野村総合研究所(NRI)のコンプライアンス担当の幹部であるAくんとBくん、上席研究員でOpenID協議会理事長の崎村くん、そして私の4人でクラウド時代のITコンプライアンスについて議論する機会がありました。

崎村くん「クラウド時代を迎えて、IT部門は開国を求められているんですよ、楠さん」

 私たちがこれまで抱いてきたITコンプライアンスの考え方は、江戸時代の鎖国のようなものです。外部とネットワークをつなげない。システムの心臓部は堅牢なデータセンターで物理的に隔離する。本番環境や開発現場に知らない人を入れない──。関所で「入り鉄砲に出女」を管理した江戸時代と同じです。

 NRIのどのビルにも、入り口にICカードリーダーを備えたゲートがあります。データセンターでは空港と同じように、持ち物チェックのためにX線検査装置をくぐり抜けないとサーバールームに到達できません。USBメモリーやiPhoneのような余計なものをデータセンターに持ち込むことは不可能です。

 ネットワークは全て専用線で、外部からは侵入できません。インターネットは利用できますが、ファイアウオールを常時監視し、GmailやiCloud Driveといったネット上の便利なサービスを利用できないようにポリシーを設定しています。江戸時代の庶民が海外の文化に触れるチャンスがなかったように、鎖国された環境では最新のクラウドサービスなど高嶺の花です。

(提供=123RF)

内部犯行は容易

 徹底して内部と外部を分離する考え方の根底にあるのは、「内部の人間は信頼できるが、外部には誰がいるか分からない」ということだと思います。だから社内リソースの管理は、どこでもかなりいい加減です。誰が何をしたのかを記録したログを管理する仕組みがなかったり、重要データを保管しているファイルサーバーに誰でもアクセスできたりするのが当たり前です。

この先は会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら