雑種路線でいこう

ぼちぼち再開しようか

震災や停電を乗り切れる企業ITへ - クラウドとBYODを前提に

明日から情報セキュリティの白浜シンポジウム、僕は金曜に話すことになっていて、事務局からはCloud Securityについて何か話してくれと依頼されたのだが、去年のブロッキングと違って僕は当事者じゃないし詳しくもない。なにせ白浜だけに僕より詳しいひとは詳しいだろうし、一方でそこまでは知らないひともいるだろうし、割と話しにくそうだなと悩んでいたのである。
このところ140文字で書き捨てることばかりに慣れてしまって、90分も何かひとつのことについて話す機会って割と限られる。白浜の規模だとインタラクティブお茶を濁すことは難しい。たぶん70分ちょっとは何か話す題材が必要である。でもって僕自身がとんとクラウド・セキュリティにとんと興味がない。絶望的なほど興味がない。何というかオンプレミスと同じことが出来ますと主張することがクラウドにとってどれほど重要だろうかという疑問を持っている。穿った見方をすればクラウドに乗り損ねたエンタープライズ・ベンダの牛歩戦術ではないかとさえ思う。
で、ともかく僕は震災以降、毎日のように地震原発のことが頭を離れなくなってしまった。だから白浜でも震災後の世界について話そうと思う。月並みな話から始めれば、クラウドの生産性は高い。むちゃくちゃ高い。高過ぎて商売にならないほどである。震災から2ヶ月、様々なサービスが無償でリリースされた。地震から数時間で立ち上がったsinsai.infoをはじめ、GoogleのPeople Finderにしても、弊社の提供した文部科学省放射線量情報もほんの数日で構築されている。予算がつくより早くシステムが立ち上がってしまって商売にならないのである。
お陰でという話でもないのだが、一次補正には殆どIT予算が乗ってないし二次補正もどうなるか疑わしい。きっと瓦礫処理の方が大事だろうから、それはそれで仕方ないのだろう。ボランティアや避難所のPCとか3000台近く寄付されたが、いつまで通信サービスとか無償提供するのか、当初は予算化が間に合わない緊急支援として企業が社会貢献で提供していたのが、現に提供されているから予算化されないとなると結果として商売の邪魔になるんじゃないかと心配している。
ところで夏の計画停電を回避できるのか今でも心配しているが、計画停電は23区外の事業所とか、オンプレミスのサーバーと電池を抱いてないデスクトップPCの価値を劇的に下げた。無停電電源装置は停電時に正しくシャットダウンしてデータを保護するためには使えるが、計画停電を乗りきれるほど容量は大きくない。デスクトップPCは持ち帰れないし、電気がこなけりゃただの箱である。これからコストに厳しい企業も5時間くらいはバッテリーで動くノートPCを端末として使うだろうし、クラウドに置けるシステムはクラウドに置こうとするだろう。横並びの節電目標もデスクトップを捨ててノートPCに切り替える契機になる。ルータとかネットワーク機器も停電で止まるので、バックアップを兼ねてモバイルルーターも必要だ。
さらに踏み込めば個人所有しているスマートフォンタブレットを業務で使うケースも増える。いわゆるBring Your Own Deviceというやつで、米国政府が2年以内にBYODへ舵を切るという報道も出始めている。もちろん頭の硬い日本の大組織ではそういった機器の業務利用も規制している場合が多いのだが、実際には規制の厳しい役所や日系企業ほど実質的なBYODが進んでいる。
例えばこの1〜2年で霞が関の官僚でiPhone持ちの「タダ友」が随分と増えたが、彼らが異口同音にいうのが「業務でPCサイトをみる必要があるのに、職場のパソコンじゃフィルタリングが厳し過ぎて仕事にならない。仕方なく私物のケータイをスマートフォンに買い換えた」という話である。彼らは私物のスマートフォンで、自由なインターネットを使い、gmailで大きな添付ファイルをやりとりし、Twitterで世論を垣間見ているのである。
