スタートアップで情シス2年生がやってきたこと
こんにちは!
カミナシのコーポレートIT担当、小林です。
春以来のnoteです。
このnoteはアドベントカレンダー「【初心者優先枠】corp-engr 情シスSlack(コーポレートエンジニア x 情シス)#2」」の21日目の記事になります!
もう2022年も終わっちゃいますね!
4月で情シス2年目に突入した私ですが、今日は年の瀬なので2022年4月からの施策を振り返ってみようと思います。
なお、こちらの記事は8000文字になります!(笑)
見たいところから見ていただければと思います。
ちなみに、情シス1年生がチャレンジした内容については、下記からご覧いただければ幸いです。
この記事は、スタートアップへ転職したい情シスの方や、バックオフィスや開発と兼任しながら情シスを担当してる人、クラウドネイティブな環境の情シスが何をやってるのか気になる方々の参考になればと思います。
以下、ほぼ4月以降の時系列に仕上げてみました。
パスワードマネージャー導入
Keeperというパスワードマネージャーを導入しました。
これまで、特定の作業においてログイン情報の共有が必要な場合、スプレッドシートを利用していました。
ですが、社員の増加はもちろん、安全にパスワードを管理するためにもパスワードマネージャーの導入が急がれました。
製品選定の理由については、GoogleからのSAMLが可能であることが1番の大きな要因です。
ユーザー数の多い1PasswordとLastpass、Keeperを機能面のみで比較したのですが、GoogleをIdPとしたSAMLに対応していたのがKeeperだけだったため、自然とKeeperに決まりました。
パスワード共有を主に行っているCSチームとエンジニアチームからのスモールスタートを実施しましたが、現在は全社員が使っています。
改善点
導入してから発覚したのですが、GoogleをIdPとする場合、SAMLのエラーが時々起こります。
主には他のGoogleアカウントでログインしたことがある場合、認証でこけてしまって400番台のエラーが発生します。この場合、全てのGoogleアカウントからログアウトしてから再度ログインすることで防ぐことができます。
ですが、Googleのプロファイルをきちんと運用できれば、複数のアカウントを使い分けることができるので、ここもセットで啓蒙していくことが大事です。
とはいえ、多くのメンバーは複数のアカウントを使い分けることがないはずではあるため、会社の性質にもよるかもしれません。
このようにいくつかのアカウントでログインしたことがあるアカウントはSAML認証のエラーが起こります。
SaaSコストの最適化
年明けからだんだん円安傾向がでてきたことに伴い、契約しているSaaSの見直しを実施しました。
特に海外SaaSはドル建ての支払いであるため、右肩上がりで円安になっている状況をみて、早く整理をしなければならない状況でした。
蓋を開けてみると、契約していたSaaSの中には利用率の低いものが多かったり、本当に必要かわからないけれども有償ライセンスが払い出されていたり、なかにはJiraとAsanaのように同じ機能を持つSaaSが複数契約されているケースがありました。
やったこと
SaaSの洗い出しと利用者の特定
まず、BundleというSaaS管理ツールを用いて、GoogleのSSOによってログインしている全サービスを抽出します。
これによってカミナシドメインにてGoogleからSSOでログインしてるサービスがメンバー毎にデータとして取れたので、利用者が多いサービスに並び替え、且つ4人以上がアカウントを持っているサービスを一覧化しました。
アカウント利用について確認
各サービスのアカウント管理画面から、最終ログイン日にて3ヶ月使っていないメンバーに対して、本当に必要かを確認しました。
また、Figmaなど一部のメンバーしかEditorとして使わないサービスについては、本当にEditorとして利用しているのかを確認しつつ、Viewerで問題ない場合は権限変更を実施しました。
プロジェクト管理ツールのマージ
プロダクトチームのタスク管理およびプロジェクト管理ツールとして新たにJiraが契約されたのですが、その時点では社内でZenhubとProductbord、Asanaも利用されていました。
同じ機能を持ったSaaSをいくつも契約していて利用者も重複しているのはもったいないので、全社としてJiraへ統一しました。
改善点
同じ機能を持ったサービスの統一化については、このあと紹介する「Zoom全社利用廃止」にも繋がるのですが、施策自体は諸刃の剣のようなもので、成功とも失敗とも言えない結果になりました。
