ユーザーストーリーの作成:組織・人、業務プロセスの要素が大事
Tomomi Aoyama
青山 友美(あおやま ともみ)氏
IPA 産業サイバーセキュリティセンター 専門委員
名古屋工業大学 社会工学専攻 研究員
(重要インフラサイバーセキュリティコンファレンス実行委員 アドバイザリーボード)
青山 脆弱性はこれからますます増えていき、その影響はもっと広範囲に広がっていきます。ですから私達ももっと筋肉を増強していかなければなりませんね。重要なことです。
さて、スーザンさんの講演の中で、「ユーザーストーリーを作っていくということが重要」というお話が出ました。新しい技術を導入するだけではなくて、これが業務プロセスや組織・人にどう影響するかということを(読者に)知ってもらううえで、ユーザーストーリーについてはとても重要になります。
変更管理や技術導入をすることで、人々の振る舞いがどう変わるのか、そして日々の仕事がどう変わるのか。これについてお話いただけますか。
スーザン 講演の中でも申しましたが、技術というのは、多分、私達が直面する中で一番小さな問題だと考えています。すばらしい技術が生まれ、才能ある人材も登場しているのですが、まだそれらの技術や業務プロセスを、うまく反映しきれていないのではないでしょうか。
すばらしい技術を導入することはできますが、その後、それを広範囲に拡張していくのは難しいことです。最初にパイロット版を作り、実際の現場で働く人達に「稼働中のアセット(資産)に役に立ちますよ」と、きちんと示さなければなりません。
例えば、デジタルパイロットを作る際、現場で働いている人々がどのようなことを望んでいるのかを聞いて、それを尊重します。技術が本当に受け入れられるかどうかは、結局、現場の人達にかかっているからです。彼らをヒーローとしてストーリーを作り、彼らがもっている専門知識が新しい技術の導入でさらに生かされる、そういうことです。
多くの企業は、新しい技術の導入や新しいプロジェクトを行うことを喜ぶはずです。ただ、それを企業で実行する際には、研修・教育が必要となります。ですから、現場で働いてる人達の意見を聞きながら、プロジェクトを進めていくことが大事なのです。
“メッシュ”で監視するゼロトラストモデルへ
青山 さて、日本においても企業のDX化が、コロナ禍でどんどんと進んでいます。自社の企業活動の中で、実はITがサポート機能ではなく土台となる“基礎”なんだ、という認識がやっと高まってきたように思います。そこで、ゼロトラストの考え方が浸透してきていますが、このコンセプトは将来的にはどうなるのでしょうか?
スーザン コロナ禍では、多くのリモート機能が必要になりました。熟練した専門家が高齢化で引退していくことを考えると、サービスプロバイダに頼ることが多くなってきます。つまり、リモート運用に頼ることが増えていくということなのです。
ゼロトラストは、APIで最終的に特定のユーザー、特定の行為だけを許すという“メッシュ”(網の目)のコンセプトで、これが強力な理由は、詳細に「ある人」「あるグループ」の権利や権限をきちんと定義できるようになるという点です。このことで全般的にコントロールしやすくなるはずです。多分、これが将来形になると思います。
サードパーティのソリューションやセキュリティ制御がどんどん導入されることになると、アーキテクチャも非常に複雑になります。私がDataOpsを提案している理由は、リアルタイムのOTデータを取り出して、エンタープライズレベルで監視することができるからです。
いろいろなアプローチはありますが、私が今恐れているのは、「ファイアウォールの向こうは安全」という考え方です。コロナ禍でリモートワークが増え、人や組織の変化がいろいろと起こっていますから、今の状態が一時的なものではなく、これから先も続く「ノーマルな状態」だと考えてセキュリティを担保していき、システムを構築していかなければなりません。