新しい技術を使うと生まれる新たなセキュリティリスク。JSOLのセキュリティプロフェッショナルに対策と取り組みを聞いた
コロナ禍や働き方改革によってテレワークやクラウドサービスが普及した昨今では、従来のセキュリティモデル「境界型防御」からの脱却が急務となっています。そのための有効なアプローチとしての新たなセキュリティモデル「ゼロトラスト」を知っている方も多いでしょう。
「新しい働き方に対応できるセキュリティモデルを取り入れたいが、何から始めて良いのか分からない」「その技術で本当に要件を満たせるのか証明してほしい」とユーザーから言われたとき、エンジニアはどのような提案すれば良いのでしょうか。
NTTデータや三井住友銀行フィナンシャルグループを親会社に持つ株式会社JSOL(以下、JSOL)では、セキュリティ分野においていち早くSASE(Secure Access Service Edge)を提供するなど、先進的な取り組みを続けています。今回は同社のプラットフォーム事業本部に所属する、ITアーキテクトの土肥千明氏にお話を伺いました。
目次
プロフィール
ITアーキテクト
「新しいビジネスの創出」をミッションに、真のゼロトラスト実現に向けて伴走支援
――土肥さんがJSOLで担っている業務、立場について教えてください。
土肥:プラットフォーム事業本部営業部ビジネスイノベーション課で、ITアーキテクトとして働いています。ミッションは新しいビジネスを作りあげていくことで、セキュリティ市場におけるシーズの創造、顧客の課題解決するソリューションの開発、社内の人財育成、チーム・組織の形成まで含みます。また、プロジェクトの上流工程の支援も行っています。
――最近、セキュリティインシデントのニュースがよく取り上げられていますよね。昨今のセキュリティ動向について、専門家としてどのようにお考えでしょうか。
土肥:近年では、データの保存場所が大きく変わりました。これまで情報資産は内部に置いていましたが、クラウドサービスを活用して保存する企業が増えています。するとデータ主権や情報漏えいなどのリスクが懸念されるようになります。またクラウドサービスを運用する際には、設定ミスやアップデートにも注意を払う必要があります。
さらにコロナ禍を経て時間や場所にとらわれることなく働けるようになったことでアタックサーフェスが増え、サイバー攻撃を受ける危険性が高まっています。特に注意が必要なのは、最近猛威を振るっているランサムウェアや企業の機密情報を搾取する攻撃ですね。RaaS(Ransomware as a Service)が普及しエコシステム化が進むことで、攻撃者にとっての敷居が下がってしまいました。
攻撃の目的は金銭の窃取だけではなく、事業継続を脅かすものまで多様化しています。攻撃者は常に新しい攻撃手法を編み出しているので、動向を注視し続けなければなりません。
――土肥さんの所属されているプラットフォーム事業本部全体では、ネットワークやセキュリティ関連のビジネスを展開しているのでしょうか。
土肥:プラットフォーム事業本部は、4つの領域を中心にアカウントビジネスを展開しています。「クラウド・IoT」「ネットワーク・セキュリティ」「SAPBASIS」「データセンター・運用」があります。私自身は、ネットワーク・セキュリティ領域、クラウド領域を担当しておりますが、ビジネスとしては、4つの領域でコンサルティングからソリューションの導入、運用までを一気通貫で行います。また、他本部のソリューションやパッケージと当本部の4つの領域のソリューションを組み合わせたビジネスも多く展開しています。
――ネットワークやセキュリティ、クラウド領域の中でも、特に注力している分野はありますか?
土肥:私が担当するネットワークやセキュリティ領域では、コンサルティング、マネージドサービスに加えて、「ゼロトラスト」と呼ばれるセキュリティモデルに関するソリューションも注力分野です。ゼロトラストにはアイデンティティ、デバイス、ネットワーク、アプリケーション、データといった観点があり、それらを満たすための横断的な能力として、脅威の検知や分析、自動化、ガバナンスの確保が求められます。
また2019年にはゼロトラスト型ネットワーク「SASE」に関連するサービスを立ち上げました。これまで多くのお客さまにご利用いただいてきましたが、前述の「ゼロトラスト」関連や新技術を活用したさらなるソリューション開発やビジネス立ち上げにも注力しています。
新しい考え方や技術に意欲的なお客さまが多い
――お客さまの環境に導入するツールは、JSOLが見立てているのでしょうか?
