【対談】DevSecOpsの浸透において重要なのは「顧客起点」の着想である-前編

[執筆者]
DOORS編集部

DXブームにおいてAI/機械学習を用いたプロジェクトが増加する中、サイバーセキュリティの脅威が日々顕在化し、ニュースになるシーンも増えてきました。DXはIT・デジタルを用いて顧客/ユーザーに便利さという光をもたらす一方で、実はセキュリティ脅威といった影も同時にもたらしているのではないでしょうか。営業・CRMの改革を目的に導入したITシステムの設定不備に気づかず、大切な顧客情報が危険にさらされていたというニュースを最近よく目にするようになりました。
IT導入は効能を高める「光」の側面と一方でリスクを高める「影」の側面があります。

DXによる業務改革時代において、最近では、開発担当者と運用担当者が協力連携して進める開発手法である「DevOps」に、セキュリティの「Sec」を足した「DevSecOps」というキーワードが注目を集め始めています。
去る2020年10月、日本で初めてDevSecOpsをテーマとした約1,500名のオンラインイベント(※)の企画から実行を取り仕切り好況をおさめた、株式会社ブレインパッドのエグゼクティブディレクター・韮原祐介に、同社マーケティング本部長・近藤嘉恒が、この「DevSecOps」の概念・考え方や、「DXとDevSecOpsの関係性」について、話を聞きました。

(※)「DevSecOps Days Tokyo」(主催・DevSecOps Days Tokyoコミュニティ、後援・アメリカ大使館・経済産業省・カーネギーメロン大学CyLab、SEIほか)
2020年10月5~6日にオンライン開催。DevSecOpsをテーマにしたイベントが日本で開催されるのは初めてであり、米・国防総省やカーネギーメロン大学関係者が登壇することで注目を集めた。

高まる「サイバー脅威」対応の必要性

近藤 DevSecOpsという概念との「出会い」「きっかけ」はいつ頃から本格化しましたか?

韮原 キーワードは結構前から知っていましたが、より明確に理解が進んだ2019年9月頃ですね。
とある海外の有識者と出会い、議論を重ねる中でこの概念そのものの奥深さを知り、興味が膨らみました。彼らとの会話は非常に趣があり、一般のビジネスのみならず、「国防の観点」に視座を広げてセキュリティリスクを論じるのです。

例えば、在日米軍の基地は管理下はもちろん米国にありますよね。当たり前ですが、米軍基地のインフラは所在がある日本のインフラを利用しています。では、「もしもインフラに関わる日本企業がサイバー攻撃を受け、それが止まったらどうなりますか?」
米軍基地の機能が止まり、基地が無効化される可能性がある。だから米国・日本に限らず世界横断でシステムを守ることに目を向けていく必要を論じるんです。

話の規模が少し大きくなりましたけど、「サイバー戦争」は、過去の戦争の延長にあるように何となく想像しがちで、「軍同士」「軍対テロリスト」というイメージがありましたけど、実際攻撃されるのは「水道」「電力」「交通」といった都市インフラや金融システムが狙われる脅威が大きくなっていて、軍事の問題だけでなく、「市民生活自体」に影響が出るのです。

サイバー攻撃の脅威は日々、増大している。

近藤 ということは、このITが進化した今、オンラインによるサイバー戦争の影響について、ITリテラシーに関係なく市民レベルでも意識を変えていかないといけないということになりますね。

韮原 そうです。サイバー戦争は「民間企業」、そして「市民」も狙われる。
そういうのが、今の世界の安全保障を巡る常識なのです。実際国内で起きている話で、軍に纏わる話でないとしても、ITの民間企業が保有していた「新型ミサイルに関する機密データ」が中国から盗まれたり、ある大手流通企業の「アプリサービスの決済システムの不正利用」で、ローンチからわずか1か月でサービス停止を発表し、100億円もの特損を計上して事業そのものが停止したり・・・。

