2021年1月、大手銀行などのソースコードがGitHubに公開されていたことが明らかになりましたが、流出した背景には単なる情報漏洩とは違うさまざまな問題が潜んでいました。あらゆる職種・業種で起こる可能性のある今回の問題について、政府CIO補佐官でもありITアーキテクトとしてさまざまな知見をお持ちの楠正憲様にお話を伺いました。
また、情報システム部門の方々のDX(デジタルトランスフォーメーション)の取り組みについても語っていただきました。
Japan Digital Design 株式会社 CTO
楠 正憲 氏
マイクロソフト、ヤフーなどを経て2017年からJapanDigital Design 株式会社 CTO。2011年から内閣官房 番号制度推進管理補佐官、2012年から政府CIO補佐官として、マイナンバー制度を支える情報システム基盤の構築に携わる。2015年、福岡市 政策アドバイザー(ICT)、一般社団法人OpenIDファウンデーション・ジャパン代表理事。2016年 経済産業省 産業構造審議会 臨時委員、ISO/TC307 ブロックチェーンと分散台帳技術に係る専門委員会 国内委員会 委員長。2019年 一般社団法人 日本仮想通貨交換業協会 理事、東京都 DXフェロー。2020年 認定NPO法人フローレンス 理事、マイナンバー制度及び国と地方のデジタル基盤抜本改善WG構成員。
GitHubを介して流出したことから、この一件をエンジニア固有の問題と捉える人もいるかもしれませんが、求人サイトで自分の評価を上げるための行動だったことを考えると、ほかの職種でも十分起こりうるのではないかと思います。新型コロナウイルス感染症の影響を受けたとはいえ、求人減少傾向のなかでも求職者は活動を継続しています。転職活動では、少しでも評価を高めるために、自分が作ったExcelのマクロやPowerPointの資料を提出したり、試験に小論文が組み込まれている場合には、業務上で得た知識を入れてしまうこともあり得ます。デザイナーなどクリエーター職の採用では、過去の作品集・実績集としてポートフォリオの提出が当たり前になっています。
今後、雇用の流動性はさらに上がっていくと予測されていますので、4社以上を転々としている人を採用する機会が増えると考えれば、採用する側も実際にどこまでのことができるのか、応募者からのアウトプットにより評価したいというトレンドが出てくるはずです。ただ、現状はどこまでが出して構わない情報で、何が機密事項なのか切り分けができている企業は少なく、実際には本来外部に出してはいけない情報の流出量はもっと多いのではないでしょうか。
件の人物は、自身が制作に関わったソースコードを長期間GitHubに上げ続けていましたが、その間誰からも指摘されることなく、たまたまTwitter上で発生した言い争いを発端に、論争相手の関係者が当該人物によるインターネット上の過去の投稿を探ったことから発覚。その後、本件を公表したことで炎上するに至りましたが、Twitter上でのトラブルがなければそのまま見過ごされていた可能性が高く、このような情報の流出は氷山の一角と考えた方が自然だと思います。
一般論になりますが、主に使うアプリケーションがWordやExcel、PowerPointのような業務と違い、開発系の業務ではソースコードの解析や組み立てなど、作業工程で強い権限を必要とするプログラムのビルドや実行作業を行います。そのため、社内ネットワークの使用には、細かいアクセス定義を作ったり、開発環境をネットワークから切り離して閉じ込めておくなど、プロジェクトに関わるすべてにおいて統制がとれていることが重要です。委託契約の場合、誰が端末を提供するのかを決めておく必要がありますし、データの管理を徹底しようとすれば、環境の構築も含めてコストもかかってきますので、実行するための難易度は上がります。
委託先の管理がどこまでできているかは企業によって異なると思いますが、どうしても多重下請けの場合、枝葉の先の企業ほどセキュリティ面のリスクは増していくため、発注元がお膳立てしたり、最低でも元請け企業が端末やもろもろの環境をコントロールできる体制にしておくことが必要です。 本来は、 発注元や元請け企業がプロジェクトに関わるすべてのメンバーに端末の提供とアカウントの払い出しまでやらなければ、管理しているとはいえません。問題の発生に備えるなら、ログを収集して追跡できるようになっていることも重要ですが、ログ収集ツールのソフトウェアライセンス費用をどこに計上するのかという問題も出てきます。これも発注者や元請け企業がプロジェクト全体を一元的に管理していなければ難しいのが現状です。
今回、IT業界の多重下請け構造も問題点として上げられましたが、確かにこのままでいいのかについては疑問に感じています。しかし、すぐに直接雇用に移行することは難しく、まずはプロジェクトに関わるすべての人にトレーニングを行ったり、端末をコントロールできる環境構築の優先度を上げていくのが現実的です。もちろん、契約で下請けの企業をガチガチに縛る方法もありますが、自社の情報システムで他社を安全に管理することの方がノウハウを必要とするため難しいと思います。
