ひとり情シスが着任後、最初に行うべきこと
はじめに
ひとり情シスとして着任してから、まず何をすべきなのか。こちらの記事でも記載させていただきましたが、ベンチャー企業のひとり情シスとして着任した場合には
”自社のメンバーからは情報システムに関連づけられるすべての事項を情シスの守備範囲として認識されることが多く、PCやサービスアカウントの使い方から管理に始まり、コーポレートサイトの運営や複合機のメンテナンス、配線やケーブル類の手配までを実施”
することが想定されます。
自社のメンバーにとっては、「専門家」の登場ということで、これまで誰かに聞きたくても聞けなかったIT関連のお問い合わせも多く受けることになります。それらの差し込みタスクにも対応し、メンバーからの信頼を得ることと共に、情シスとして自社の情報セキュリティ環境を向上させていくためには何を実施していくべきか。私が実際に行った業務とその手順をお伝えさせていただきます。
これからスタートアップやベンチャー企業の情シスとして活躍される方やその目標がある方への参考になれば幸甚です。
兼任情シスからの引き継ぎ
それでは着任してから、実際に行った業務をお伝えしていきます。
まずは、これまで他の業務と兼任で情シス業務を行っていただいていた方からの業務の引き継ぎです。
・PCキッティング
・アカウント作成、管理
・備品管理
これらを兼任情シスの方が行っていただいていた状況でした。その作業を滞りなく行えるようにすることを最優先とします。情シスとして、ひいては新メンバーとして既存のやり方に手を加えたい気持ちはグッと抑え、今後の業務改善のネタとして持っておくことにします。
例)端末管理台帳がスプレッドシートで行われており、情報が古かったり必要と思わしき項目がなかったり、情報がどこにも連携されていない。など
これまで兼任で情シス業務を行っていただいていたことへの敬意を忘れずに、まずは既存のやり方を1から10までキチンとこなせるようになることが、当然のことですが信頼獲得の第一歩だと考えます。
現状把握(カオスマップの作成)
次に手をつけることが、現状のIT構成の把握です。情シスとしては、担当する主要サービス以外にも社内全体のIT構成がどのようになっているのかを把握しておく必要があります。そのため、社内のメンバーにヒヤリングを実施しカオスマップを作成していきました。作成の際は吉田航さんの社内ツールカオスマップを作ろうを大いに参考にさせていただきました!
社内には誰が主となって管理しているのかわからないが、メンバーが利用されているツールが多く存在します。様々な社内メンバーに積極的に声をかけ、情報収集をすることで他部署のメンバーと話す機会を作成できることになります。そうすることで、だんだんと社内の様子がわかるようになりますし、自分のこともメンバーに知ってもらえることになります。
この過程においては同時に、ITに詳しいメンバーとそうではないメンバーも同時に把握しておきます。大体のメンバーとIT分野についての会話することで、全社のITリテラシーがどれくらい高いのかも推し量ることができるとも考えています。他部署のメンバーと話すことは非常に重要だと考えていて、今後新しいツールの導入や運用変更を行う際に検証を手伝ってくれる仲間(私は愛を込めて”人柱”と呼んでいます)を作っておくと、今後の業務がスムーズにいきます。会社の人と仲良くする。 これが、多くのステークホルダーを抱える業務が多い情シスポジションでは大切なことだと考えています。
実際に作ったのがこのようなものです。※あくまでもサンプルです
企業によってIT構成は大きく異なります。弊社の場合は一拠点のみ+フルクラウド環境であるため基本的には使用しているSaaSをジャンルごとにプロットしていくことで作成が完了しました。
これで自社のIT構成が視覚的に判断できるようになります。この資料があれば上層部や外部ベンダーに対して、社内でツールの入れ替えや導入において課題や連携を説明するとき、自社の課題や状況を説明するのに非常に役立ちます。
目指すべき姿の作成
現状の把握(As-Is)ができたので、本来あるべき姿(To-Be)を描いていきます。
ここでは
・重複しているような≒運用を統一できるようなサービスがないか
・コストの最適化
・システム間連携ができているか
などを確認して、あるべき姿に記載していきます。
※こちらもあくまで当時記載したものを加工したサンプルです。
- 兼任情シス担当者の方からの業務をしっかりと引き継ぐ
(そこで今後の業務改善のネタを探しておく) - 自社のIT構成の現状把握としてカオスマップを作成する
- 本来あるべき姿を考察し、2.で作成したカオスマップを更新する
