野村総合研究所(NRI)のコンプライアンス担当の幹部であるAくんとBくん、上席研究員でOpenID協議会理事長の崎村くん、そして私の4人でクラウド時代のITコンプライアンスについて議論する機会がありました。
崎村くん「クラウド時代を迎えて、IT部門は開国を求められているんですよ、楠さん」
私たちがこれまで抱いてきたITコンプライアンスの考え方は、江戸時代の鎖国のようなものです。外部とネットワークをつなげない。システムの心臓部は堅牢なデータセンターで物理的に隔離する。本番環境や開発現場に知らない人を入れない──。関所で「入り鉄砲に出女」を管理した江戸時代と同じです。
NRIのどのビルにも、入り口にICカードリーダーを備えたゲートがあります。データセンターでは空港と同じように、持ち物チェックのためにX線検査装置をくぐり抜けないとサーバールームに到達できません。USBメモリーやiPhoneのような余計なものをデータセンターに持ち込むことは不可能です。
ネットワークは全て専用線で、外部からは侵入できません。インターネットは利用できますが、ファイアウオールを常時監視し、GmailやiCloud Driveといったネット上の便利なサービスを利用できないようにポリシーを設定しています。江戸時代の庶民が海外の文化に触れるチャンスがなかったように、鎖国された環境では最新のクラウドサービスなど高嶺の花です。
内部犯行は容易
徹底して内部と外部を分離する考え方の根底にあるのは、「内部の人間は信頼できるが、外部には誰がいるか分からない」ということだと思います。だから社内リソースの管理は、どこでもかなりいい加減です。誰が何をしたのかを記録したログを管理する仕組みがなかったり、重要データを保管しているファイルサーバーに誰でもアクセスできたりするのが当たり前です。
