新型コロナウイルスの感染拡大は、図らずも社会のデジタル化を急速に加速させることになった。そのことを敏感に察した企業の多くは、計画していたシステム刷新を再開させたり、DXの実現に向けた新しい施策を力強く前進させたりしようとしている。中心にあるのはデータだ。あらゆるデジタル施策はデータなしには進まない。だが、DX With Securityという言葉があるように、攻める時こそ守りが重要になる。DXを加速させようとしている今だからこそ、データの管理、つまり「データガバナンス」について考えるべきではないだろうか。NEC主催のオンラインイベント「NEC Visionary Week 2021」のセッションの中から、データガバナンスをテーマにした対談の様子をお届けする。

SPEAKER 話し手

安全でも安心ではない。データを取り巻く複雑な環境

　──「新たな時代に求められるデータガバナンスとはなにか」が、このセッションのテーマです。なぜ、データガバナンスに注目しているのでしょうか。

淵上：「DX With Security」という言葉があるように、DXとセキュリティは密接な関係にあります。DXを進める上で、考えなければならないセキュリティにはさまざまな側面がありますが、私は特にデータ管理、つまりデータガバナンスの再考が重要だと考えています。

　今年の春、データガバナンスについて考えさせられる出来事がありました。新聞社の調査によると、国内の主要金融機関の多くが個人データを海外で保管しているというのです。コミュニケーションツールの利用者情報が海外で保管され、閲覧可能な環境にあったという事が大きな話題になった直後だっただけに関心が集まりました。

　もちろん海外だから危険という理屈はありません。重要なのはデータをどのように管理しているかです。しかし、海外にデータを置く、海外でデータが管理される、そう聞くだけで、多くの人が不安を感じるのも事実。つまり安全に守られていても安心ではない──。データガバナンスには「安全と安心のギャップ」があるのです。ただルールを守ったり、安全性を高めたりするだけではなく、データを委ねているユーザの心情にまで配慮が必要。企業のデータガバナンスは、そのような複雑な状況に置かれています。

吉田氏：もともとITにおけるガバナンスは、システムの動作やログを通じて、決められた業務をきちんと行っているか、不正な行為を行っていないかなど、業務プロセスにフォーカスして行動を管理するのが一般的でした。しかし、技術の進展によって企業は膨大なストレージ容量を簡単に利用できるようになり、取り扱うデータ量が飛躍的に増大。もはやシステムの動作やログを管理するだけではガバナンスを効かせられなくなった。だからこそ、システムの中で扱っているデータを管理することが重要になっている。私はそう考えています。

淵上：確かにシステムの監視だけでは対応できないデータのリスクはあります。データ管理と聞くと、多くの人は自社のデータが持ち出されてしまう、いわば情報漏えいのことを想像するでしょう。しかし、データを盗まれるだけがリスクではありません。最近は、社員が前職のデータを持ってライバル企業に転職する「手土産転職」のニュースも少なくありませんが、キャリア採用で転職してきた人材が、勝手にデータを社内に持ち込んでいたらどうでしょう。おそらく、アプリケーションの監視だけでは、それを検知することは困難です。どんなデータが持ち出されているか、そして、どんなデータが入ってきて、どこに保管されているか。企業はデータの出入りに統制を効かせる必要があるはずです。

クラウド事業者とユーザの関係構築も統制の一環

　──吉田さんは、マイクロソフトのクラウドサービス「Microsoft Azure」に深くかかわっておられます。クラウドといえば、データを置いても安全なのか、どんなデータなら大丈夫なのかといった議論が今もつきまといます。クラウドとデータガバナンスの関係をどのようにお考えですか。

吉田氏：淵上さんが指摘した安全と安心のギャップを感じています。例えば、多いのが「基幹システムをクラウドに載せても大丈夫ですか？」という質問です。企業の根幹を担うシステムだから止められないし、データの流出も困るのは当然です。しかし、そのほとんどは「なんだか不安。なんだか気持ち悪い」という漠然とした不安であるケースがほとんどです。ですから、不安を感じるお客様には丁寧にサービスの仕組みを説明し、そのギャップを埋めるようにしています。

淵上：安全と安心のギャップを埋めるのもエンジニアリングの大事な仕事ですね。例えば、技術が成熟しているクルマには安全と安心のギャップはありません。乗る度に「今日はブレーキが利くかな？」と不安を感じている人は、まずいないはずです。技術を磨き安全と安心のギャップを埋めていくことは、私たちIT企業の使命です。

吉田氏：同意です。ただ、多くのクラウドサービスは安全性を高めていますが、クラウドを積極的に活用した結果、データガバナンスが難しくなるということはあり得ると思います。理由は分散です。

