[ザ・プロジェクト]

2023年1月11日(水)奥平 等（ITジャーナリスト／コンセプト・プランナー）

最初期からクラウドに取り組んできたSOMPO

　SOMPOグループにおけるクラウドへの取り組みの歴史は長い。2003年に損害保険ジャパンが日本におけるセールスフォース（Salesforce）のファーストユーザーの1社となるなど、SOMPOホールディングスの設立以前より、SaaS/クラウドの導入に先鞭をつけてきた。

　そんなSOMPOが2020年度に宣言した「クラウド・バイ・デフォルト構想」は、政府がデジタル政策標準ガイドラインの付属文書として2018年6月に示した「クラウドファースト」の指針を受けてのものだが、実は、SOMPOのIT企画部ではすでに2017年時点でクラウド利用へ向けての運営要綱の作成に着手。以来、クラウドの動向に注視しながら環境づくりに取り組んできた経緯がある。

　同社IT企画部の場合、ホールディングスのミッションとしてガバナンスや戦略の策定といった上流工程をメインに担う。当然、クラウドの環境づくりに割ける人的リソースは限られており、実際、当時はクラウドの活用と言っても、統制やグループ会社との調整の域にとどまっていた。運営においては、グループ内で先行している企業が作成した既存のルールを踏襲するしか術がなかったという。それでも調査すればするほど、メンバーたちのクラウドへの期待は高まり、「もっとグループ会社に貢献できるエッジの効いた施策に取り組みたい」との思いが部内で漂い始めていた。

　取り組みを一気に加速させるべく、SOMPOは冒頭の2つの宣言を発出した。2020年度の「クラウド・バイ・デフォルト構想」と、2021年度からスタートした3カ年のIT戦略における「クラウド人材1000名計画」である。そして、これらを推進するのが、IT企画部に設立された「クラウドCoE（Center of Excellence）」である。

　クラウドCoEの設立には、同組織の責任者を務める、IT企画部 企画グループ クラウドアーキテクトの土屋敏行氏（写真1）の存在が欠かせなかったという。損害保険ジャパン、SOMPOひまわり生命保険、セゾン自動車火災保険でクラウド構築からクラウドベースのシステム開発に携わり、名だたる実績を残してきたキーパーソンである。これまでグループ会社がクラウドに取り組む際、IT企画部への問い合わせが絶えなかったが、常に相談に乗っていたのが土屋氏だった。

ヒアリングで見えたグループ各社の共通課題

　設立の経緯はこうだ。土屋氏を迎えたIT企画部は2020年上半期に、グループ各社のCIOおよび情報システム部門長にヒアリングして、ITにおけるさまざまな課題の徹底把握に努めた。そこで分かったのは、いずれの事業会社もホールディングスの支援を求めているということ。とはいえ、各社の業容は損害保険から生命保険、介護・シニア、ヘルスケア、リスクマネジメント、デジタルと多岐にわたるうえ、支援の要素もITインフラからアプリケーション、IT品質、プロジェクトマネジメントなどさまざまだ。業務面と技術面の両方から広範囲な知見が求められるため、ホールディングスの組織とは言え、IT企画部がこれらを網羅的に支援することは不可能に近いと思われた。

　そこで、さらに共通項を探ったところ、各社のほとんどがITインフラの課題に直面していることが分かった。特にプライオリティが高かったのは当然ながらクラウドだが、進化の著しいこのテーマが、単なるITインフラ支援の領域を超えている。

　そうした認識の下、IT企画部は支援すべき目的・機能・予算を明確化し、クラウド活用のためのグランドデザインを策定。それが経営陣の共感を得て、2021年4月に3カ年計画に基づく専門組織としてクラウドCoEが正式に発足した。新しいサービスをクラウド上で実装しようとする機運がグループ各社で高まっていて、基幹システムをリフト＆シフトしようとする会社も増えつつあったタイミングだった。土屋氏はクラウドCoEの位置づけを次のように説明する。

　「当社のトップが“クラウド・バイ・デフォルト”を宣言した背景に、経営的なスケールメリットを追求するのみならず、オンプレミスでは実現できないクラウドならではの変化対応力とスピード感への期待が込められています。それだけに、クラウドCoEでは、直面する課題への対応にとどまらず、ビジネスの拡充・成長・変革といった将来につなげることを目指しています。クラウドネイティブな活用の礎を築くための取り組みとなります」