セキュリティがガチガチなことで有名な日の丸IT企業の友人も、職場じゃ仕事にならないといって抜けだしては喫茶店スマートフォンを使って仕事してる。会社のアドレスではなくgmailとドロップボックスで社外とのプロジェクトを進めるのである。皮肉なことに日本でも旧態依然とした保守的な組織ほど草の根BYODが進展している。実質的なセキュリティを考えると非常にまずい話とも思えるが、情シス部門が責任さえ回避できれば構わないという話ではないだろう。
もともとクラウドそのものがコンシューマ向けの検索やフリーメールのためのインフラ技術が徐々にオープン化されて企業ITでも活用される先駆だった。スマートフォンやソーシャルなどクラウドに続いている。けしからんというのは容易だが、震災後に活躍したのはこういう技術ではないか。パソコンの持ち出しを禁じ、在宅勤務を認めない会社は、震災で電車が止まって出勤できなくなれば業務が止まったのではないか。Skypeを禁じている会社は、流れたミーティングの代わりのSkypeでの電話会議に参加できなかった。Thin Clientは同時ログイン数が足りなくなったのではないか。もともとモバイルを認め、ネットからもアクセスできるIT基盤を構築している企業は、電車が止まろうが従業員宅の電気が止まろうが、何とか仕事を継続できたのである。これは先の地震直後だけでなく、電力が足りなくなる夏や、近く起こることが懸念される関東での地震も見据えて重要な問題だ。
そういう訳で、今のところクラウド・セキュリティというと、専ら閉じたオンプレミスの業務システムと同じだけの安全性をどう担保するかの議論に終始している印象を受けるが、クラウドを使うことの価値や事業継続に求められる要件を考えると、パブリッククラウドでロケーションアウェアに使えるところに本当の価値があるんだろうし、管理の難しい代替手段が数多く無償で提供されている中で如何に統制を維持するかであったり、そういうネットに開かれたオープンなシステムの上でデータ管理ポリシーを徹底するための、クロスドメイン認証なり暗号技術の議論こそが本筋なんじゃないの?という気がしている。
私物のスマートフォンから会社のメールにアクセスできるようにした場合に、その情報をどうやって守るのか、という議論である。社員による意図的な漏洩や、飲み屋で落としてしまうことも見越して脅威モデルをつくる必要がある。いろいろな意味で割り切りが必要な状況ではあるが、今のようにガチガチに社内システムを縛ったところで、gmailやらdropboxといった統制の外側に実質的な業務が移ってるだけで、それは責任回避のひとつの有り様かも知れないが、統制の観点からはBYODを織り込んでクラウド時代の企業システムを考える必要があるだろう。
まだ考えが煮詰まっていないのだけれども、夏に大規模停電が起こる可能性や、関東での大地震原発がまずいことになっての自宅待機とか、それくらいのシナリオは十分に予想される中で、今あるシステムで業務が動き続けるか考えると諸々の課題が見えてくるのではないか。
もうひとつ、震災直後はボランティアでワイガヤとサービスをつくり、ガツンと社会貢献で寄付するのも面白いが、震災からしばらく経って息切れしつつある。これまで電子政府における調達というと、競争入札による公平性ばかりが重視され、年次予算の単位で計画的に構築されてきたのだが、ニーズがコロコロ変わるのに対して数日で実装できる世界でそれが正しいのか、効率的なのか、国が数年で何億円もかけるよりはボランティアで数日汗をかいた方が立派な成果が上がる例が出始めて、予算のサイクルで動いても必要なときには間に合わない中で、実際に使われたサイトに対して後から賞金を出すとか、実際に使われている端末やらインフラに対して後から買い上げるとか、これまでと違った調達があっても面白いんだろうと思うのだが、調達制度の実情を考えると簡単ではないのだろう。
いずれにしても震災を通じて垣間見た近未来のEnterprise ITへ向けて何をどう突破していく必要があるのか、まだ考え始めたばかりなのだが、そういう視点でクラウド・セキュリティとか考えると、まただいぶ違う視点もあるんじゃないかと思案してるところ。なかなかうまい結論がまとまらないので、これから布団に入って悶々と考える。