クラウドサービスの発展とデータセキュリティ【海外Hot Info】vol.17

2022.02.22

第17回は、前回に引き続き、スタートアップの全面的支援を行っているベンチャー・キャピタル「NTTドコモ・ベンチャーズ」シリコンバレー支店の下城 拓也さんに、「クラウドサービスの発展とデータセキュリティ」についてのお話を伺いました!これまでのお話「米国・欧州の個人情報保護をめぐる状況」については、前回の記事 をご覧ください。

―――世界各国の先進的な取り組みから、旬で“GROWTH”につながりそうな企業・サービスをご紹介する「海外Hot Info」。10年以上デジタルマーケティングに携わってきたGROWTH INNOVATION LABの三石所長(当時)が、その知見をもとに海外のデジタルマーケティングのトレンドについて切り込みます。

それでは、続きを見ていきましょう!

クラウドの発展とそれに伴う4つの課題。漏洩ゼロを維持しつつ大事なデータをクラウドサーバーへ

クラウドサーバー

クラウドサービスの発展とデータセキュリティ

下城 拓也さん(以下、下城) 近年、クラウドサービスが発展し、活用されることも増えてきています。各企業が取得するデータ量が増え、サードパーティーとの連携や拠点間でのシェアなど、さまざまなユースケースも増加してきました。クラウドサービスの運用コストが低下してきているのも、クラウドの活用が増加している背景のひとつです。こうしてクラウドサービスが広がりを見せる一方で、新しい課題も出てきています。以下でその課題を大まかに4つ、ご紹介します。

クラウドサービスの発展に伴う新たな課題

1:データ形式の不一致・個人データの管理が困難

2:クラウド上でのデータの開示・やり取りが増える

3:どこでデータが漏れるか分からない

4:現状をすべて把握する人の不在

クラウドサービスの発展から繋がる新たなビジネス領域

課題1:データ形式の不一致・個人データの管理が困難

下城 クラウドを活用したデータ管理では、さまざまなソースからデータを取得したり、サードパーティーに対して情報公開をすることが前提になるケースが多いです。その結果、データの形式の不一致や個人データの管理困難が起こりやすくなります。

たとえば日本語の場合だと、全角・半角の違いや住所の番地の書き方の違いで、情報が一部紐づけられないことがあります。そのまま顧客に「私の個人情報を消してください」と言われたとき、紐づいていない部分が消えずに残ってしまい、GDPRのポリシーから外れてしまうリスクが考えられます。こういったデータ管理の一貫性に加えて、保持しているデータへのアクセス制限や保護といった管理全般を自動化してくれるソリューションが「データガバナンスツール」です。

データガバナンス

データガバナンスツールは目的によって多岐に渡ります。米国のスタートアップが開発している例では、入力データの表記ゆれやデータフォーマットの違いをAIを活用して自動修正してくれるツールや、属性ベースアクセス制御と呼ばれるよりきめ細かなアクセス制御技術を提供するツールなどがあります。いずれも、様々なクラウドサービスと連携しておりワンストップでデータを一元的に管理できる機能を強みの一つとしています。

課題2:クラウド上でのデータの開示・やり取りが増える

ゼロトラストコンセプト

2つ目の課題は、データの開示ややり取りが増えた結果、データの行方を追いきれないことです。いつ誰がどのデータをダウンロードしているのか、それをどう使っているのかまで管理しきれないので、それを「ゼロトラスト」コンセプトで解決しようという流れがあります。

ゼロトラストとは、すべての通信を信頼せず、すべてのログをとっておくことで、大事なデータが持ち出されてもちゃんと追跡できるようにする、というコンセプトです。これを踏まえ、今後は管理サーバーにさまざまな履歴が保存されたり、データを使うたびに管理サーバーに申請を出して承認を得たり、といった管理方法が増えてくると思います。米国スタートアップの例では、クラウドサーバ上のユーザの挙動に基づいて自動的に信頼スコアを算出し、アクセス制限を自律的に行うサービスや、Gmailなどのメールクライアントを用いて送信したメールやファイルへのアクセスを遠隔で制御するサービスが挙げられます。