サイバー攻撃は僕らの生活に近いところで既に起きています。
直接、生活に影響したり、廃業に追い込まれたりという時代にもなったのです。
サイバー脅威への対策の「解」を考えたら、やはり「システムの作り方の『根本』から見直しましょう」となるのは間違いないです。日本ではサイバー脅威への対応だけでなく、「危機についての認識」すら遅れていると感じてました。だから、既に海外で進んでいる「DevSecOps Days」を日本で開催しようと決めたのです。

画像に alt 属性が指定されていません。ファイル名: AT4I0164-min-1024x683.jpg

近藤 イベント開催の目的は、「DevSecOpsが今後バズる」からではなく、これからデジタルを使ったサービスを展開していくうえでは、DevSecOpsの概念が「全産業の、全企業が基本リテラシーとして普及していかないといけない。」という危機感にあったのですね。とても腑に落ちました。まさにDXを進めるにあたって、攻めと守りの「両翼」を抑えた俯瞰した観点ですね。

Googleが構築した「ゼロトラストネットワーク」のきっかけ

韮原 先日一般提供が始まった、Googleのゼロトラストモデルのセキュリティネットワークである「BeyondCorp」。

ゼロトラストとは、日本的に言うなら「人を見たら泥棒と思え」という考え方をウェブの世界でやるようなもので、情報システムは必ず突破される、既に侵入されてしまっているかもしれないと捉える考え方です。IDとパスワードを持っているぐらいでは認めず、多段階の認証を取るのもゼロトラストの考え方に基づくものです。手書き文字を認識したり、SMSに届いたコードを入力してようやくサービスが利用できる機会が増えていますよね。

Googleがなぜゼロトラストネットワークをやるようになったかというと、かつて中国に進出した際の苦い経験があるからだと解釈しています。これは、Googleが公式に発表していた内容ですが、中国で「Gmailのアカウントがハック」されたり、「知的財産権が盗まれた」という事件がありました。そこからですよね、対策としてゼロトラストネットワークをやり出したのは。Googleにとっては、ゼロトラストネットワークの「BeyondCorp」を一般提供するようになったことは、もはや常識でありそれ自体では競争優位もなく、かつコロナによる在宅ワークで、ようやくユーザー側のニーズも高まってのことではないかと思います。「モバイルファースト」や「AIの民主化」と言ってきた流れとも合致しますし、そこから自分たちのクラウド基盤を使っていってほしい、というロジックなのでしょう。

近藤 「自社で蓄えた知見を公開することは、業界全体の発展につながる」。社会視点でのこういう取り組みが技術の民主化に繋がっていくことは、非常に良いことですね。

日本はDevSecOps黎明期?

韮原 「DevSecOps」という言葉はもう5年ほど前には誕生していました。
しかも、それに近い概念や考え方自体はそれこそGoogleがゼロトラストネットワークをやり出した10年ほど前にも存在している中、DevOpsの高まりの先に、サイバー脅威への対応が「DevSecOps」という言葉に昇華していっている節もあります。

誕生から5年。ガートナーのハイプサイクルではもう「幻滅期」に突入しているのですが、日本ではまだまだ一部の人しか注目していない、実際の肌感覚は「黎明期」のように感じます。

黎明期とはいえ、日頃サイバー脅威に晒されているであろう日本の先進テクノロジー企業はこうした脅威に対処するためにセキュリティに対する積極的な考え方をすで取り入れて実践しています。ある意味、DevSecOpsをやってる意識はなかったけど「DevSecOps的な考え方」を持って事業開発していると思います。

「当たり前のこと」と捉えていない企業の方々も含めて「DevSecOps的な考え方」が浸透できてるかと問われると、まだまだこうした考え方は普及していない、ということですかね。

近藤 これは、既存産業へのディスラプターとして創出されたテクノロジー企業は当然のプロセスとして認識している、と言い換えてもいいかもですね。 DXブームにより、AIやデジタルを活用することで、サービスの豊かさはどんどん広まるが故に、既存産業の「光」の部分に事業活動が注がれていく反面、逆に当たり前に意識すべき「影」の存在を両眼で捉えていく経営者・担当者がいないと、今後日本の大手企業のDX推進はどこも苦しむことになるでしょうね。

DXブーム到来での「情報システム自体」のあり方

近藤 今の情報システム部門や仕組みの現状は、日本と海外の比較という視点を含めて、どうなのでしょうか?

