新米情シスがゼロトラスト環境を3ヶ月で引継ぎ、リーダーになった話
はじめまして、ふみふみと申します。
今は、Fintech系の会社で情シスのリーダー(5ヶ月目)をしております。
note初投稿ですが、よろしくお願いします。
【追記・修正】
僕の知識不足により正確でない表現をしていました。申し訳ありません。
シンジさん(株式会社クラウドネイティブ:齊藤愼仁さん)よりご指摘を頂いたので一部修正しています。
・まだ「ゼロトラスト環境」ではない。ゼロトラストを目指している段階
・パスワードリセットは「ユーザー自身」にさせるべき
=> ユーザーですらパスワードを知らない・リセットさせないことで、ポリシーで防ぐよりも前段階で何もさせないようにしている(独自の考え)
・BYOD防止は認証認可 / ポリシーで行うべき
=> 認識はしているが未着手...
自己紹介・略歴
現在4社目、31歳♂。高校時代には夏コミで3徹半しました。
=====職歴=======
1社目:Web制作会社(PG兼営業)/ 2013.04~2014.03
2社目:大手ソシャゲ会社
(CS・総務・社内横断・情シスヘルプ/改善)/ 2014.07 ~ 2019.02
3社目:Web制作会社(制作SE兼社内SE)/ 2019.02 ~ 2019.12
4社目:Fintech系会社(情シスリーダー)/ 2020.01 ~ 現在
所有資格:情報セキュリティマネジメント、日商簿記2級(学生時代)
===============
2社目で情シスチームをヘルプしたり、情シスチーム内の業務改善等で2年半くらい関わった経験と適正検査で必ず「縁の下の力持ち」的な結果とが出ることから、「情シスやりたい・向いている」「サポート役が適任」「ちょうど30歳だし良いタイミング」と思い転職するも、面接先の諸事情によりWeb制作の人になりました(面接期間中に担当者が管理部→制作部に異動)。
3社目ではG Suiteの管理画面触ったり、軽く情シス的なこともできましたが、9割Webの人だったので、やっぱり情シスをやりたいと思い再び転職活動を。その期間に情報セキュリティマネジメント試験を受験・合格。ただ、個人的には3社目の会社に入社したことは失敗ではなく、改めて「コードの書き方・言語化の重要性・将来のビジョンを持つこと」など非常に自分価値観の成長を促した期間でもあり、必要な経験だったなと感じています。
縁があり今の会社に入社し初めて情シスチームに所属、現在はリーダーをしています(転職当時は情シス+セキュリティ寄りの担当を想定していました)
弊社の社内システム環境
弊社は200人強くらいの規模の会社です。社内システム環境としては ゼロトラスト(ネットワーク / セキュリティ) を目指しています。
ゼロトラスト・セキュリティとは
従来、企業は信頼のおけないネットワーク空間との間に境界を設け、境界の内側は信頼できるゾーンとして定義してきました(境界型セキュリティー・モデル)。しかしながら、クラウド利用の促進や、働き方改革により、企業内からではなくInternet上から企業の情報資産にアクセスするケースが急増し、境界の内と外という概念のみでセキュリティー・モデルを維持できない状況となっています。
このような状況下では、境界内が安全であるという接続環境の前提に立ったモデルではなく、全ての情報資産へのアクセスは前提を置かないモデルを採用する必要があります。
2010年にForester Research社により提唱されたゼロトラスト・セキュリティーの概念は、全ての情報資産へのアクセスは信頼でできないことを前提とし、1つ1つのアクセスに対してチェックを行い、信頼できるものだけにアクセスを許可するというセキュリティー・モデルです。
IBM「ゼロトラスト・セキュリティーの要諦」より引用・抜粋
また、社内インフラは基本的にSaaSで構築しています。これは 「①ゼロトラストネットワークの実現の為」であり、「②資産を持ちたくない・管理したくない」「③メンテナンスに自社リソースを割きたくない(そもそもリソースない...)」という理由があります。
ゼロトラスト環境を目指すにあたりIdPを軸にシステム構築をしているのですが、弊社ではざっくり以下の感じのシステム構成になっています。一部SSOできないものがあり、いつかなんとかしたいと思っています。
弊社は昨年事業譲渡があり、その際に前任者とシステム部部長によりAzure ADを軸とした上記の構成で社内システムを構築したようです。個人的にはおかげでモダンな環境の情シスを経験させてもらっています。
なお、アカウント管理としてユーザーにはAzure ADの「パスワード」は公開していません。PCのへのログインは「顔認証 or PIN」であり、ブラウザ = Chrome には「Windows 10 Accounts」の拡張機能を入れている為、基本的に不要となっています。パスワードリセットも本人からはできません。現状はこれで「勝手にBYOD端末でアカウントにログイン!」みたいなことを防いでいます。ユーザーアカウントも標準ユーザーとし、必要な時に管理権のポリシーを配信・削除する運用を取っています。
※ ゼロトラストであれば、パスワードリセットは本人にさせるのが正しいようです。
※ ゼロトラストについて詳しく知りたい方は素直にググりましょう。僕も最初は軽くググり、以下を購入・参考にしました。
・ゼロトラスト超入門DL版(@okas1n さん)
・ゼロトラストネットワーク(オライリー)※まだそんなに読めていない...