土肥:はい。ただしセキュリティ分野には多くのツールやプロダクトがあるので、解決に最も適切なツールを見極める必要があります。きちんとツールを選定しないと、サイロ化や環境の複雑化を招きかねません。お客さまの環境で運用しやすいようにソリューションを統合する方針を取っています。
――お客さまは、どのような業界や業種が多いですか?
土肥:全業界・業種に対応しています。中でもDX(デジタルトランスフォーメーション)やゼロトラストなど、新しい考え方や技術を適用してビジネスプロセスを変革したいというお客さまが多いです。むしろ「従来のビジネスプロセスを変化させたくない」という考え方のお客さまは、ゼロトラストやSASEを導入しようと思わないかもしれません。DXを推進したい、働き方改革で柔軟な働き方を実現したいというお客さまと相性が良いように感じています。
――新しいソリューションに挑戦されたお客さまの例を教えてください。
土肥:最近では、製薬系のお客さまにSASEを導入したプロジェクトが印象に残っています。企画の立ち上げ、ご提案など、すべての工程にプロジェクトマネージャーとして対応しました。受託したのは2020年でして、当時はまだSASEに取り組まれている企業は少なかったです。その中で、境界型のセキュリティモデルからSASEへと全面的に刷新するという大がかりなプロジェクトでした。
難しかったのは、不明瞭な部分が残る新しい技術を用いて、お客さまの要件をきちんと実現できると証明することです。製品の評価も行いながらSASE導入を成功させ、今でも運用をサポートしています。
ゼロトラストはSASEのようなソリューションを導入して終わりではありません。変化するビジネスリスク、予算、技術的な成熟度、および変更許容度に基づいて段階的に実装、継続して改善活動を行うことが重要なため、運用面での継続的なサポートと、時には新しいソリューションを採用したり、「真のゼロトラスト」実現に向けて伴走支援しています。
――事例が少ない技術で要件をクリアできることを証明する……非常に難しい問題ですね。お客さまからは、どのようなところが評価されたのでしょうか?
土肥:そのお客さまは、それまでデータセンター(プライベートクラウド)中心の境界型セキュリティを使っており、お客さまが考える柔軟で効率的な組織基盤を目指すうえで制約を受けていると伺ってました。ゼロトラストを実現するためにSASEを導入することで、社内外で同じポリシーを適用できることでセキュリティレベルが向上し、海外からの社内ステムのアクセスなどレスポンス向上も実現しました。
最も評価してくださったのは、回線帯域をコントロールできることですね。需要の多寡に応じて帯域を増減できるオンデマンド型の回線を採用し、利用が少なければコストを削減できるなど、コストを最適化できるように工夫しました。
パフォーマンスや信頼性が常に維持された状態で柔軟に拡張できますので、ビジネスの成長を止めないインフラづくりができ、引き続き当社にはビジネス視点に立った提案を期待いただいています。
――他のお客さまのプロジェクトも、同じ流れで進行しているのですか?
土肥:私が関与したSASE導入プロジェクトは多数ありますが、すべて同じ流れではありません。あるプロジェクトは全面的な刷新ではなく、インターネットアクセスのセキュリティを中心とした部分的なリプレイスでしたね。私は設計段階から参画し、運用まで支援しました。そのお客さまはプロジェクト管理に長けていましたので、当社のプロジェクト管理のノウハウを生かしたプロジェクト運営と、SASEのバージョンアップ対応などの運用プロセス策定においてご評価いただきました。
――お客さまに合わせて柔軟に対応しているのですね。セキュリティの高度化を提案するとき、気を付けていることはありますか?