韮原 「発注者側がコントロール(掌握)」してるかどうかが重要な分かれ目ですね。
最近は外注なのか内製なのか、の議論も耳にすることもありますが、内製化の善悪の議論以前に、自社・自部門が持つIT資産には何があるか、それらがどういう状態にあるか、ということにすらわからない会社が意外と多い。一元的な管理すらできていないことからして問題だと思います。

ある種枯れた仕組みであるバックオフィス系システムだけを運用し続けるのであれば、これまで通りでいいかもしれませんが、これからのDX、すなわちデジタルを起点として「攻めて稼いでいくシステム」を作っていくときに、それらを管理できていない、スピーディに改善していけない、という状態であれば、実際には勝負にすら参加できないと思います。

例えば、ITコンサルやSIerが基幹システムをリプレイスするときに「現状調査」として数ヶ月かけて作るドキュメント、これは本来は、内部で元々管理できていないといけないものです。

GAFAやNetflix、テスラのように、ソフトウェア開発力で収益を稼いでいく勝負になっている時代に、「うちには何のシステムがありましたっけ」と他社にお金を払って整理してもらうのというのは、悲壮感が漂います。

この数年で「情報システム部門のあり方」も大きく変化が迫られるようになってきたと感じます。パワフルなCIOが組織を牽引するケースも増えてきています。DXを通して企業の競争力を高めるには、そうした強いリーダーシップの必要性も痛感しています。

結局は、「組織を変えること」「考え方を変えること」が求められる時代に移り変わるので、意志を持った人が増えれば、情報システムの組織も考え方も変革していけるのでないでしょうか。

後編へ続く

お話を伺った方

韮原祐介 
株式会社ブレインパッド
エグゼクティブディレクター

機械学習などのデータサイエンスやデジタルテクノロジーの活用による経営改善を専門とするコンサルティングを提供。需要予測、画像解析、レコメンドエンジン、検索などの機械学習システムによるビジネス成果の創出を強みとして、企業トップ層に対するデータ・機械学習活用やデジタルトランスフォーメーションに関するコンサルティングを提供。前職のコンサルティングファーム在籍時も含めて15年にわたり、国内外における企業の経営改革支援に従事。
著書「いちばんやさしい機械学習プロジェクトの教本 人気講師が教える仕事に AI を導入する方法 」

近藤嘉恒 
株式会社ブレインパッド
マーケティング本部長

オービックでERP「OBIC7」営業を経てマーケティング組織を新設。その後Experian(現チーターデジタル)にて「MailPublisher」「CCMP」の2つの営業組織を統括。2016年よりブレインパッドに参画、主力製品DMP「Rtoaster」の事業統括を経て、2019年より、全ケイパビリティ(データ分析領域|データ基盤領域|、デジタルマーケティング製品領域)のマーケティング統括を担う。

WRITER執筆者プロフィール

株式会社ブレインパッド

DOORS編集部

ブレインパッドのマーケティング本部が中心となり、主にDXにまつわるティップス記事を執筆。また、ビジネス総合誌で実績十分のライター、AI、ディープラーニングへの知見が深いライターなど、外部クリエイターの協力も得て、様々な記事を制作中。

MAIL MAGAZINEメールマガジン

イベントやセミナーの開催予定、
最新特集記事の情報をお届けいたします。

TREND人気ワード・タグ

BEST PRACTICEベストプラクティス

業態・業種から探す

テーマから探す

データ活用のプロが考える、エンジニアリング視点の記事や、新規ビジネスの創出に関する記事まで幅広い特集を配信!

業界の最先端をいく、100名を超える当社に在籍のAIおよびデータ活用スペシャリストが原稿を執筆!

ベストなDXへの入り口が見つかるメディア

DOORS

BrainPad

MAIL MAGAZINEメールマガジン

登録が完了しました。

メールマガジンのご登録ありがとうございます。
最新特集記事の情報をお届けしますので、
お楽しみにお待ちください。

MAIL MAGAZINEメールマガジン

登録エラーです。