クラウド

ニューノーマルのデジタル経営を本気で考える

bird s eye view of snow coated mountains

 ラック社の「ニューノーマルのデジタル経営を本気で考える」という動画を見て学んだので、メモを記載します。

ニューノーマル時代に企業が取るべきデジタル化戦略

ニューノーマル時代

 時代はIT活用の推進からデジタルトランスフォーメーションへ(問題解消から新たな価値創生へ)進む。技術から新たな発想(技術優位:これまでの手作業の自動化などとは違う時代)を生む時代になる。オープン化・世界標準へ。

デジタル化

 ステップは?
 ツール化→業務の変化→組織の変化→ビジネスの変化

 最初は手間の解消や効率化、便利ツールから始めて個人の業務をIT化して、組織のプロセスやフロー変化を行う。次に普段の業務と並行して複業やコミュニティを構築する。推進集中組織を生み出して、デジタル化を行う。企業の中でデジタル化が進んできたならば、外部にデジタル化したシステムを販売していくことができるだろう。

 そのための要素としてはリソース、テクニカル、カルチャーが必要。

 リソースとしては人である。次から次に勢いを持ってやっていける人材を大事にする。細かいマネジメントは不要となり、現場に裁量をあたえるボリュームマネジメントが必要となる。

 テクニカルとしては、クラウドサービス、アジャイル、セキュリティ(ただし本来挑みたいものを邪魔しない無意識の対策)が必要となる。

 カルチャーとしては大胆さ、行動力、あそびが必要。古い言葉では根性ともいえるが人が働く上では大事なもの。現状維持は退化だと考えて変化と進化を後押しするカルチャが必要。また、詰め込みすぎずあそびを作って取り組むことが大事。子供の頃のようにやってみて学んでいく心構えでやってみることが大事である。

クラウドサービスの利用で知るべきn個のポイント

 現代はもはやクラウドサービスの利用が大前提となっている。

 クラウドサービスにおいて、利用者側の責任範囲がどこまでかを把握する必要がある。

 まずはクラウドサービスの棚卸しが必要である。個人利用中心に数が拡大している。組織で利用しているサービスの棚卸しが必要。CASB製品などで安全性や必要性を評価・分類。また政府がセキュリティ評価を行い許可したアプリケーションをまとめるISMAPの取り組みが行われているので参考にする。

 それ以外にもクラウドサービスの振るまい検知、リモート端末の監視(EDR)といったセキュリティの担保。機密性(クラウドストレージの情報公開)、可用性、完全性の担保が行われているかの評価。AWS、Azure環境の内部サーバに対するセキュリティ診断は行うこと。

アジャイル開発でシステムのオーナーシップを取り戻す

 これまでの開発は

  ユーザ企業(課題→分析→要求)→ベンダ(計画→開発→リリース)

 という流れを踏むため長期の期間が必要となっていた。

 ニューノーマル時代ではビジネスの変化が激しく、分析したときの解決策が時代の変化で使えなくなる可能性がでてきた。

 課題には4つの領域がある。

 単純 理解→分析→対応
 煩雑 理解→分類→対応
 複雑 探索→理解→対応 ※今後大事
 混沌 行動→理解→対応 ※今後大事

 予測可能な単純煩雑な課題については従来の開発でも対応できる。とはいえ単純煩雑な課題に対してはパッケージ品で解決することができるので、競争力は得られない。

 複雑、混沌な課題に対してはアジャイルの考え方ですすめるほうがよい。短期間でリリースを行い、課題を理解して対策していく。これが競争力につながる。

マルチクラウドの定着とシステム開発

 DX実現のために……これまではウォーターフォール開発が主だったが、ニューノーマルではアジャイル開発があたりまえになり、日々新しいシステムを提供していく環境となった。

 マルチクラウド環境では従来のセキュリティでは防げない境界がある。例えばクラウド間の通信など。シークレットと呼ばれるID,パスワード、クラウドアクセスキーを守るべき時代となった。例えば「クラウド 不正利用 請求」で検索すると、セキュリティインシデントの事例が出てくる。

 重要なのはクラウドに接続するためのシークレット(鍵)を漏洩させない方法である。暗号化して保管することは基本として、複数名での使い回しを避ける。必要なときに毎回新しいシークレットを発行するといった対処が必要。人手をつかって管理するのはやめるべきである。

 管理ソフトとしてはHachiCorp Vaultなど。

クラウド環境の保護とガバナンス強化

 加速度的にテレワークが進んでいる。センシティブ情報の漏洩件数は2018→2019年度で87%増加。多くの組織が自社の設定ミスによって自身の情報を「自ら情報漏えいした」。

 Azure Security Hub、Azure Security Center、Google Security Command Centerなどあるが、全て使用感は違うわけで、管理できる人間を増やさなければならず、メンバー同士のコミュニケーションパスが増えコミュニケーションコストは青天井になる。

 クラウドでコスト削減をしたい会社でセキュリティメンバーなど雇えない。じゃあどうすればいいか? それはマルチクラウドのセキュリティを監視できるシステムを導入することで解消。

 ユーザ側の作業はビジネスに最適化されたポリシーの検討とセキュリティアラートへの対応を検討しましょう。マルチクラウドの監視はベンダーに任せてしまえばよいのではないでしょうか。例えばPrismaCloudを使えばマルチクラウドを横断して、コンプライアンス標準への準拠度合いを確認可能である。疑わしいIPからのアクセス検知が可能であり、設定ミス情報漏えいといったセキュリティリスクを削減できる。企業はコミュニケーションコストや運用コストを削減して新規領域の検討に予算を使えるようにするべきである。

企業のデジタル経営を失敗させないための「経営の関与」

 システム基盤はすでにオンプレからクラウド環境に移行している。

 システム管理は集中管理から分散管理に変化。
 セキュリティ対策は境界防御からゼロトラストへ変化。
 アプリケーション開発の目的はSoRからSoE(顧客とのつながりエンゲージメント向上)に変化。

 この変化の中でDXに対する経営の関与としては、組織、プロセス、企業文化・風土を変革していくことが経営者の役割となっている。

 アジャイル開発の失敗の半数以上は組織カルチャーとアジャイルの衝突が原因である。アジャイル開発はプロセスやツールよりも個人との対話を、包括的なドキュメントよりも動くソフトウェアを、契約交渉よりも顧客との強調を、計画に従うことよりも変化への対応を価値とする。

 これがカルチャーと衝突しないようにする必要がある。経営においても計画を重視しすぎるのではなく、進んでいき都度変化をしていくことが重要である。

ヒエラルキーに基づくトップダウンの意思決定は古い

 トップダウンであれこれ指示する
 長期に渡る詳細な計画を出させることにこだわる

 ……これらは新しいことを始める上では重視すべきではない。

 つまり変革に対する挑戦を歓迎し、現場発のアイデアと発想を支持し、新しい「業務のやり方」に経営資源を配分する。仮に失敗してもマイナス評価しないといった取り組みが必要である。

まとめ

 大変ためになるセミナーでした。クラウド時代に何が変わったのかがわからず、困っているエンジニアの方々にオススメです。