KDDI サービス企画開発本部 企画開発戦略部 技術戦略グループ エキスパート 大橋衛氏
「クラウド禁止」という結論は、大橋にとってあり得なかった。大橋がクラウドに出会ったのは2013年。きっかけは、最近話題のパブリッククラウドについて調べてほしいという上司からの依頼だった。当時の大橋はクラウドが何たるかもよく分っていなかったが、調査を開始。プログラマ出身だった大橋は、何気なく開いたページに見つけた、「プログラマがインフラを変数のように扱える」という一文に、まるでハンマーで頭を殴られたかのような衝撃を覚えた。クラウドを使えば、これまで人力でやってきた操作やシステム構築が大幅に自動化できる。数時間、数日、あるいは数週間要していた作業が、たったの数秒で完了してしまう。この技術は間違いなく業界の構造そのものをひっくり返す。乗り遅れればKDDIに未来はない。
クラウドもオンプレミスも外部脅威はほぼ同じ。問題は、内部脅威への対策をどこまで厳しくするかだ。ここは組織によって特徴が出るポイントでもある。ある金融機関は、全社員を犯罪者予備軍と捉え、一部機能のみ使用を許可するなど性悪説に立った対策を講じている。統制は利かせやすいかもしれないが、クラウド本来の自由度を享受するのは難しい。
大橋は、正反対のアプローチをとった。「KDDIでは、統制側がすべての監査証跡ログを残す代わりに、ユーザーの自由度は高くしています。『自由に動いていい代わりに、行動はすべて記録している。何かしたらすぐにばれますよ』というように、心理的抑制をかけている状態です」
こういった発見的統制(不正や誤謬などを適時適切に是正する統制活動)のポイントは、どこに責任を置くか、だという。「統制側(CCoE)はあくまでも証跡を残すところまでを担い、それ以降は各事業部門が対処する。ここは、組織によってだいぶ違いますよね。われわれのやり方は、セキュリティの遵守は事業部門の責任で行う、というオンプレ前提の頃からの構図をそのまま踏襲しています。逆にオンプレをベースに脈々と積み上げてきた弊社の厳しいセキュリティの基準があったおかげで、クラウド前提であっても守るべきセキュリティレベルは一切落ちていません」
