CCoEを紐解いていく連載シリーズ第２回目は、引き続き　株式会社 野村総合研究所の遠山 陽介さんに解説いただきます。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

野村総合研究所の遠山です。

前回、DX推進に向けてクラウド活用は必要不可欠な存在になりつつあることを紹介しました。今回はクラウド活用に向けての課題、およびそのブレークスルーとして期待されるCCoEについて説明したいと思います。

クラウド活用に向けての課題

　かつて他社に先駆けてクラウド活用に着手した先進企業は多くの課題に直面し、それを乗り越えてきました。これら課題はクラウド活用セミナーやクラウドコミュニティなどによりノウハウが共有され、また、業界のリーディングカンパニーがクラウドを採用したという実績は他者を刺激し、現在では多くの企業がクラウド活用に一歩踏み出しています。

　ただし、クラウド活用に着手はしたが「クラウドの良さを活かしきれていない」、「クラウド活用が想定より進まない」といった企業が多いのではないでしょうか。そのような企業では「人材育成が必要」という根源的な部分に帰着し立往生しがちですが、それ以外にも課題が潜んでいるように感じます。ここでは、多くの企業が直面しているクラウド活用を推進する際の課題を紹介したいと思います。

 

①自社にとっての最適アーキテクチャの検討

 　特に大企業においては過去から連綿と受け継がれてきた資産が多く存在します。例えば、システムを外部の脅威から守るためのセキュリティポリシーやセキュリティ防御の仕組み、システムを安定運用するために設けられている運用プロセス・運用人材・運用の仕組みなどが挙げられます。これら資産はオンプレミスの世界では大きな強みとなる一方、全く新しいクラウドの世界では足枷と成り得ます。ここで各企業は、「既存資産を有効活用しつつクラウドを活用する」か「所謂クラウドネイティブの考え方で新しい領域を構築する」かの選択を迫られます。

　既存資産を有効活用しつつクラウドを活用する場合、クラウドのメリットを完全に享受することは難しいケースが多いでしょう。特に顧客接点を担うようなフロントサービス系のシステムでは、既存資産を有効活用することよりもクラウドの最新テクノロジーを活用することの方が競争優位性に繋がります。こういったシステムに関しては既存資産に捕われないクラウドネイティブの世界観がフィットするでしょう。ただし、バックオフィス系のシステムでは変化よりも長期安定稼働を重視するシステムも存在します。そういったシステムに対しては既存資産が活用でき、自社オンプレ領域の延長線としてクラウド領域（主にIaaS）を活用できることは有効な施策となります。

　いずれのタイプを選択するかは、既存資産の有効度合い、各企業の立ち位置・および今後進むべき方向性などに依存しますが、私としては「両方持つ（ただし管理ポリシーを分離して）」ことが多くの企業にとっての一つの解であると考えます。IT部門が中心になり既存資産を有効活用したクラウド領域を整備した結果、事業部門が思い描くクラウドネイティブの世界観との乖離が生じ、事業部門側で独自にクラウドを調達しサービス開発を進めるといった事例が散見されます。従前のような自社ネットワークに閉じた範囲でのシャドーIT化はその影響範囲が限定されていましたが、インターネットを前提として構築されているクラウドではその影響範囲を軽視できません。この両者を纏めて管理しようとすると矛盾が発生するケースが多々あるため、敢えて管理ポリシーを分離し、タイプの異なるクラウド領域を整備することを推奨します。

 

②自由と統制のバランス

　クラウド操作権限をどのように管理するか？これはクラウドを活用しようとしている企業にとって、大きな課題になっています。例えばオンプレミスの世界では、FW（ファイヤーウォール）の設定はごく一部の担当者しか扱える代物では無かったと思います。ところがクラウドの世界では、FWの設定は誰しもが簡単に設定することができるようになっています。その結果、意図しない通信を許可していたことが原因でセキュリティインシデントが発生しているケースも散見されます。

　クラウド活用を重視した場合、システム開発現場にクラウド操作権限を出来る限り委譲することが望まれます。特にDX推進のため高速な仮説検証が求められるようなケースにおいて、クラウドの新しい活用方法を試した際に権限に依存する問題にいちいち遭遇していては競争力を失いかねません。かといって過度に権限を委譲した結果、情報管理、サービスレベル管理、法令対応などで問題が発生するという事態は防ぐ必要があります。

　その結果、クラウド操作権限を集中管理し、クラウド利用者に対して一定のセキュリティ品質は保ちつつDX推進を阻害しないレベルで権限を付与する運営が求められます。ただし、この適切な権限レベル（バランス）は非常に難易度の高い設計となります。境界型セキュリティポリシーを採用している多くの企業では、仮想プライベートクラウド（VPC）を採用しネットワークの境界を定め、その内側でクラウド操作権限を付与することが一般的です。ただし、クラウドらしい魅力的なサービスはVPCの外側に位置することが多く、その取り扱いに苦慮するケースが多いのが実態となります。