開発におけるBacklogの管理などはJiraに統一することで成功したと言えるのですが、ビジネス系のプロジェクト管理やタスク管理についてはJiraの機能では不便なことが多く、Asanaのほうが良かったという結論もでています。
例えば、Asanaでは繰り返し予定を簡単に作成でき、月次のルーティン作業のタスク化などを自動で行えます。特に定型業務が一定発生する管理部門などには嬉しい機能ですが、Jiraにはこういった機能はありません。
JiraとAsanaの両方にアカウントを所有することはコストの面からは無駄だとも言えますが、無理やりどちらかに寄せる行為はメンバーの生産性にも関わるため、慎重な検討が必要と言えます。
Google Workspasceのプランアップ
Googleのアカウントマネージャーからメールで「今プランアップしてくれたらディスカウントするよ!」といわれたのが検討のキッカケです。
それまでBusiness Starterを使っていたのですが、とりたてて不便はありませんでしたし、アカウント単価は安いし、社内ストレージとしてきちんとしたものを使うならBoxをいずれ導入するだろうな・・・なんてうっすらと考えていたこともあり、あまりGoogle Workspaceのプランについてきちんと調べたことはありませんでした。
おそらくアカウントマネージャーからのメールがなければ、いまだにBusiness Starterを使っていたかもしれません。
しかし改めて調べてみると、SaaSのコスト最適化の施策が一方でありつつもプランアップで得られる機能は魅力的だと感じました。
Business Standardにすることで社内ストレージとして共有ドライブが使えるようになる他、Google Meetの音質や機能のアップ、またセキュリティ強化にもなることから、何度かアカウントマネージャーとMTGさせていただき、従業員体験がどれぐらい変わるのかについて慎重に検討しました。
というのも、Zoomの有償ライセンスおよびウェビナーライセンスのコストインパクトが大きいと以前から思っており、ZoomのリプレイスとしてGoogle Meetが採用できないかを探っていたからです。
結論としてはGoogle WorkspaceのプランはBusiness StarterからBusiness Standardへプランアップ。
これがZoomの全社利用廃止に繋がり、さらには共有ドライブの利用開始へと進んでいくのですが、共有ドライブについてはまた次回のnoteで触れたいと思います!(この一大プロジェクトが現在進行中かつ社内的に大きな変化をもたらしています)
Zoomの全社利用廃止
前項で触れたGoogleのプランアップに伴い、Zoomが全社利用廃止となるのですが、これまでどうしていたかというと、有償ライセンスについては、ビジネスメンバー全員と「欲しい」と手を上げたコーポレートメンバーおよびエンジニアメンバーに付与しておりました。
ですが、月に3〜4人ずつメンバーが増えている状況で、Zoomのライセンスを配布し続けることは先々のコストとしてかなり重く、ライセンスを発行する度に「どうしてみんなZoomにこだわるんだろう?」と思っていました。
なぜなら、他社の人とオンラインミーティングする際にGoogle Meetが選定されていたことが多く、このままでいいのか疑問を感じたのです。
まず、手始めにZoomの必要性について全社員にアンケートを実施しました。
内容としては本当にZoomでなければならないのか?というものに加え、Google WorkspaceをプランアップすることでMeetの音質が良くなり、色々な機能が使えるようになることを説明しながら確認しました。
初回のアンケート結果は「絶対にMeetの利用はしたくない」という強い意志の回答も見受けられ、しょっぱなから心が折れかけました(笑)。
正直半泣きになりながらも、「全社のコスト最適化という経営上意味のある取り組みであることを、ちゃんと理解してもらわねば」と思い、作戦を考えることにしました。
そのため、Googleのアカウントマネージャーと密にMTGや仕様の確認を行いました。
プランアップした後に「やっぱり無理でした」となってしまっては取り返しがつかないので、音質比較の動画を見てもらったり、ブレイクアウトルームのやりかたやウェビナーの開催方法、会議中に音楽を流すことができるのか・・・等々、相当細かいところまで質問したと思います。
アカウントマネージャーの女性の方は、あまりにも細かい質問に辟易されていたかもしれません。
その節は本当にお世話になりました。
結果としては全社利用を廃止することになり、現在は一部のメンバーのみがZoomも有償利用しています。
有償利用の余地を残した理由としては、セールスチームが商談内容を解析するために利用しているツールがZoomじゃないと利用できないというケースがあったり、マーケティングチームとCSチームが実施するウェビナーについてはZoomの機能の方が参加者側の体験や主催側の開催コストをふまえて優れていると判断したからです。
