインドのレベルから実現していかなければいけません。当然、セキュリティに対する考え方もマインドセットの部分から変えていく必要があります。その1つが「セキュリティルール自体をクラウド化する」ことです。

先ほど申し上げたとおり、これまでは自社のビジネスに最適なシステムを自前で構築していました。自社で構築するシステムに対しては「独自のセキュリティルール」を適用してきたことから、クラウド上で構築するシステムに対しても同様の考え方で独自ルールの適用を考えていたのですが、それでは通用しないことが分かりました。振り返ってみれば、「セキュリティの自前主義を残したまま、システムのクラウド化を推進」しようとしていたのです。

小林：
クラウドへの移行は「自前主義から利用主義への転換」とも言えますよね。そのマインドチェンジに時間を要している企業は少なくありません。

福島：
クラウドの利活用は、自社のビジネスに必要なシステムを「作る」という考え方ではなく、サービスとして提供されるインフラやプラットフォームなどを自社のビジネスに当てはめて「使う」という考え方に基づいています。ですから、クラウド利用に関するルールも自社で「作る」のではなく、クラウド利用におけるスタンダードとして提供されるルールを自社に合うように「使う」という考え方が自然です。クラウド化を推進するためのセキュリティルールは、そうした考え方を前提に策定することが大切だということに気付かされ、私たちは、自社のセキュリティ対策をクラウド化により適したものへと変えるために、こうした考え方を理解することから見直しを始めました。

ニューノーマルは「変えないために変えていく」時代

小林：
ここまで、コロナ禍におけるセキュリティ対策の取り組みを伺ってきました。私たちは、今回の未曽有の事態を経てニューノーマルの世界へと突入しつつあります。こうした時代の変化にセキュリティ対策の最前線で立ち会われた福島さんの中で、セキュリティそのものへの考え方の変化もあったのではないでしょうか。

福島：
ちょっと逆説的な表現になってしまいますが、「変えないために変えていく」ことが必要という、企業のセキュリティ対策の根底にあるマインドセットの部分でパラダイムシフトが起きつつあると考えています。

小林：
どういうことでしょう。

福島：
例えば、企業のセキュリティ対策では通常、一度決めたルールを簡単に変えることはありません。ルールを変えることによるシステムや運用への影響も大きいですし、ルールを頻繁に変えてしまっては一貫性も保てなくなってしまいます。しかし、リモートワークが当たり前になり、インターネットの利用がさらに拡大するニューノーマルにおいては、企業を取り巻く脅威やリスクが大きく変化しています。そのような中でセキュリティのルールだけが変わらないというのはおかしなことです。

境界防御の「境界」とは固定された「何か」のことです。社内ネットワークという境界、ルールという境界、セキュリティ体制という境界……。最大の境界は私のようにセキュリティに携わる者の固定されたマインドセットです。このように何かを「固定する」ことでセキュリティ対策を築き上げてきたのが従来の境界防御のパラダイムでした。しかし、あらゆることが大きく変化しつつある中、セキュリティもまた、今ある対策が絶対ではなく、ルール、システム、人・組織というあらゆる側面で、むしろ変えていく必要がある、そう気付かされました。これまでよしとされてきた、言わば不可侵なものであっても、時代に応じて変えていく必要があるという当たり前の事実に、日々変化を余儀なくされる中で気付かされ、学びを得たと思います。

ニューノーマルで、働き方やその環境が変わったとしても、情報資産を守るというセキュリティが果たすべき価値を「変えない」ために、その実現手段としてのセキュリティのルール、システム、人・組織については、それらを適切に「変えていく」必要がある。そのような見方に変わってきました。

小林：
最後に、今後のセキュリティ対策への意気込みをお聞かせください。

福島：
企業におけるサイバーセキュリティのOODA（Observe〈観察〉、Orient〈情勢判断〉、Decide〈意思決定〉、Act〈行動〉）ループを実現し、柔軟でスピーディーな対応ができるよう、組織の在り方を検討したいと考えています。また、セキュリティの体制や戦略といったソフトの方面でも、これまでの自前主義から脱却し、クラウドや例えばISAC（Information Sharing and Analysis Center）など社外のセキュリティ組織や専門家と協業していく体制を構築したいですね。社内外を問わず、そうした変革を起こし、実現することのできる人財を集めることが今後の重要課題だと考えています。

小林：
これまでにない変化が求められたコロナ禍で、日本航空のような大規模企業がとても柔軟かつ俊敏に対応されていることは、他の企業にとっても非常に参考になるのではないでしょうか。本日はありがとうございました。