ガバナンスの整備と「セキュリティガードレール」の構築

　SOMPOは組織名の「CoE」に、「人材・ノウハウ・設備をはじめとするさまざまなリソースを1カ所に集約し、組織・グループ横断を加速させる」という意味合いを込めている。この組織・グループ横断のコンセプトは、同社のデジタル戦略部がDXの推進エンジンとして位置づける「Real Data Platform（RDP）」においても同様である（関連記事：Real Data Platformを基軸に次世代事業を創出─SOMPOホールディングスのデータドリブン経営）。

　クラウドCoEは活動開始にあたって、①ガバナンス、②要員支援（要員育成を含む）、③ナレッジ支援の3つを挙げた（図1）。最初に着手したのが、ホールディングスとしての全体ガバナンスの整備である。グループにおける既存の「クラウドサービス利用要綱」を見直しつつ、項目を細分化・明確化していくとこころから始め、続いて策定済みの損保ジャパンのガイドラインをベースに、グループ向けガイドラインを整備。2021年10月に、「共通編」と「AWS編」をリリースし、以降、改訂を重ね、2022年に「GCP編」をリリースしている。

　ガバナンスの整備において、ガイドラインと並んで注力してきたのが、「セキュリティガードレール」の構築・実装だ。従来のオンプレミス環境においては主として「ゲート（門）」上に設けたルールで監視することでセキュリティを担保してきた。クラウドのための共通セキュリティ機能であるセキュリティガードレールは、この考え方を大きく転換させる。道路外への飛び出しを防止するのがガードレールだが、実際の道路そのものは追い越しやUターンなど、状況に応じた自由度がある。

　つまり、ガードレールを破らない範囲内であれば、ある程度の自由度を許容するというのが、セキュリティガードレールのアプローチだ。これにより、構築・開発・改善といった各フェーズにおいて、クラウドならではのスピード感を併せ持たせられるようにした。

　また、クラウドの活用においては、「データの民主化」という観点からエンジニアのみならず現場を含めた多くの人が利用する環境が求められつつある。そこでは利便性の追求に加えて、これまでの延長線上になかったセキュリティリスクが生まれることが想定される。SOMPOのセキュリティガードレールは、この二律背反した課題への解決策としても期待されている。

ガバナンスの整備でクラウドのコストメリットも追求

　クラウドCoEの奮励あって、2022年10月時点で、SOMPOグループ国内の約95％以上のAWSアカウントがセキュリティガードレール統制下に置かれている。これにより、グループ各社はそれぞれの事業特性を生かした取り組みを、クラウド環境に最適化されたセキュアな環境の下に開発・構築できるようになった。なお、ガバナンスの整備施策は、同時にコスト最適化も推し進めた。グループ各社のアカウントを統括することで、億単位での大幅コスト削減につながったという。

　「クラウド基盤の確立と活用は、DXの推進に不可欠な要素です。しかしながら、当社においてもセキュリティへの不安や懸念が、いまだに根強く残っていることも事実。その意味でガイドラインとセキュリティガードレールは、実は表裏一体の関係にあります。クラウド運用ポリシーとなるガイドラインから逸脱した運用がないかをセキュリティガードレールで監視することではじめて適切なリスクコントロールが働き、かつある程度の弾力性を持って活用できるようになるからです」（土屋氏）

　経済産業省が示すITガバナンスの定義には「組織の価値」が謳われているが、クラウドCoEがとらえるガバナンスの視点もそこにある。IT企画部課長代理でクラウドCoEの主要メンバーである安岡義矩氏（写真2）は、実際にガバナンスの確立が、アジャイルモデルによるスモールスタートを後押ししているという。

　「当社ではデジタル戦略部内にアジャイル開発に特化したスプリントチームを発足させており、プロジェクトごとに短期間でモックを作成し、つど効果検証で本番開発の是非を問うというアジャイル/スクラム開発の流れが確立されつつあります。これらは100％クラウド環境で行われており、この流れがグループ各社に広がっていくことを期待しています」（安岡氏）

　「ただし、スクラム開発が野良的に乱立してしまうと、やはりセキュリティの担保が難しくなることも事実。そこでガイドラインを基軸としたガバナンスが必要になるわけです。クラウドCoE自体は開発には関わってはいないものの、開発チームとの連携強化は不可欠だと考えています」

●Next：クラウドCoEにはどんなメンバーが集まったのか？