　現在のクラウドサービスは細分化されており、IT活用に積極的な企業ほど、社内で用途や必要な機能ごとに複数のクラウドサービスを導入しています。このマルチクラウド環境をデータの視点で見ると、無数の収納庫にバラバラに情報が格納されている状態といえます。データガバナンスの基本は「どこに、どれだけデータを持っているか」の把握です。データのある場所が分散している上、日々、AIやIoTデバイスが次々にデータを生み出すともなると、データガバナンスの難易度は格段に上がります。

淵上：同じ事はオンプレミス環境でもいえますね。複数のシステムにデータが分散している環境でのデータガバナンスは難易度が高い。分散した先によっては、データが本当に見えづらくなってしまうこともあります。

　例えば、私はデータが管理できているかどうかの基準の1つは「自分の意志で削除できるかどうか」だと考えています。PCの中にあるデータは見えているし削除もできる。つまり管理できているが、クラウドの中のデータには、確実に管理できていると言い切れないものもあります。

　吉田氏：クラウドに携わる者として、それは大きな課題ですね。データの廃棄を保証するために、お客様の目の前でハードウェアを破壊することはできません。それは信頼していただくしかない。クラウド事業者とユーザの信頼を担保する仕組みの構築もデータガバナンスの一環といえそうです。

統合はデータガバナンスを前進させる好機

　──企業は、どんな取り組み、どんな仕組みで、データガバナンスを実践していけばよいのでしょうか。

吉田氏：データガバナンスは、今、重要性が高まっている新しい取り組みではありますが、ガバナンスにまつわる取り組みは過去にもありました。例えば、企業の会計業務のシステム化が進んだ時は、財務報告の信頼性などを保証するための内部統制を求められ、みなさん取り組んだはずです。過去のほかの分野でのガバナンス活動で培ったノウハウや方法論は、データガバナンスにも有効なはず。積極的に活用すべきです。

淵上：必要なルールと仕組みを整備して、それを適切に運用する。対象がデータになっただけで、ガバナンスを効かせる方法は不変ということですね。そういう点では、資産管理のやり方なども参考になりますね。

　──どのタイミングで、どこから手をつけるべきなど、効率的な進め方はありますか。

吉田氏：今、多くの企業がDXに取り組む中でデータの統合を進めようとしています。システムごとに分散していたデータを統合して、多様なデータを全社的に活用できるようにしたり、組み合わせて分析し、新しい知見を得たりするためです。このデータ統合のタイミングはデータガバナンスを前進させる大きなチャンスになるのではないでしょうか。単にデータの流れを見直すだけでなく、どんなデータが社内にどれくらいあるかを把握するよい機会とすべきです。

淵上：確かにデータ統合はデータを再定義したり、カテゴリー化したりして、将来的なデータガバナンスの基礎を構築する大きなチャンスですね。システムとデータを分けて管理する最近のトレンドもデータガバナンスには有利に働きそうです。

吉田氏：もちろん、もう少し小さな規模の取り組みから開始することも賛成です。これまでのIT分野の取り組みを振り返ると、規模が大きすぎると議論や調整が続いて、なかなか話がまとまらないことが多い。それで頓挫してしまうくらいなら、ひとまずプロジェクト単位でデータ管理の方法を見直すなど、チャレンジした方が前進できるからです。

ゼロトラストのアーキテクチャに大きな期待

淵上：IoTセンサーが毎日データを生み出すなど、データは日々増え続けています。データガバナンスは、一過性の取り組みではなく、息の長い取り組みとなります。だからこそ、それに合った仕組みやアーキテクチャが必要。私は注目を集めているゼロトラストセキュリティが、その受け皿になれるのではないかと考えています。

　ゼロトラストは、社内は安全、社外は危険という境界防御の考え方を改め、アクセスをする側、される側の正しさ（信頼性）を常に確認し、粒度の細かい認証を行うというセキュリティの新しい考え方です。実装に当たっては、これまで境界で行っていた認証を、どう行うかに意識が向きがちですが、その前に、まず社外はNGと設定していたシステムやデータへのアクセス権を細かく設定し直す必要があるはずです。

　どのユーザがどの種類のデータにアクセスしようとしているかを管理する。これは、まさにデータガバナンスの基本。データガバナンスのことを考えるようになって、ゼロトラストの有効性を再認識しました。

吉田氏：ゼロトラストを正しく運用するには、誰が、どのデータにアクセスしてもよいのかを全社的に整理しなければなりませんし、その後はアクセスの度に信頼性を確認し続けることになる。確かにゼロトラストとデータガバナンスの親和性は高そうですね。

淵上：ただし、ゼロトラストの実装も容易ではなく、多くの企業がどこから、どのように手を付けるべきかを検討しています。NECはレイヤごとにやるべきことを整理して（図）、お客様の既存環境や課題に応じた段階的なゼロトラストの導入をサポートしています。このゼロトラストの導入支援を通じて、積極的にお客様のデータガバナンスの実践も支援していきます。