これまで全社MTGもZoomで開催してきましたが、先月からこちらもMeetでの開催となりました。
この施策は、特にほぼ全メンバーの業務に深く根付いていたツールの入れ替えという意味で、会社の文化をも変えてしまう大きなものだったと思います。
いろいろなことを抜きにすれば、メンバーそれぞれが自分が良いと思うツールを自由に使えることが、個人の範囲では満足度も高く、気持ちよく働ける環境なんだと思います。
コーポレートITとしてもメンバーが気持ちよく働ける環境は目指しているものの1つです。
ただ同時に、事業に対して貢献していくということも考えると、時には個人の自由度や満足度とは相反する施策を進める必要性があることも事実で、その2つのバランスを取りながら推進していく難しさを学んだ出来事でした。
Windows PCの廃止
カミナシではiOSアプリの開発をしていることもあり、社員はMacBookを使っています。
そのため、MDMもJamfを導入したのですが、1年ほど前から徐々に派遣社員が増えてきました。社員の採用と違って派遣社員の場合は急遽決まることに加え、Windowsになれている等々の理由から、元々展示会向けなどで購入し社内に在庫があったWindows PCを貸与していました。
ただ、派遣社員が1〜2人の頃はそれでよかったのですが、2〜3人と増えていく様を見て、このままMDM配下に置けないPCが増えていくのはマズイし、Intuneを入れている余裕もないし、どうにかしなければと考え、Windows PC廃止を決めました。
やったこと
派遣社員の指揮をしているメンバーに業務内容を確認
主に派遣社員のメンバーが在籍していたのは、カスタマーサポートチームとHRチームでした。
そのため、2人のメンバーに派遣社員の業務内容とOSがWindowsでなければならない箇所があるかどうかを確認しました。
その結果、カスタマーサポートチームにおいては「月に1回程度、顧客からの問い合わせに対してWindows起因なのか別問題なのか切り分けるための確認作業を依頼することがある」ということがわかりました。
動作検証としてWindows環境をAWSに構築していただくよう協力依頼
月に1回程度のためにWindowsにしておくのはもったいないなぁ、と思った私はエンジニアチームに相談。
そこで返ってきた解決策は、AWSにWindows環境を構築したらいいのでは?とのこと。
費用を確認しましたが従量課金のため、そこまでコストかからなそう。
しかも、そのための環境構築はエンジニアチームのリソースで対応していただけるという神対応もあり、一瞬にして解決しました。
Macへのリプレイス
派遣社員のメンバーには事前にローカルのデータをクラウドへ上げていただくようお願いし、仕事を調整していただきつつオフィスへ集まってもらいました。
4人のメンバーに対し、Macの基礎的な使い方や必要なアプリの設定などを実施。
その後入社したコーポレートチームの派遣社員にもMacを貸与。
これで万事解決かと思ったのですが・・・
改善点
一見、うまく行ったかのように見えた施策ですが、すぐに問題が起こりました。
コーポレートチームに所属された派遣社員のうち1名が、Macの操作になれず立ち上がりが悪いためWindowsに変えてほしいとの要望が。
後になって分かったのですが、サポートチームやHRチームはブラウザでSaaSの操作が多いため、Macでの文書作成になれてしまえば問題なかったようです。
が、コーポレートチームはOfficeの操作やPDF化、印刷などが多く、ショートカットキーの操作の違いになれず苦労したとのこと。
やはりコーポレートの扱う情報や仕事の内容的に、完全にWindowsを完全に廃止することは難しく、今後はこのような限定的なケースも受け入れつつセキュリティ構築することを目指していきたいと思います。
20年近くマカーである私も、今さらWindowsで仕事してほしいと言われたら嫌な気持ちになります。
貸与端末については、会社都合だけでは語れない色々な要素が孕んでいるなと感じました。
Boxの導入
カスタマーサクセスチームのエンタープライズ担当、およびコーポレートチームの労務担当から「他社とシェアして使えるストレージが欲しい」と言われたことがキッカケで導入しました。
社内のファイル共有はGoogle上です。
お取引先との情報共有も基本的にはGoogleを通して行うことが多いのですが、エンタープライズのお客様とは先方のポリシーでGoogleを使うことができないケースもあり、相談をいただきました。