土肥:私たちが関わるお客さま(情報システム部)は企業の情報システム部門が多く、その先にはエンドユーザーがいます。ですので、エンドユーザーが意識しなくても、セキュリティが担保されている状態を作ることが求められます。例えばIDやパスワードを何度も入力する必要があるとか、セキュリティを高めるために操作が複雑になるなど、利便性を損なうことは望ましくありません。
セキュリティを最優先にするとパフォーマンスが悪化したり、利便性が悪くなって生産性が落ちたりしてしまう可能性があります。そのためセキュリティの堅牢化と利便性向上の両立を目指しています。
――こうしたトータルサポートを可能とする、JSOLの特徴を教えてください。
土肥:JSOLが手がけるソリューションの特徴は、お客さまの課題を基に戦略を立て、課題解決のためのロードマップを引き、導入プロジェクトを経て運用まで包括的にご支援することです。ワンストップで対応できるカバー範囲の広さも強みです。
先に挙げたSASEは、サービス立ち上げ当初から注目度は高いと考えていましたので、展開しやすいように標準化を意識してきました。NIST(アメリカ国立標準技術研究所)や各業界のセキュリティ基準を参考に、安全に実装できる標準モデルを定義しています。加えて標準モデルを満たせる設定内容を用意し、SASEの導入においてお客さまとのコミュニケーションも比較的スムーズに進められるようにしました。
また私の専門分野からは外れてしまいますが、当社にはSAP領域をはじめとするオンプレミス、クラウドのプラットフォームのノウハウが豊富にあります。ノウハウの一つとして製薬業界には、製造工程で使用されるシステムやソフトウェアの妥当性を検証する「コンピュータ化システムバリデーション」がありますが、こちらにも対応可能なソリューション(CSV on AWS/Azure)を提供しています。
注目され始めたばかりの領域で「第一人者」に
――JSOLが見据える将来について教えてください。
土肥:会社全体が目指しているのは、より一層の成長・進化に向けてシフトチェンジすること。さらにスピードを上げて取り組みを回せるようにしていきます。会社が目指す姿を実現するのは、私たち従業員です。会社の目指す方向性と個人の「想い」が合わないと、このスピードを上げることはできません。組織の事業戦略と個人の成長戦略をうまく連携させ、成長・進化の好循環を狙います。
また当社のお客さまにはグローバル展開している企業が多く、日本に本社を構えている企業もあります。その本社側でガバナンスを効かせたい、セキュリティを統合的に管理したいというニーズが高まっています。当社の親会社やパートナー企業との連携において、ご要望に応えられる体制を整えています。
プラットフォーム事業本部の注力領域となるネットワーク、セキュリティ、クラウドは、どれもまだ注目され始めたばかりのソリューションです。最終的には、当社がこの領域の第一人者として信頼される存在となれればと思っています。
――第一人者として認知されるのは、IT業界に限らず非常に難しいことだと思います。その反面、1つのことを追求する面白さもありますよね。土肥さんは業務のどのようなところに、難しさや面白さがあると思いますか?
土肥:ロードマップを描くことですね。例えばゼロトラストですと、言葉を聞いただけというお客さまが「具体的に何をすればいいのか分からない」と戸惑っているケースがあります。そのようなときには、ゼロトラストのコンセプトは何か、ビジネスプロセスと関連付けて、お客さまの環境で実現するには何が必要なのかを説明します。
その上で、どこから着手すべきなのか、現時点では部分的な対応とすべきなのかなど、お客さまの将来像を実現するために、実効性のあるロードマップを描きます。ロードマップは、お客さまの考えや環境によって変わります。この過程が楽しくもあり、難しくもありますね。
――お客さまを導きながら、意向にも沿うということですね。
土肥:そうですね。現状に満足されている場合は、なかなか意図がご理解いただけないこともあり、なぜ実施する必要があるのかに気付いてもらえるように促すところは苦労します。しかし、最終的にはお客さまのビジネスの成長が大切ですから、お客さまに向き合うことを重要視しています。
高度な専門性でビジネスに貢献し、時には広告塔に
――お客さまと折衝する力も、JSOLで活躍するには必要なのですね。土肥さんはプロフェッショナル職だとお伺いしていますが、高い技術力があるだけではプロフェッショナル職を目指すことは難しいのでしょうか?