ソースコードを流出させてしまったのは、セキュリティ教育をしていなかったからと考える人もいるかもしれませんが、近年、セキュリティマネジメントの観点から多くの企業で実施されています。それよりも、今回のような流出が起こる問題の本質は、ロイヤルティーではないかと感じています。その会社に居続けたいと思えば、追い出されないための努力をしますが、そもそもそこに居たくないから転職活動をするわけですし、辞めたい企業のルールを破ることをためらわない人もいるでしょう。「この会社に居続けたいから、迷惑をかけてはいけない」と思ってもらえていれば、今回のような事件は起きなかったはずです。よく「心理的安全性」といわれますが、現在の立場や環境を失いたくない、自分はここに居ていいという気持ちを持ち続けてもらうことが、企業にとってのセキュリティ対策にも大事な要素だと思います。
GitHubからソースコードの流出が発覚した各社は、流出した情報は自社のセキュリティに影響を及ぼすものではないと公表しています。実際、システムの中でも断片的なプログラムの場合、大半はそこまで機微な情報ではなく、本当に守らなければいけない情報は一部です。仕様書などの文書も含め、それぞれのソースコードのデータがどの程度クリティカルで、どこまでが絶対に守らなければいけない範囲なのか、データの区分けさえできていれば便利なツールの使用に制限をかける必要はありません。データの区分けができていないから、すべてのデータを守る状況になっているのではないでしょうか。区分けを行って重要度を仕分けできていれば、守らなくてもいいデータのために従業員へ余計な不便を強いることもなくなります。不便を強いれば強いるほど、「あなたたちのことを信用していません」というメッセージを送ってしまっていることになります。
誰もが自分のスキルに対して高い報酬を求めますし、自分が成長できる会社で働きたいと思います。若いエンジニアであればあるほど、自分が成長できる体制が整っている会社なのかを見ていますから、知識を得るために有効なツールを、わざわざコストをかけて制限しているような会社に居続けたいと思うでしょうか。少し前まで、エンジニアがプログラムを作る場所は、スマートフォンの持ち込みが禁止されたインターネットにもつながらない環境であることが多かったのですが、このところインターネット系の企業を中心に変化し始めています。有名なインターネット企業の中には、エンジニアがどこでも快適に仕事ができるようWeb上でプログラムを書かせているところも出てきました。会社の承認プロセスを通せば技術ブログを書いて公開することが許されていたり、GitHub以外にもQiitaやStackOverflowなどの情報共有サービスを会社のPCで使うことができるなど、仕事のしやすさを追求している企業が増えています。もちろん、そういった企業では認証を強化したクラウド環境を整備して、簡単にデータを持ち出せないようにするなど、情報セキュリティ対策にはしっかり投資をしています。エンジニア不足が叫ばれて久しいですが、そこまでやっているような企業と人材の取り合いをしなければならないと考えると、厳しい時代になったと感じます。
何と比較して日本のDXが遅れているというのか、どこまでできていればうまくいっているといえるのか、それを計るのは難しいと思います。先進的と思われているアメリカの企業でも、大型ジェット旅客機ボーイング747のナビゲーション用データベースの更新に3.5インチフロッピーディスクを使っていたりします。新型コロナウイルス感染症対策のためのデジタル化に関わる人材募集でも、古くから使われているプログラミング言語のCOBOLのプログラマーを募集していたり、デジタル化が進んでいるといわれている国でも最新ではない事例はたくさんあります。
日本のDXが世界に後れを取っているという報道をたびたび見かけますが、世界を見てみると、実はヨーロッパの国々も日本と同様に苦労しています。比較対象が、ニューヨークや西海岸など先進的な取り組みで脚光を浴びているアメリカの一部の都市に偏っているようにも思いますし、日本でDXが進まない背景には、雇用の流動性が低い社会ということも関係しています。デジタル化すれば、それまでその業務に関わってきた人は仕事を失ってしまいますが、日本ではアメリカのように「明日からデジタル化するので解雇します」というわけにはいきません。「人を抱えたままでDXを推進する」前提に立つと、デジタル化により投資した分のコストが増えるだけになってしまいます。
日本の雇用制度を前提とするならば、DXの遅れについてはアメリカではなく、ドイツやフランスなど日本に近い制度の国と比べて議論するべきではないかと感じています。これらの国では、日本と同様に雇用を守りながらどう社会を変えていくかについて苦慮しているわけですが……。日本では、デジタル庁の創設が決まる前から、誰一人取り残さない方針を打ち出していますので、それは今後も変わらないと予想しますが、雇用を維持したまま、時代の変化に合わせてデジタル化を進めていく日本版DXは、組織そのものをどうやって変えていくのかという非常に大きな問題でもあります。
DXの概念は「ITの浸透が、人々の生活をあらゆる面でより良い方向に変化させる」ことなので、企業と顧客を結ぶ接点のタッチポイントをデジタル化して、そこにAIをどのように活用していくかを議論していくのが本来の姿だと思います。日本では、経済産業省が発行している「DXレポート」の中で警鐘を鳴らされた、既存システムでは生き残れない「2025年の崖」に向けて、レガシーシステムをどうやって刷新していくか、多重下請け構造を解消して内製化していくべきという日本版DXについての議論が中心になっています。