また、コーポレートチームにおいては社労士や弁護士の先生との文書共有もありますが、人事情報など機密性が高いものについては、GoogleではなくBoxを通じて情報をストックするような運用をしたいとのことで相談をいただきました。
Googleの場合は、権限設定をミスしてしまうと機密性の高い情報であっても関係ない人に見せてしまうこともできるため、そういった事故を防ぐためにも別のストレージがいいと考えています。
Boxは直感的なUIであるため、あまり迷うことなくメンバーも使ってくれているので嬉しいです。
セキュリティ基礎研修の資産化
これまで情報セキュリティの基礎研修は、入社初日に自作のスライドを用いて実施していました。
ですが、1日目のオンボーディング内容としては情報量も多く、セキュリティ研修の内容に限らず「覚えきれていない」ということが多々発生し、困っておりました。
そこで、「情報を分割して提供すること」と「最新情報をプロから学んでもらい価値を感じてもらう」という目的で、2022年の社員教育をセキュリティコンサルタントへ依頼し実施していただきました。
その内容を動画に撮影し、入社して一定期間を過ぎた新入社員にも閲覧してもらって理解度テストを実施するという作戦です。
(この施策についてはセキュリティコンサルタントの了承も得ています)
理解度テストについては、きちんと研修を受けていれば回答できるものの、内職をしていたら回答が少し難しいレベルになっており、ひっかけ問題も混ぜていただきながら作成していただきました。
私自身が研修をするのは吝かではないのですが、やはりプロの視点で作られたものや最新のセキュリティ事情に対応していると言う点においては、お金をかける価値があると感じています。
今後はEラーニングを使ったり、「受ける価値がある研修」を目指していきたいと思います。
備品購入ルールやデバイス在庫管理のルール策定
情シス1年目では、デバイスの配布ポリシーや交換ポリシー、故障時の対応などのフローを策定しました。
そのため2年目ではアップデートさせるべく、購入時のルール、在庫管理する際のルール、貸与品故障時や破損時についてのルールを策定しました。
基本的には、バクラク申請というSaaSを利用してレポートラインの承認をもらうような流れになっています。
決め方は、貸与品一覧と言うものを作成し、そこに単価や「消耗品」か「修理品」かを記載。物によって、故障時と破損時の対応を変えました。
また、Apple製品は、時々供給量が激減したりするので、そんな世情にも耐えられるような購入ルールと在庫管理ルールに設計にしています。
現在しかかり中の施策
ISMS文書改訂
2022年は2回目のISMS継続審査を実施しました。
取得して3年目になるのですが、取得時は「取得することが目的」となっており、実際の運用に耐えられるルールにはなっていないことが多く、メンバーにも無理が生じたり、管理にも無理が生じるような状態になっています。
また、取得時に契約していたコンサルタントには現在支援いただけない状態となっていたこともあり、「実際の運用がきちんとできるもの」へ文章を変えたいという思いがありました。
とはいえ、今年の継続審査を新文書で通すには時間的余裕も全くなかったので、継続審査を通過した時点で別のコンサルタントへ正式な依頼をいたしました。
具体的には、12個あった規定類が3個へ変わり、リスクアセスメントや管理台帳が最小化するなど、カミナシがISMSを継続するために一番最適なものを現在作り上げています。
このnote公開時には新文書のリリースが終わっている予定ですが、具体的な手法や、どのように変わったのかについては、また別のnoteでお伝えできればと思います。
IdP導入準備
これまで、一部の利用中SaaSにおいてはGoogleをIdPとしてSAMLになっていたり、プロビジョニングされるようにしておりましたが、きちんとしたIdPを導入するために現在準備中です。
まずは利用中のSaaSに対し、プランや単価を洗い出すこと、持たせてる情報の重要度を特定してIdPからSAMLさせたいかどうかを整理しています。また、SAMLにするためにはプランを上げなければならないSaaSもありますので、今後の従業員増加に合わせての資産や、そもそもプロビジョニングさせるための前段階として入社後のフローやアカウント管理について見直しをしております。
まとめ
いかがでしたでしょうか?
2022年4月からの約9ヶ月で実施した施策をまとめました。
もし、「もっといいTipsがあるよ」とか「うちではこんなやりかたをしているよ」といういいお話がありましたら、ぜひ教えてください!
これはとあるスタートアップの情シスが行った一例となり、必ずしもこれが正解ではありませんし、半年後には後悔することになる可能性もあります。
また次のnoteでどのように変化したのかを含めお話しできたらな、と思います。
最後まで読んでいただき、ありがとうございました!