　そこで、予防的統制（クラウド操作権限の管理）に加え、発見的統制（意図しない操作などにより生じたセキュリティの潜在的な脅威やインシデントの特定）や是正的統制（当該箇所の自動修復と通知）を採用し、予防的統制でカバーできない領域を発見的統制や是正的統制で補完するアプローチが採用されます。例えば、クラウド利用者にNW通信のアクセス制御設定権限を付与した場合でも、意図しない通信が許可されていた際にはアラートを通知し、アクセス制御設定を正しい値に誘導することが期待できます。

　ただし、発見的統制を過度に信用するのは禁物です。上の例では、意図しない通信許可が設定されてから正しい設定に直すまでの間はセキュリティの脅威に晒されています。また、クラウド活用を重視するあまりに、予防的統制を弱め発見的統制にシフトした結果、膨大なアラートが通知されてしまい健全な運営プロセスが破綻した事例も散見されます。発見的統制は予防的統制の補完的な位置づけであることを前提に検討する必要があります。また、クラウド活用を重視するあまりに予防的統制を弱め発見的統制にシフトした結果、膨大なアラートが通知され是正的統制に多大な負荷がかかってしまい健全な運営プロセスが破綻した事例も散見されます。

　この件に関しては私自身も長年悩み続けている課題であり、現時点において万人が納得できる解を持ち合わせていません。ただ、リスクを恐れ過度なガバナンスによってクラウドの良さを消すのではなく、またクラウド活用を推進するあまり過度な権限を開発現場に委譲するのでもなく、各企業にとっての最適なバランスを定義する必要があると考えています。

 

③クラウドの進化へ追従

　上述した課題をクリアし、クラウド活用のための仕組み・プロセスが整備できたとしましょう。ここでも各企業は次の課題に遭遇します。クラウドは常に進化し続けるため、整備した仕組み・プロセスが直ぐに陳腐化してしまうという問題です。過去を振り返っても、ユーザがペインポイントと感じている領域に対して、クラウドベンダーはソリューションを提供し続けてきました。整備した仕組み・プロセスでクラウドの制約により妥協した点があるとしたら、クラウドの進化に伴い将来的に解消できる可能性が高いでしょう。前述した「自由と統制のバランス」に関しても、将来的に画期的なサービスが展開され、私の積年の課題も解消されるかもしれません。

　このように、クラウド活用を推進するための整備した仕組み・プロセスはクラウドの進化に合わせてアップデートし続ける必要があります。更に当面の間はクラウドは進化し続けるでしょう。企業にとって負担に感じる部分かもしれませんが、仕組み・プロセスを最新の状態に保ち続けていくことは、自社ITの競争力を維持し続ける・高めるためにも必要なオペレーションとなります。　

 

CCoE（Cloud Center of Excellence）について

　前述した通り、クラウド活用推進に際しては多くの課題に直面します。ここでは説明を割愛しましたが、クラウド活用人材の育成も大きな課題の一つになります。更にクラウド活用着手時の課題と異なり、他社のベストプラクティスをそのまま適用できる類の課題ではなく、自社の状況に応じた対応が求められます。これら課題に対して、明確に組織として対応しようという認識から注目されるようになったのがCCoEとなります。

　元来、CoE（Center of Excellence）とは優秀な人材を集めた研究拠点という意味合いで古くから使われていましたが、現在では企業などにおける全社横断的な専門組織を表すようになっています。このCoEにCloudを付与したCCoEという言葉を私が耳にするようになったのは2016年頃だったと記憶しています。当時、クラウドを全社的に活用し効果を上げている企業はごく一部であり、これら企業に共通していたのはクラウド活用推進組織を組成していた事でした。このことが顧客企業内でクラウド活用を強力に推進してくれる社内伝道師的な役割を求めていたクラウドベンダーの思惑と一致し、この推進組織をCCoEと称しベストプラクティス化し、現在に至っていると感じます。

　ややベンダー側の論理で登場した感のあるCCoEですが、クラウド活用を推進する上で、またその先にあるDXを推進する上で、CCoEの組成は多くの企業にとって必要不可欠なものとなるでしょう。クラウド活用の課題で述べたように、クラウド活用を推進する際には攻めの役割（積極的なクラウド活用推進）と守りの役割（安心・安全にクラウドを活用するためのクラウド統制）が求められます。IT部門だけでクラウド活用を推進した結果、守りの役割の比重が高くなりクラウドのメリットを享受出来ていない事例も散見されます。クラウド推進には、クラウドを安全に使いこなすという視点以外に、「クラウドを自社ビジネスに活用する」という視点が重要になります。そのためにも既存の組織の枠に縛られず、攻めと守りをバランスよく維持できるCCoEという新たな組織が求められています。

 

最後に

　第２回ではDX推進におけるクラウド活用の必要性、今回はクラウド活用におけるCCoEの必要性を説明してきました。DXにおいてデジタル化は手段であるのと同様に、クラウド活用におけるCCoEの組成も手段であって目的ではありません。最終的にはCCoEという機能がなくても、企業においてクラウド活用が自律的に推進できることが目指すべき姿と考えています。ただし、クラウド活用の過渡期において、CCoEという機能が重要な位置づけを占めることをご理解いただけたとしたら幸いです。

 

By 遠山 陽介（株式会社 野村総合研究所）