絶賛、反省発売中。
IT屋全力反省会が書籍になりました!
ご購入はこちら
ITは本当に世の中の役に立っているのか?そもそもITなんていらないのではないか?……といった本質的な問いを胸に秘めながらも、第一線で活躍する二人のIT屋が、バズワードについて、Slerの幸せについて、データベースについて、クラウドについて、エンジニアのキャリアパスについておおいに反省したりしなかったり……エンタープライズITの現場の実情が立ち上る生々しい対話です。
Webでは読めない、神林飛志さん、井上誠一郎さんによる渾身のオリジナルまえがき、あとがき付き!
ぜひご反省ください!
編集部注:対談の内容を一部、修正して再掲しています。(2016年10月24日現在)
クラウドもオンプレ並みに、普通に監査しましょう的な流れに
編集部 クラウドが伸び悩んでるっていう認識は業界の中では共有されているのですか。
神林 IT業界って面白くってですね、自分がそう思ってても言えないのがあってですね、ビットコインと同じですけど(笑)、ちょっと言っちゃった以上、なんかお金も動いちゃってるし、なんか俺アンチとか言えないよねってなってくると、クラウド万歳の人は、クラウド伸びてますからって言い放ちますよね。だから、伸びているんじゃないですかね、そういう人にとっては。お前の中では、みたいな(笑)。
編集部 なんか定着してきたように見えますけども。
井上 まあ5年前に比べて、セキュリティに心配していたときに比べるとそこは減っている印象はありますけどね。
神林 セキュリティ云々は、課題は上がってくると思いますよ。引く人が増えると思いますね。
井上 引く人というのは?
神林 たぶんSOC1だけではだめになる。SOC2じゃないとだめになったんですよ。これは解釈が分かれるところですけど、要するに今までのクラウドって割とアバウトなところに置かれていたのは間違いないんですよ。なんかよくわからんと。まあ、よしなにやってくれという話で、たぶん監査とか、コンプライアンスとかは微妙にすり抜けられていたというのはあるんですけど、いや普通に使うよね? という話になってくると、普通に監査しようぜっていう話になる。要するに今までは向こうが監査したからOKだからそれを通すっていう話だったんだけど、これからはたぶんそうじゃなくて、いやいや内部統制どうやってるの?ちゃんと話せ、聞け、ということころまで、「普通にやろうぜ」ということになっている。要するに普通に使うんだよね? っていう話。普通にやろうねっていうのは、オンプレと区別しないっていうこと。オンプレで監査やってるよね、なんでやらないのクラウドで?って言われたときにクラウドは反論できないんですよ。
井上 クラウドっていうのはIaaS側の話ですか?
神林 ええ、そうです。だから、じゃあ、ハードウェアがどこにあってどういう構成になってて、どうネットワークがあって、セキュリティどうなってて、それどうなっているのっていうのはちゃんとチェックしているの? と。クラウドでね。これはクラウドベンダーは絶対に答えられないですよ。
井上 そこを強化したがっているのって誰なんですか? ユーザー企業なんですか?
神林 いやいやいや、あの、全然知らないひとたち(笑)。
編集部 全然知らないひとたちって。
神林 具体的に監査やるとかコンプライアンスとか、あ、僕もともとそこにいたんですけど、まあ、やるだろうなと思いますね。そうだよねと。言われたら反論しようがないので、ちょっと困った状態に、だんだんなると思います。で、今までは要するに、利用する話でしかないので、それって関係ないよねということで、ちょっと逃げてたんですけど、いやいや業務データ置くんでしょ、と。で、たぶん日本の場合きっかけは、まちがいなく個人情報保護法改正なんですよ。あれで、ある程度自己責任でいろいろちゃんとやれみたいな話になってくるので、…あんまりよくなかったんですけど、用途が、広がるわけですよ。政府のほうはやっぱりもっと使いましょうみたいなところに倒しているので。その代わりきっちりやれという風になってくるので。じゃあ、個人情報をクラウドに置くよ、と。わかったわかった。じゃあ、オンプレとどう違うのかちゃんと説明して、オンプレなりのコンプライアンスを少なくとも満たさないと、いや、だって困るでしょ?エンドユーザーのお客さんから見たら、非常に当たり前のことを、非常に当たり前に要求されて……。
井上 AWSってSOC1とってなかったですっけ?
神林 とってますけど、対応は個別にやらないといけなくなるんじゃないかな?
井上 今は、AWSの上に載っているサービスでSOC1とSOC2、両方とっているのがありますけど。
神林 SOC2ていちいち話しないといけないんじゃないですか?
井上 あー、使っているエンドユーザーが……?
神林 AWSの監査人と。
井上 んー。監査レポートは受け取っていますよ。
神林 AWSの監査人から、どういう手続きがあって、こうやってこうやってっていうのをこっち側の監査法人がちゃんと個別に受け取らないといけないでしょうね。今までって、単純にAWSが出しているレポートのコピーを監査人に渡すっていうのが。
井上 我々がそれを受け取って、ということで通ってますよね。
神林 そうすると、そうではなくて、直接、御社をみている監査法人がグローバルにAmazonの監査法人と話をして、どういうプロシージャ、どんな風にやっているの?っていう話をやるから、金をくれという話になるはずです。実際そういうパッケージを売ってますよ、監査法人さん。最低価格ウンビャク万円くらいだったと思いますけど。
井上 そのモチベーションは監査法人がお金儲けしたいから?
神林 うーんとね、それを言うと僕は抹殺されるんですけど(笑)。某社さんとかパッケージにして売ってますよね。あれ、たぶん一千万とかそんな値段ですよ。クラウドを基幹で使うのに、追加で一千万のコスト払うのか、監査に?お前らちょっと来い、っていう話になるじゃないですか(笑)。
井上 そういう動きがあると、今、普通のオンプレでSOC1、SOC2をとっててもいい加減なところあるじゃないですか。形式だけの。それに比べると、メガ・クラウドはまあまあちゃんとしている気がしていて。そこに対してさらに形式的にお金とるのが増えるのはあまりいい感じはしないですよね。
神林 でもまあ、そうなってしまいますよね。そこが、セキュリティっていう意味だと、セキュリティの問題よりも、当然の前提の話に戻ってきているので、セキュリティはクリアしたけど、どうやって運用しているんだっけ?っていうのが当たり前に言われるようになってきたと。
井上 神林さんの当たる予測で言うと(笑)、今クラウドが5年前に比べるとエンドユーザーのセキュリティ懸念は低減していますが、また揺り戻しが来ると。
神林 まあ、そういう意味だと、要するにですね、クラウドを使うことに関して今まで以上にめんどうくさくなってくるのは間違いないんです。今までは、使いやすさ、すぐ使える、いろいろ障害がするっといけましたよというのがメリットの1つ、要するにスピードですよねっていうのがクラウドを使うメリットの1つだった。でもそれがだんだん遅くなります。まあ、冷静に考えればクラウドが普及すれば「利用するためのスピード」が遅くなるだろうと……って考えられたんですけど、そういう風に考えてなかったですよね。だからそれが今頃になって顕在化しているよねというのがあって。だから、言われているほど普及していない理由の1つは、やっぱり言われているほど簡単な話じゃなかったということかなと思っておりますね、今。