土肥:プロフェッショナル職は、専門性を追求してビジネスに貢献するという特殊な立場です。そのため高い技術力を持つことはもちろん、専門性を駆使してビジネスに貢献する姿勢が重要です。ときには会社の広告塔となりJSOLの強みをアピールするなど、エバンジェリスト的な役割も求められます。社外での講演や情報発信も積極的に行うことが求められています。
その他には、先ほど事例でご紹介したように、プロジェクトマネージャーとしてプロジェクトをリードすることもあります。
ちなみに社員は1,300名(2023年4月現在)在籍していますが、プロフェッショナル職に就いている社員は33名程度(2023年11月現在)です。
――33名いるプロフェッショナル職の中には、土肥さんとは異なる分野に従事している方もいるのでしょうか?
土肥:私が認定されているのはITアーキテクトといわれる職種で、ITインフラのアーキテクチャ設計などを中心に担当します。他にはCAEプロフェッショナルやアプリケーションコンサルなどの分野もあり、大分類で6~7個ほどに分けられます。
――プロフェッショナル職になるには「認定」が必要なのですね。
土肥:そうですね。会社から認められたプロフェッショナルになりますので、認定には申請が必要で、申請書類審査、プレゼンを経て認定されます。申請は、事業本部長の推薦が必要ですが、自ら立候補する人もいますし、上司からの打診や声かけがきっかけで申請する人もいます。
――土肥さんは、なぜプロフェッショナル職になろうと思ったのですか?
土肥:もともとプロフェッショナル職になろうとは考えていませんでした。上司と話す中で次第に「プロフェッショナル職になったほうが専門性を追求でき、貢献したいと思う領域で活躍できるのではないか」と感じるようになり、プロフェッショナル職を目指しました。
普段からニュースなど新しい情報を見聞きすると「ビジネスに活かせないか」と考えるクセがついていますし、新しい技術にトライすることも好きですから、「極めたい分野を極められる」のはすごく魅力的でした。
――「ビジネスに生かせないか」という発想は、テクノロジーとビジネス、双方のセンスが問われると思います。どちらのセンスも育てるために必要なことを教えてください。
土肥:きっと過去、技術だけに関わってきたわけではない点が大きいと思います。私は学生時代、電子工学を専攻していました。研究室では携帯電話の電波の跳ね返りの性質を考慮した、効率的な基地局の配置などのアルゴリズムを研究していました。ただ就職時は、前職である技術系商社で、プリセールスエンジニアからキャリアをスタートしています。プリセールスという営業的な立場も非常に面白かったのですが、「自分で手を動かしたい」という思いもあり、途中からエンジニアに転向しました。
このように営業要素のある仕事を行っていたおかげで、お客さまとの折衝時にも「現場とビジネス」双方に配慮する考え方を養うことができたと思っています。
――上司の方からは、その考え方が評価されたのでしょうか。
土肥:強いて言えば、ネットワーク・セキュリティ領域でこれまで携わってきたプロジェクト、社内での取り組みでの実績を評価いただいたと思います。プロフェッショナル職の推薦理由の一つに「一流の専門性と、人間力を兼ね備えた人財」があり、お客さま目線で問題兆候のあったプロジェクトで顧客役員向けへの説明で問題沈下に貢献や、お客さまから指名で提案依頼をいただけたということを評価いただきました。また「新しいソリューションを立ち上げる」という事業本部の方針と目指すところが一致しており、ビジネス貢献に期待いただいているところかと思います。
――先ほど話に出ていた「個人の成長戦略」との一致ですね。スキルアップを目指すときには、会社からのサポートがあると心強い思うエンジニアもいると思います。プロフェッショナル職に認定されると、会社から受けられる支援はありますか?
土肥:スキルアップのための研修支援で言えば、プロフェッショナル職に限らず受けられます。当社には「カフェテリアポイント」といって、給与とは別に年間15万円分の教育支援ポイントが支給されます。そのポイントを消費して好きな研修に申し込んだり、資格を取得できたりします。その他には、全社員がオンライン講座の「Udemy」にて自由に学習できます。
またプロフェッショナル職に関してお話しますと、これまで日本クラウドセキュリティアライアンス(CSAJapan)に個人で加盟しておりましたが、法人会員で加盟を行い当社の窓口として担当しております。自分の裁量によるところが大きいのですが、プロフェッショナル職になれば業務に関連する団体での活動に時間を費やすことも認められやすくなります。
――これからJSOLに入社するエンジニアも、プロフェッショナル職を目指すことは可能でしょうか。
土肥:当社としては、プロフェッショナル職を増やす方針です。まだプロフェッショナル職としてキャリア入社された方はいませんが、これから入社される方がプロフェッショナル職になる可能性は十分あると思います。
――熱意あるエンジニアにとっては朗報ですね。土肥さん個人としては、どのようなエンジニアと一緒に働きたいですか?
