Zenn
🖖

近頃やったことと、過去の仕事から学んだことと

2024/12/15に公開
ツール
情シス
教訓
idea

どうもポンコツ情シスkobayayoです。
この記事は【初心者優先枠】corp-engr 情シスSlack(コーポレートエンジニア x 情シス)#2 Advent Calendar 2024のアドベントカレンダー15日目です。

https://adventar.org/calendars/10164

皆さんちゃんと役に立つ記事を書いていらっしゃるので、情シスとしての仕事人生振り返りをしますと書いたものの、それだけだとあまり役に立たないかもと思ったので、ちょっと路線修正して、近頃やったことも何かのヒントになるかと思い紹介しますよ(´・ω・`)

近頃やったこと

1.ワスレナイを使ってみました

いやね、本当はジョーシスいいなあとか言っていたんですよ。去年位は。でも、ボスが諸般の事情で(理由は察してください)予算獲得できなくてですねorz 
とはいえSaaS管理ツールの有用性ってやっぱり試してみないことには始まらないですよね、ということと、子会社がアカウント管理する時のツールとして無償で利用できるので紹介するのもよいかもということで白羽の矢が立ったのがワスレナイでした。実は立ち上げ当初にSHIFTさんから紹介を受けていたのですが、そのころはジョーシスか、Adminaかみたいな感じだったので見送っていました。
で、今年に入ってから利用し始めたのですが、最初のセットアップはちょっと時間がかかりましたが、ある程度情報入れるとアカウントとコストが可視化できるので結構良い感じでした。
ワスレナイの画面
一人情シスで、ツールのコスト捻出できないけれどアカウント情報整理したいよという向きには、基本的な機能はあるので結構良いのではと思いました。
ボスに「無償でこれだけできるんだから、ぜひ有償ツール導入の検討を」と言ったら、ボスが「無償でこれだけできるんだから、ワスレナイで良くない?」って言われちゃいました。当てが外れてショボーン(´・ω・`)
肝心の子会社への紹介は、人数の少ないところだと「スプシで良くない?ちょっと面倒そう」て反応でしたが、人数が100名超えるところは「検討したい」と言ってくれたので、半分は成功です(^^)/

2.S4を使ってみました

SHIFT SECURITYのグループ企業の株式会社クラフさんが提供しているセキュリティ・マネジメント・システム(S4)を使い始めました。実はもう1年以上使っているのですが、主だったサーバやネットワーク機器を登録しておくと、それらの機器に関連する脆弱性を遅滞なく報告してくれる優れものです。リソースを1台1台精緻に脆弱性管理するというのには向きませんが(やってやれないことはないけれどとても面倒くさい)、主なOSとかネットワーク機器をグループとしてとらえて、登録しておくと、脆弱性が最初にパブリックに報告されてから1日以内に情報として上がってくるので、脆弱性の情報収集に時間を割けない一人情シスが脆弱性にアンテナを張るためのツールとしてはとても有用です。報告された脆弱性についてすぐに対処すべきかどうかという判断は 「脅威情報」 を物差しとして使うと判断がしやすくなります。「脅威情報」は注意喚起が出ているものだったり、実際に悪用が報告されているものだったりしますが、脅威情報「高」が付いている脆弱性は即対応、脅威情報「中」が付いている脆弱性は1週間以内に対応みたいなざっくりとしたざっくりとした方針でも立てておけば、マズそうな脆弱性に対しては早期に対応できるようになります。本当は精緻に判断すべきなのでしょうが、人数足りていない事業会社の情シスとしては、ざっくり判断の物差しになるようなツールがあるのはありがたいですよね。
そのようなわけで、弊社では個別に脆弱性を検知するセンサーも入っているのですが、S4も情報収集ツールとしてありがたく使わせてもらっています。Slack連携で今日検知した脅威情報や脆弱性情報を通知させることもできるので、毎日見に行かなくても情報チェックできるのがありがたいですよね。
このS4、シングルユーザだとなんと無料で使えるのです。一人情シスなら使わない手はないですよ(^^)/
S4画面
S4画面 リソース一覧
S4画面 個々のリソース詳細
S4画面 個々のリソース詳細
S4画面 脆弱性一覧
S4画面 脆弱性一覧
S4画面 脅威情報一覧
S4画面 脅威情報一覧
S4画面 脅威情報詳細
S4画面 脅威情報詳細

3.メール検疫強化でProofPointを入れました

M365使っているのでDefender for Office365使っていたのですが、悲しいかなBusiness PremiumについてくるP1ライセンスだと若干迷惑メールフィルタとしては弱くて、月に数件は不審メールの通報がありました。そしてたまに誤検知で大切な商談のやり取りが引っ掛かっていることもあり、1日1度はDefenderの管理画面で隔離されたメールのチェックを行う運用をやっていました。
隔離されたメールの必要有無を判断してもらうのを各人で判断してもらうように変更したいと考えていたのですが、P2ライセンスにしてユーザに判断をゆだねさせるか、ProofPointを使うかの2択でProofPointの方がユーザが判断に使うUIがわかりやすいということと、(判断した当時は)ビジネスメール詐欺もより進んでいるということもあって導入しました。従業員への操作説明会も丁寧に行ったので、説明会で結構質問は出ましたが、導入後はほとんど問題なく使えているようで、不審メールの報告も訓練メール送信時以外はほぼなくなったので、導入してよかったと思っています。
ただ、最近はMicrosoftもビジネスメール詐欺対策強化したよという発表があったので、P2ライセンスならProofPointと比べても遜色ないレベルなのかなとは思います。