ここまでが最低限「ひとり情シスが着任後、最初に行うべきこと」だと考えています。
SaaS管理ツールの導入
ここからはその少し先、まず最初に私が導入したシステムについて触れたいと思います。
情シスのお姉さんも仰っていましたが、私もゼロトラストアーキテクチャの構築を実装したいという目論見があり、そのためにはまず、IdPの導入が喫緊と考えておりました。
これまでの経歴でMicrosoft Entra ID(旧称AzureAD)を多少操作していたことはありました。
そこではActive Directory(AD)を基軸としユーザーの認証・認可を行っており、そのADと連携を行うことでADの管理を行うだけでクラウドサービスへのアクセス管理も行う。といったような構成でした。
弊社の多くはMacユーザーであり、Google Workspaceを基軸としています。また先に申し上げました通り、フルクラウド環境のためオンプレミス環境での運用は考慮する必要がありません。さらには、先のMDMとの連携を考慮するとMac製品と互換性の良いJamf Proを導入したほうがよいと考えていました。かしこまったUIが得意ではなかったのは個人の意見として、Windows+Microsoft Entra ID+Intuneの王道構成をイメージすることができず、Microsoft Entra IDを利用する恩恵はあまり受けられないのでは?と感じました。
では、「残るIdPといえばOktaでしょ!」「情シスやっているなら一度はOkta使ってみたい!」と半自動的にOktaの導入考えていました。しかしながら、OktaはIdPの中でも高価であり着任して間もない私がいきなり高額の稟議を通す力もないか…と感じていました。
IdPの主な役割を簡潔に記すと”ユーザーが複数のSaaSに対して一度のログインで安全にアクセスできるようにする”ということです。
ではその複数SaaSというのは具体的に
「何を」「どんなプランで」「誰が・どのくらい利用している」サービスなのか。
これを明確に管理できていないと、IdPの導入の費用対効果も算出できません。
カオスマップの作成で驚いたのは、これまでの経歴とは異なり社内で「めちゃくちゃSaaS使ってるやん!」ということでした。次の日には新しいサービスの利用が始まっていることも少なくないため、これは管理管轄しきれない…退職者のアカウント削除に抜け漏れが発生してしまう…と思いました。(これは結構ベンチャーあるあるなのではないでしょうか)
・IdP(Okta)を導入したいが、システム導入実績がない人間がいきなり高額稟議を通すことに懸念がある
・IdPを入れるにしても現時点での利用SaaSを管理しきれておらず、アカウントの削除漏れなどのリスクが存在する
・端末管理台帳は存在するが、スプレッドシートで行われており情報が単独で存在し、連携がされてない
上記を鑑みて、私が行ったのがSaaS管理ツールの導入でした。
狙いとしては、「誰が」「どの端末で」「どのサービス」を利用しているのかを一元管理することです。
そのために、下記の要件を設定しました。
- カオスマップの解像度をさらにあげる(ヒヤリングだけでは回収しきれなかった利用サービス一覧を機械的に収集する)
- アカウントの作成・削除においての抜け漏れを抑制する
- アカウントに紐づく形式で端末管理もSaaSで行うようにする
もちろん、今後間違いなく発生するシャドーITを検知できるようにするために、シャドーIT検知機能も付帯していることも要件に入れておきました。
その上でいくつかのサービスを比較検討し、結果としてジョーシスというサービスを利用させていただくことにしました。
このサービス導入により、SaaSとデバイスの一元管理を行うことが可能となり、SaaSの利用状況を可視化できるようになり、シャドーIT検知やアカウントの削除漏れ防止によるセキュリティ強化を行うことができました。
利用しているSaaSを網羅的に把握した結果として、IdP(Okta)導入の足掛かりになったと感じております。
さいごに
私の環境はベンチャー企業であり、フルクラウド環境であったためにSaaSの運用に重きをおいての現状把握とシステム導入になりました。ただ、ひとり情シスとして業務を始めるにあたっては社内のメンバーと積極的にコミュニケーションして仲良くすることや、As-Is/To-Beの作成はどの環境下においても必須で必要なことだと考えております。
新たに社内でひとり情シスとしてアサインされた方、新天地でひとり情シスとしてチャレンジしようとしている方などの参考になれば幸甚です!
今後は本記事で何度も取り上げたIdPの導入に関しても投稿していこうと考えておりますので、引き続きよろしくお願いします!
Discussion