DNP3万人超の従業員にどう安全にクラウドを使わせるか たった4人のCCoEチームの作戦（1/3 ページ）

クラウドを利用したからといって全てがセキュアになるわけではない。CCoEチームはクラウド利用をリードする役割が注目されがちだが、セキュリティを維持する上でも大きな役割を果たしている。CCoE活動にいち早く取り組んだDNPはどうセキュリティの問題に向き合っているだろうか。

[宮田健，ITmedia]

大日本印刷　和田 剛氏

　「ITmedia Security Week 2022 Summer」のDay5「クラウド時代の脆弱性管理」の基調講演において、大日本印刷の和田 剛氏（情報イノベーション事業部 ICTセンター　システムプラットフォーム開発本部　DX基盤開発部　部長）による「クラウドのセキュリティガバナンス確立に必要なCCoEの役割」と題する講演が行われた。

　大日本印刷はクラウドの利用を推進するCCoE（Cloud Center of Excellence）を組織している。講演は、和田氏が同社CCoEの役割を、セキュリティの観点から整理し「利用者にとって魅力的なクラウド環境を作り出すための取り組み」を紹介した。本稿はその講演内容をレポートする。

クラウド・バイ・デフォルトを宣言したDX推進企業

　大日本印刷は2022年で創業146年を迎える。印刷を主要な事業としてきたが、近年は印刷技術を生かし、エレクトロニクスや情報コミュニケーション関連の事業が成長をリードする。国内外に営業拠点、生産拠点を持ち、全体の従業員数は3万5000人を超える。

　和田氏は、自社のビジネスを「大事なデータを預かり、価値ある情報に変換し、それを世の中に届けること」と表現する。預かるデータの性質は多岐にわたり、IoT（モノのインターネット）をはじめ、多様だ。データを意味のある「情報」に変換する部分はAI（人工知能）も活用する。

　「世の中に伝達する手段は紙への印刷だけではなくなった。バーチャルリアリティやデジタルサイネージもある。入り口および出口を高度化することがわれわれの事業の核。“DX for CX”をキーコンセプトに掲げ、カスタマーエクスペリエンスを追究している」と和田氏は述べる。

　その中でも特に重要なのが、必要な時に必要な情報を提供するためにスピード感を持ってサービスを提供していくことだ。これにはクラウドの活用が欠かせない。

　大日本印刷では2018年に「クラウド・バイ・デフォルト」を宣言し、現在は645のシステムがマルチクラウドで稼働する。グループ全体でこれを実現しているのが、クラウド利活用コミュニティの中心的存在であるCCoEだ。

CCoE専任はたった4人、3万超の従業員にどう安全なクラウド利用を広めるのか

　CCoEの主な役割は、セキュリティ統制のためのガイドライン策定や、QCDS（クオリティ／コスト／デリバリー／サポート）の向上、さらには人材育成やプロジェクト技術支援と多岐にわたる。だが、CCoEの専任はたった4人だけだ。この4人で全社にクラウド利活用を広めている。

　DNPにおけるCCoEの特徴は“コミュニティ”にある。クラウド利活用をリードする関連部門のキーパーソン20人超を兼任者として集め、ガイドラインを策定、開発する。その周辺にはクラウド利活用者900人超の従業員も参加する。このコミュニティを大きくしていくのが、CCoEの主なミッションだ。

　大日本印刷におけるCCoEの取り組みは一朝一夕でできたものではなく、専任チームによる地道な施策が結実したものだ。CCoEチームの活動は多岐にわたるが本稿においては、以降で主にセキュリティガバナンス体制においてCCoEチームが果たす役割を見ていく。

図1　大日本印刷におけるCCoEは「コミュニティ」として組織されている

大日本印刷がCCoE組織によるセキュリティガバナンス体制を構築するまで

　大日本印刷は、CCoEチームによるセキュリティガバナンスをどう確立してきたのだろうか。和田氏はそれをステップごとに紹介する。

　まず「チェックシート作成」「ガイドライン策定」のステップだ。この部分に関して和田氏は、「これからクラウドを使うという方や、クラウドを使っているがなかなか進められないという悩みを持つ人も多いだろう。それはクラウドに対し、不安要素、つまり気になることが残ったままになっているからではないか」と指摘する。「データセンターの物理セキュリティはどうなっているか」「クラウド事業者は信用できるのか」「外部からの攻撃にはどう対応すればいいのか」といった不安を、どうクリアにしていくかが分からないから不安になると和田氏は述べる。

図2　大日本印刷におけるCCoEの役割

　この点に関して和田氏は「地道に、確実に利用者の不安を取り除くしかない」と述べる。リソースを調達する人、運用を担当する人とのディスカッションを経てオンプレミスとクラウドの違いをそれぞれが確認することを通じて「クラウドを正しく理解し、イメージできる状況を作ることが重要だ。知らないから怖い。だから、一つ一つ取り除いていく」と述べた。

図3　初期段階で不安要素を確実に取り除いていく

　理解できるようになれば自ずと気が付くことがあるという。「違いが分かれば、自社がやるべきセキュリティ対策や、これまでは考慮されていなかったセキュリティ対策が見えてくる。これを基に、ガイドラインを作成すればよい」（和田氏）。

　和田氏は続けて「クラウドだからといって突然強固なセキュリティ体制が実現するわけではない」と指摘する。いままでと変わらない対策が必要な上に、クラウドならではのセキュリティ対策として、特権ユーザー対策を考える必要がある。クラウドサービスの提供元IPアドレスは既に攻撃者に把握されているものもあるため、アクセスコントロールが生命線となる。DDoS対策も必要だ。

　上記のような項目を検討した結果、大日本印刷におけるガイドラインの64％がセキュリティに関する記載となったという。