4.脆弱性診断ツールAeyeScanを試してみました

最近は脆弱性診断の強化を考えていて、脆弱性診断ツールの情報収集と検証を行っていたのですが、AeyeScanはなかなか出来が良くて、正直驚きました。
操作は結構楽で、脆弱性診断対象の画面の洗い出しも自動でやってくれるし、必要なら手動で画面遷移を指定することもできるのですが、ツールの画面内で簡単に定義できるので、開発者に運用をお願いする必要なく自分たちで操作できるのが良いですね。
AeyeScan
AeyeScan
直近で業者に診断をお願いした結果とも突き合わせてみたのですが、指摘された脆弱性で未対応のものはしっかりと指摘があり、検知できていなかった(もしくは診断後に新たに作りこまれた)脆弱性の指摘もあり、なかなか優秀です。主導診断の場合、予算との兼ね合いで診断対象を絞るということもやっていたのですが、ツールでの診断だとそのような制約もないのが良いですね(^^)/
WordPressで作った簡易なサイトなら2時間くらいで診断してくれます。複雑なサイトですと数日診断にかかりますが、手動診断でも1か月とかかかることを思えば、十分時短になります。
導入に向けての稟請はこれからなのですが、診断対象の拡大と頻度向上にも繋がると思うので頑張ってアピールしたいと思っています。

過去の仕事を振り返って学んだこと

過去の失敗談から教訓みたいなのを導き出せればと思ってたのですが、たんにポンコツぶりが露呈するだけな気がしたのでこちらは軽く語ります(´・ω・`)
暇なら読んでください。

1人情シスは自分で仕事を抱え込まないようにしましょう

2000年(もうほぼ四半世紀前ですね)に地方のSIerからWebサイトのデザイン・構築をやっている会社に転職しまして、当初は和気あいあいとやっていました。「温泉で卓球やりたい」と言い出した子がいて、金曜日の業後にアルバイトから社長まで巻き込んで、快速アクティーで皆で熱海まで行って忘年会やるような会社でした。当時は携帯のiモードから始まった携帯サイト向けのビジネスが拡大期を迎えていて、自社サービスとして携帯向け情報配信サービスを立ち上げつつ、Webサイトのデザインや受託開発も請け負うといったことをやっていました。当初はインフラ及び開発メンバーだったのですが、いろいろとありまして(詳細は割愛)、いつの間にかインフラ及び開発のトップみたいな立場になっていました(´・ω・`)
役員からはITOとか呼ばれていましたな。CIO兼CTOみたいな感じですが、立場は従業員(少数株主でしたが)なのでCはつかないのでした(´・ω・`)受託開発部門の責任者を任されました。ついでに拡大しつつある自社サービスのインフラや社内のシステムの責任者も兼任で…orz
そんなわけで、今思えば謎の責任感から「重い仕事は自分が引き受けて、部下には得意分野で頑張ってもらおう」とか思っちゃったんですよね。当然のように空回りして、受託開発の事業はなかなか思うようには拡大しないのでした。(いろいろあって)最後には限界に達して入院する羽目になったのですが、部下が見舞いに来たのかと思ったら指示を仰ぎに来たんですよね(´・ω・`)これは参りました。重いところを引き受けてて、共有ができていなかったので、部下からするとフォローしたいけれど何したら良いかわからないという状態になっていたのでした。
自分で抱えたままになってブラックボックスにならないよう、適宜資料に残して共有できるようにしておくということと、自分でやるよりもむしろ部下に仕事を任せて仕事の管理をするのが組織としては正しいのだなと学んだ出来事だったのでした。

そんなこんなで、様々なことを学ばせてもらった会社でしたが、資本関係が変わって、新たにやってきた専務との折り合いが悪くなったことから(詳細は割愛)、転職することになりました。
転職した会社も、インフラエンジニアとして入ったのですが、前の会社と同じく社内のシステムを見る人がいなくて、インフラの責任者をやりつつ情シス的なこともやるようになりました(´・ω・`)
この会社は事業が急拡大している時期でしたので、メンバーを拡充しつつ仕事を割り振り、様々なものを管理できるような状態にすることを心掛けました。
入る前はインフラは業者に丸投げ、情シス的なことは親会社から出向していた総務の人がやっていた状態から4年間でインフラと情シス業務を担うメンバーが10名(内、正社員は5名)にまで成長して、これからというところで、「こいつを抜いても業務回るんじゃね?」と思われたのか\(^o^)/新たに立ち上げた子会社に情シスポジションの人が欲しいということで出向することになり、また0→1で業務を立ち上げることになったのでした。トホホ(;^ω^)

まあ、マトモな社内教育制度がある会社なら管理職研修で学ぶことを、遠回りして学びましたよ、と(´・ω・`)研修大事。

読んでいただきありがとうございました<(_ _)>

Discussion