DNP3万人超の従業員にどう安全にクラウドを使わせるか たった4人のCCoEチームの作戦（2/3 ページ）

[宮田健，ITmedia]

「解釈」の恐怖ーー“共通サービス”ができるまで

　ガイドラインやルールについては、注意すべき点がある。「解釈」の問題だ。和田氏はCCoEチームに着任する前に経験したエピソードを披露した。

　そのエピソードはCCoEチームがガイドラインを作成する前の出来事だ。あるクラウド事業者との打ち合わせで「社内ルールの関係上、クラウドサービスの利用が難しい」という課題を話した際に「ルールがあるなら、解釈を変えればいい」とのアドバイスを受けた経験があるのだという。

　それも状況を打開する上では一つのアイデアかもしれないが、社内ルールを作るCCoEの立場から見れば「大変危険な考え方だ」と和田氏は振り返る。「ガイドラインを苦労して作っても好き勝手に解釈されては困る。自由な解釈や逃げ道を排除するために『共通サービス』を作ることになった」（和田氏）

　共通サービスとはいったいどういった実装なのだろうか。

　大日本印刷の共通サービスとは、アカウント管理やセキュリティ機能など、ガイドラインに記載されている内容をSaaSも積極活用して共通化したものだ。具体的には、ガイドラインの必ず守るべき項目を共通サービスに組み込むことで、確実にガイドラインを守れる状態で提供する仕組みだ。あとは必ず共通サービスを利用することを各プロジェクトに守らせればよい。

　共通サービスを整備することで、特権ユーザーの管理をCCoEが取りまとめられるようになり、CCoEが想定する設定以外に変更できないようにしたり、使ってはならないものを定義しておくことができる。

　リスクの高い部分は解釈の余地がない形でサービスを提供するため、あとはガイドラインに即して利用すれば良い。

図4　大日本印刷の共通サービスが提供するもの

図5　共通サービスの適用により、CCoEがアカウント管理をコントロールできる

　この仕組みで社内手続きも変化した。

　クラウドサービス利用時、多くの企業は稟議（りんぎ）や審査部門による事前チェックが求められることだろう。大日本印刷もこれまでは情報セキュリティ審査が行われていたが、それぞれのプロジェクトが、それぞれの形で取り扱い情報、セキュリティ対策を盛り込んでいたため、その都度リスク分析が必要となり、審査時間を多く必要としていた。

　「CCoEが設立された後は、まずCCoEへの相談があり、そこで共通サービスを活用したアーキテクチャ設計をプロジェクトに提案する。その上で共通サービスを前提とした形で情報セキュリティ審査が行われるため、パターン化も可能となりリスク分析も素早く行える。必ず通過するステップにCCoEが関与できるのが大きなメリットだ」（和田氏）

図6　CCoE設立前後でのクリティカルパスの違い。開発に着手するまでの時間を短縮し、パターン化に成功した