入社 ~ 引継ぎまでの3ヶ月間
①1ヶ月目(2020.01)
僕は今年の1月頭に今の会社に入社しました。最終面接のときに「情シスの第2立ち上げみたいなフェーズだよ」と聞いていたので、「一次面接の時の人から引き継ぐのかな?」と思っていたら全く違う人でした(笑)
その人 (=前任者:フリーランスで主に情シス立ち上げとかをしている個人的にめちゃくちゃスゴいと思う情シスの人) から色々教わることになったのですが、初日に「毎週金曜日は休みなので」と。そして「自分は3月末までの契約なので」と。えぇぇぇぇぇ(゚Д゚;)
とりあえずキッティングやヘルプデスクを日々こなし、みんなに名前と顔を覚えてもらいながら、定常業務をドキュメント化し品質の確保。他にはオフィスビルの停電対応に伴う対応等を行いました。とにかくひたすらに吸収吸収の毎日でした。
この頃は情シスとしても新米かつ「ゼロトラスト / SAML / IdP」って何?くらいに何も知らなかった為、ゼロトラストとは何か?SAMLとは?とかプロビジョニング?EDR?など、世の情シスの人からしたらよくご存知のことも一から学んでいきました。さいよわな新米情シスですね...
以下はこの時読んでいた本です。
②2ヶ月目(2020.02)
あっという間に過ぎた1ヶ月。日常業務については慣れてきつつ徐々に情シスとして表にも立つようになり、業務の縦割り(ごっちゃになりやすいインフラと情シスの区分とか)や、弊社の情シスとしてのポリシーについて吸収していた時期でした。
また、今後自分がメインになるにあたりヘルプデスク業務を改善したかったので「Googleフォーム + GAS + Slack」で対応を均一・楽にしたり、Azureポータルの色々な設定、CrowdStrikeのダッシュボードやアラート上がった際の対応方法など、色々着手してあまり記憶にない1ヶ月でしたね...
この頃国内でコロナコロナとだいぶ話題になっていた時期でもありましたね(今も)。月末頃には弊社でも「急ぎビデオ会議ツールの導入をしておこう」というでZoom導入を行い、契約やSSOの設定含め入社して初めて製品導入に携わり、改めて導入って色々大変だなと感じる新米でした。
③3ヶ月目(2020.03)
この頃には概ね情シスとして表で立ち回るようになり、色んな相談をメインで受けたりしていました。相談内容によっては(情シスの)ポリシーに反することもあり、そういう場合はきっぱり突っぱねていました。
前任者から残りの業務を引き継いだり、今後やった方がいいことについてアドバイスもらったり、ヘルプデスク等をしてもらう派遣社員の契約を進めたり、この月もこの月であっという間に時間が過ぎていきました。
知識も経験も豊富な前任者と一緒に仕事をできたことは幸運かつ大変ありがたいことでした。ゼロトラストな環境を用意していてくれたこと、モダンな情シスについて教わったこと、ポリシーや判断について教わったこと、たくさん飲みに連れて行ってくれたこと、どれも全部自分の糧になっています。マジ感謝。
リーダーになってからの5ヶ月間
④4~8ヶ月目(2020.04~08)
前任者が辞めた4月1日から、僕一人体制に(派遣のコは親族の体調不良とかで早速2週間ほど休み)。初っ端から対応多いわ、Intuneに登録しているAppleの証明書の期限切れが迫っているなどでピンチ。。本を見たりMSやAppleに問い合わせながら対応。
そしてコロナで緊急事態宣言になり、全社のリモートワーク関連でごにょごにょ対応していました。この時に改めて、ゼロトラスト環境で良かったなと実感しました。ホントに特別やることなくて。一部の経理メンバーや総務等を除き、ほぼリモートに転換できてた気がします(業務上やむを得ず交代で出社してくるメンバーはいた)
初の評価面談も上々で、「ふみふみに情シス任せてるから」と言われ情シスチームのリーダーになりました。どうやら、誰が相手でも「〇〇という理由から、この件はNGです」と論理的に断れるところ、安定したクオリティで対応しているところ、などが評価されたようです。やったね。
派遣のコも戻ってきてリモートで色々教えつつ、あっという間に時間が過ぎていく日々。人に教えるってやっぱり難しいですが何か楽しい。
5月:緊急事態宣言下で出社していたメンバーに手当を出すべく、オフィスの入退ログとセキュリティカードの情報から「誰が・いつ・何時間」出社したのかの計算をスプレッドシートで作成したり。
6月:MSのライセンスを直契約→親会社の包括契約に乗り換えてたので、全社員のOfficeソフトの入れ替えを工面したり(社員には普段、管理権は与えていない)とか、事業譲渡時にBox内に作成していた暫定用フォルダがめちゃくちゃ使われていて権限的にも色々ヤバい状態だったので整理したり。
後半に部長が退職し、新しい人に。
7月:Salesforce引き継いだりTeamSpiritの運用開始に向けて準備したり、経理業務のリモート化を進めたり、新規施策にかける予算ないけどコロナと事業好調を理由に開発チーム用に40台分のPC&モニター購入してみたり、Box Governance の導入に向けて承認とったり。
新しい部長から「前の部長から、情シスはふみふみに任せておけば大丈夫」しか聞いてないから説明よろ、と言われた時は衝撃でした。信頼されてるのはありがたいですが、もうちょっと何か引き継いで...