課題3:どこでデータが漏れるかわからない

ゼロデータコンセプト

3つ目の課題は、どこで重要なデータが漏れるかわからないことです。特に企業が大事な情報を持っていてそれが流出してしまうと、責任問題に発展するので、「そもそも企業が大事なデータを持たない仕組みにして漏洩リスクを回避しよう」というのが「ゼロデータ」コンセプトです。

ゼロデータとは、機密データを直接取り扱うことなく、機密データのやり取りをするという方法です。たとえば、送信側が機密データを第三者サーバーに預け、受信側はそのサーバーのAPIにリクエストを送ることでトークンを受け取ります。そのトークンの情報は対外的には意味を持たないため、トークンで情報をやり取りすることで、流出時のデータ漏洩を防ぎます。また、秘密計算と呼ばれる通信方式では、元データを断片化して計算した結果のみを出力できるようにすることで、断片化されたデータが流出しても元データにたどり着けないような仕組みで情報のやり取りが行われています。

課題4:現状をすべて把握する人の不在

Governance as Codeコンセプト

4つ目の課題は、アプリケーションの頻繁なアップデートが行われることで、そのセキュリティ面をすべて把握しきれなくなるという点です。とはいえ、アップデートは頻繁に行いたい。この課題を解決してくれるコンセプトが、「Governance as Code」です。

Governance as Coderとは、セキュリティ部分をコードで記述・管理することで、アプリケーション更新の度にそのコードを実行させてセキュリティポリシに合致しているか確認できるようにするコンセプトです。その結果、セキュリティの精度を保ちつつ、頻繁なアップデートにも対応できるようになります。

三石 なるほど、面白いですね。日本がこうした新たなビジネス領域に馴染みがないのは、なぜなんでしょうか。

下城 アメリカでは「自社の問題は自社で解決する」という意識が強いので、Slerに外注せず、こうした新領域のスタートアップツールを自社のエンジニアが選んで導入することが多いんです。対して日本はそのあたりをSlerに外注して、Slerが作ったツールをそのまま使うことが多いイメージですよね。

三石 そうですよね、日本はそのあたりをSlerに丸投げしてしまうから、システムの組み換えもフレキシブルにできないイメージがありますね。たとえばみずほ銀行さんのように、大企業ってSlerに任せてしまう慣習があると思います。この慣習って、変わっていくんでしょうか。


下城 日本のSlerも海外スタートアップが開発したツールをローカライズして日本展開していることも珍しくなくなりましたし、ゼロから仕組みを作る動きは段々減るのではと思っています。ただし日本は実績がないと信用されないし、まだ「黒船を嫌う文化」が残っているので、導入しづらい部分はあると思います。
その一方、私が直接コンタクトを取っているスタートアップのほぼすべてが、日本に興味を示しています。とはいえ直接のつてがないことが多く、言葉の壁もあるので、なかなか進出のチャンスがないようです。

≪三石所長(当時)`s Memo≫

日本にも新領域のツールが進出し始めているが、浸透するのはこれから

「誰かが自動でやってくれる世界」への希望が、新たなテクノロジーを生む

誰かが自動でやってくれる世界

三石 新領域についてもイメージできました、ありがとうございます。この件について、加納さんはいかがですか?

加納 日本はアメリカと比べるとDXがまだまだ進んでいないので、セキュリティ面の外注に関しても、発注側の意識がまだ低い気がしますね。発注内容をよく理解してから発注するのは、世の中小企業にとってはとてもじゃないけれど難しいと思います。その結果、「うまくやっといて」の一言であとは丸投げになってしまう。下請け側も、とにかく利益を出そうと頑張るだけになる。なので、こういうツールは出てきて数年経って当たり前になってきたころに、やっと採用されるのでは、という気がしますね。