ITをうまく使いこなすのは容易ではなく、90年代以降SIerに丸投げする企業が増えていきましたが、本来は丸投げするべきではなく、自社でもIT人材を育てながら自分たちでできない部分を任せるのが理想です。2018年に「DXレポート」が発行されるまで、このことに気づいていない経営者は多かったのですが、「2025年の崖」の問題が大きく取り上げられ、このままでは企業の存続が難しくなると多くの経営者が知ることになりました。経営者にとって、基幹システムの刷新はROI(投資利益率)を考えれば後ろ向きの投資だと感じていたはずですが、DXは事業継続のため前向きに取り組むべき課題だと知ってもらうことができたのではないでしょうか。
一方で、世間がDXと騒いでいるからといって、必ずやらなければいけないものでもありません。DXのポイントは、自分たちの会社を取り巻く労働環境がデジタルでどう変わっていくのか、自分たちがどう変えていくのかが重要です。DXの第一歩は、その会社のことを一番わかっている経営者が、今後、自分たちを取り巻く環境がどう変化していくのか、そこにデジタルがどう影響するのか向き合うことです。
数年前、仮想通貨が話題になり始めた頃、銀行などの金融業界ではFinTechが話題になりました。今ではFinTechの1つであるキャッシュレス決済を多くの人が日常的に使うようになりましたが、GAFAをはじめヤフー、楽天などの巨大IT企業に比べると、銀行などの金融業界がFinTechに関連した価値を顧客に提供できているとは言い難い状況です。DXは、電子申請に対応したりサービスを提供するアプリケーションを作ったから達成したといえるものではありません。顧客に対してITでサービスを提供する価値がどこにあるのか、顧客から頼りにされる価値が何なのかを考えてDXの検討をスタートしているか、そこが重要です。
情報システム部門がIT統制のような強い権限を持つようになったのは、2005年に施行された「個人情報保護法」がきっかけだったと思います。そのため、日本の企業ではいかに個人情報を漏洩させないかを中心にセキュリティ対策が行われてきました。システムは動いているのが当たり前で、止まれば怒られる。そして、情報漏洩が発生すれば情報システム部門も責任を問われるという構造ができ上がっていきました。
一方で、コロナ禍で業務を円滑に回すこと、それを支える情報システム部門の業務の難しさに気づいてもらえたと感じている方もいらっしゃるのではないでしょうか。オンライン会議が問題なくできる環境を整えたり、在宅でもひととおりの業務が行えるようになったのは、情報システム部門の方の支えがあればこそ実現できています。今では、多くの企業で従業員同士のコミュニケーションにもITが活用されているように、企業にとってのITは、仕事が円滑に進められるためにも重要です。また、そもそもITは生産性を上げるためのものなので、どうすれば実現できるのかを現場の従業員とともに考えることが、情報システム部門の方がDXに取り組む方法の1つだと思います。ITを取り入れて便利になれば、業務効率が上がって業績にも結びつきます。ITの導入に大きな役割を果たす情報システム部門の方の業務は、会社を支え業績を上げることに関わる大事な仕事です。その存在の重要性は、今後さらに高まっていく時代になると感じています。
これまで情報システム部門の方の業務は、依頼を受けてから対応する割合が高かったと思いますが、今後は先を見据えた対応が求められるようになっていくと予想しています。2020年に起こったような、未知のウイルスによりテレワークが急速に普及する状況は誰も予測していませんでした。近年は大きな災害が発生する頻度が高くなっていることもあり、何が起こってもITを活用して事業を継続できる体制が作れることに期待する経営者は増えています。このところ「攻めの情シス」という言い方がされるようになりましたが、クラウド環境に新しいツールを導入してみるなど、実験的にさまざまなものを取り入れて試しておくことの重要度が高くなるのは間違いありません。今後、情報システム部門に求められるのは、何が起きても準備ができている状態を作っておくことです。
オンプレミス全盛の時代であれば、新しい電子申請システムの環境構築にハードウェアの調達だけで3か月かかると言われれば、諦めてもらえたかもしれません。しかし、国の動きを見ると、2週間で特別定額給付金の電子申請を立ち上げたり、新型コロナウイルス感染症のワクチン接種記録システムも2か月で作ろうとしています。経営者には、ITを活用すればそのスピードでシステムが稼働できるように見えています。クラウドを活用すればハードウェアの調達は不要になりますが、サーバーのインスタンスをワンクリックで動かせても、ワンクリックでエンジニアが調達できたり、システムが完成するわけではありません。それでも国がやっている取り組みは、何年か遅れて民間でも当たり前になっていきます。コロナ禍で、テレワーク環境を超スピードで立ち上げたように、すぐにやらなければならない大きなオーダーをやりきれるだけのキャパシティーをどうやって確保するのか。情報システム部門の方にとっては大きな課題になっていきますが、事業を支えている誇りを持って対応いただきたいと思います。
(「SKYSEA Client View NEWS vol.78」 2021年5月掲載 / 2021年3月オンライン取材)
テレビCM
SKYSEA Client Viewコラム