土肥:過去の経験や実績もとても大切ですが、変化が激しく先行き不透明な「VUCA(Volatility(変動性)、Uncertainty(不確実性)、Complexity(複雑性)、Ambiguity(曖昧性)という4つの単語の頭文字をとった言葉」の時代ですので、新たなテクノロジーを積極的に勉強する姿勢も重要だと思います。例えば、これまでの概念を覆すような新しいアイデアを発想したり、活用の方向性を示したりして、ビジネスをリードできるような方。積極的な方と一緒に仕事をして、刺激を受けたいです。
――どのようなエンジニアならJSOLで活躍できると思いますか?
土肥:チャレンジ精神旺盛な方、高い目標や野心のある方はすごく活躍できるのではないでしょうか。研修受講や資格取得などスキルアップのための支援が豊富にありますし、プロジェクトの開発・検証環境の準備のしやすさも特徴です。例えばクラウドサービスのプロジェクトでは、まずは開発・検証環境が必要ですよね。これまではクラウドサービスを利用するうえで申請が大変でしたが、当社なら、全社共通の利用ルールと開発や検証のための環境が社内で用意されているので、トライしやすいと思います。
また当社には真面目で、かつ親身に相談に乗ってくれるメンバーが多いので、良好な人間関係を築けると思います。
――検証環境が整っているのは驚きです!ちなみに、JSOLで使えるクラウドベンダーは何ですか?
土肥:Amazon Web Services (AWS)とMicrosoft Azureです。全社共通のGoogle Cloud開発・検証環境はありませんが、プロジェクト固有で用意していますね。
――最近入社したエンジニアで、目を引く活動をされている方がいたら教えてください。
土肥:AWSにはパートナー企業の入社3年目までのエンジニアを対象とする「ジュニアチャンピオン表彰制度」があるのですが、「2023 Japan AWS Jr. Champions」にて当社から2名が選出されました。これはすごいことだと思います。
また、最近入社された方ではないかもしれませんが、AWS関連すべての資格を取得する「2023 Japan AWS All Certifications Engineers」にも4名選出されたと聞いています。どのような勉強をしたのか、私も知りたいですね。現在はラスベガスで開催される年次イベント「AWS re:Invent 2023」の事前勉強会への参加など準備をしているようです。
セキュリティの専門集団と情報交換できる
――エンジニアにとって良い刺激を受けられそうな環境ですね。特にセキュリティ分野を目指しているエンジニアにとって魅力的な点を教えてください。
土肥:私が所属するビジネスイノベーション課はセキュリティエンジニアが結集しているところでして、一概に「セキュリティ」と言っても多種多様な経験を積んでいますし、得意分野は異なります。コンサル領域を得意とするエンジニアもいれば、CSIRTのような運用領域に知見を持つエンジニアもいます。
様々なバックグラウンドを持つメンバーが情報交換していますので、セキュリティに興味がある方なら興味深い知識を得られるのではないでしょうか。
――情報交換は対面で行っているのですか?
土肥:対面で行うこともありますし、コミュニケーションツールのMicrosoftTeamsを使うこともあります。おおよそ3~5割程度の比率でテレワークをしているメンバーもいます。
――土肥さんの、これからの「個人の成長戦略」を教えてください。
土肥:生成AI、分散型台帳、量子コンピューティングなどの新しいテクノロジーをビジネスに活用するときは、新たに生まれるセキュリティリスクに対応する必要があります。このような課題に対応する新しいソリューションを開発したり、セキュリティに関する啓発活動を行ったりして、会社や社会に貢献したいと思っています。