また下城さんのお話を自分なりにまとめると、下記のような感じかなと思います。

データマーケがお金になる時代に

 ↓

一方で法律もあるため、個人データにみんな敏感に

 ↓

しかし、データが万一漏洩したら大惨事、システムの設定がめちゃくちゃだとUXも大惨事

 ↓

(悪意ある者からすると)穴がありゆすれるネタだから狙われる、やられちゃったら会社が潰れる

 ↓

でも提供者としてお客様のロイヤリティを高めるためにはデータの最適化・管理が最低限必要

 ↓

これをちゃんとできる人はスーパーマン(すごい技術者)、実質現場で人任せだと無理

 ↓

だからみんな「誰かが自動でやってくれる世界」を望んでる(新領域のツール)

 ・管理しやすいように

 ・使いやすいデータに

 ・漏洩の穴を事前にふさぐ

 ・状況をきちんとモニタリング

 ↓ 

信頼できる状況を誰もが簡単に実現するための、新たなテクノロジー(新領域のツール)が興隆

 ↓

万一に漏洩が発生してしまったとしても、「やれる最善のことをやった」ということは言及できる

最近はデータがお金になる時代だから、それらを活用するなんちゃってSaaSがどんどん出てきています。その一方で、個人情報保護の法律があるので、みんな個人データの取り扱いには敏感になってます。漏洩したら大惨事。システムの設定がめちゃくちゃだとUXも大惨事っていうことが、よく起こってますよね。そこで、そういう企業をターゲットにゆするために個人データを狙ったハッキングがあったりするんですが、ハッキングされてしまったら会社はつぶれてしまう。でも、企業側はセキュリティを下請けのSlerに丸投げが実態だったりすることも多く、現場では「ちゃんとやれよ」の一言で済ませている。

でも実際、その状況で「ちゃんとやれるスーパーマン」なんていないので、みんな「誰かが自動でやってくれる世界」を望んでいるんですね。結果として、下城さんが話してくれた新領域の各種ツールが、少しずつ出てきており、近いうちに重宝されるようになる状況なんだろうなと思ってます。

三石 なるほど、これはわかりやすいですね!

≪三石所長(当時)`s Memo≫

みんなが「誰かが自動でやってくれる世界」を望んだ結果、新領域のツールが出始めた

加納 加えて、企業としては顧客からの信頼を得るために「できることをしっかりやっています」というアピールも必要ですよね。そういう意味でも、新領域のツールの活用は必要なんだと思います。

三石 確かに、広告を電通や博報堂に任せれば、もし売れなかったとしても「やれることははやったんだし、しょうがないよね」となりますよね。

加納 そうですね、前半の下城さんの話は少し難しいんですがとても面白くて、ざっくりいうとそういうことになると思います。

株取引も病院予約も、ネット上で完了。西海岸の便利なサービス「ロビンフッド」「Zocdoc」

三石 最後に、実際に西海岸にお住まいの下城さんから見て、現地で最近注目しているビジネスや企業はありますか?

下城 株式取引アプリの「ロビンフッド」はいいですね。ダウンロードして簡単に登録するだけで、口座なしでも、株や仮想通貨をタップひとつで買えます。アメリカでは移民や10代の若者など、口座を持たない人たちを対象としたFintechサービスが盛んになっています。

三石 日本はそういう意味では恵まれていますよね。とはいえ、BNPL(Buy Now Pay Later:後払い決済)が上陸し始めるなど、日本でもわかりやすいサービスが増えてきています。いずれ既存のメガバンクは顧客を取られていくかもしれないですね。

下條 日本でもアメリカでも、そうなっていくと思います。あともうひとつ身近なところで便利なサービスとして、診察予約アプリの「Zocdoc」があります。診察を受けたいときに病院を検索して、そのままネット上で予約ができるんです。

三石 それは便利ですね!たとえば歯医者の予約とか、日本では電話で予約することが多いですよね。

下城 アメリカでは電話を使うことはもうほぼないです。現金もカジノくらいでしか使わないですね。すごく楽です。

三石 そういう便利なサービスが、アメリカでは根付いているんですね。いや、めちゃくちゃいいお話をいろいろ聞けました。本日はありがとうございました!

下城・加納 ありがとうございました!

―――次回の【海外Hot Info】は、トラストバンクの森杉様にお話をお聞きします。ぜひお楽しみに!

タグ一覧