8月:今週はお盆休みとして有給休暇ですね。。。初週は電子契約サービスの導入に動いたり、4月に更新したAppleの証明書で実は問題が起きていて、MSに3ヶ月くらいかけて問い合わせのやり取りして解決できたので社用スマホの再設定したり(Appleが証明書に登録済みのApple ID変えても大丈夫って言ったのに、変えたらIntuneと同期取れなくなったのです)。
とまぁ毎月なんらかイベント発生していて、充実し過ぎている日々となっております。キャパオーバー感はありますが気にしません。成長の糧です。
心がけていること
下記を心がけていることで、一定情シスのリーダーとしていられるのかなと思っています。新米なんですが。
1. 常に理想を考える
=> この会社では「情シスはこうあるべき、こういう環境にしていくべき」というのを考えるようにしています。軸はもちろんゼロトラストですが。知識不足でハラハラしますね。がんばります。
2. 誰にでも正しく伝える
=> 3つの意味を含めています。
①「相手の顔色を伺ったりせず、年上や上の役職でも関係なく、正しく伝えること」。これは昔の自分にはできなかったことですね。3社目での経験が活きています。上司の判断が間違っていたら違うと指摘しますし、NGなものはNGと伝えます。
②「分からない・できないことを伝えること」です。自分の経験・知識・判断力不足でテキトーな返答をして事故らないように必要なことだと思っています。
③「間違ったら素直に謝る」です。判断や対応を間違えることもあります。人間だもの。
3. 社内のセキュリティの要。最後の砦
=> もちろんセキュリティ担当は別にいるのでシステム的な話。僕が大きく外れた判断をしない為に僕自身に言い聞かせることです。自分の判断・言動が会社としてのセキュリティOK/NGを左右すると思っています。
4. 何か依頼や相談があっても、一旦踏みとどまる
=> 3に通じるのですが、「疑問に思う・否定する」ことで「本当にそれ必要なんだっけ?やっちゃって大丈夫なんだっけ?」と踏みとどまれます。= どんなことにもちゃんと理由を探すこと、でしょうか。
5. 属人化しない運用を目指す
=> よくscriptとかマクロとか作った人がいなくなったあとに止まるじゃないですか(笑)。そういうのがイヤですし、いつ自分が事故って死ぬか分からないと本気で思っています。なので、できるだけ属人化しない運用を目指しています。具体的にはまだドキュメントにまとめておく、くらいしかできていないですけど...とりあえずポリシーややることは載せているので大丈夫かなと。
最後に
初めての投稿を読んでいただきありがとうございます。経験が少ないながらも信頼されてリーダーができている一番は「覚悟」だと思っています。やり切る覚悟、会社を守る覚悟、会社を強くする覚悟。
まだまだ新米ですが、スゴい情シスの方たちに追いつけるように日々勉強しつつ、ゆるふわに過ごしていきたいです。ただ、親会社はガチガチなnotゼロトラストなのでしばらく武闘派になりそうです。
これを読んでいる方は大抵参加済みと思いますが、一応。僕もちょこちょこ投稿見つつお世話になっている情シスSlack(コミュニティ)です。
今後は定期的にアウトプットがてらなんらか投稿していきたいなぁと考えています。最後までお読みいただきありがとうございましたmm
この記事が気に入ったらサポートをしてみませんか?