share facebook facebook2 twitter menu hatena pocket slack

2016.03.07 MON

情シスは攻めろ、いや、正しくはこうだ、守ったら死ぬ

WRITTEN BY齊藤 愼仁

kingasinnen001

シンジです。あけまして、今年もよろしく、すだちくん。2016年1発目の記事は、「情報システム部」のお話です。ひとり情シスなんて呼ばれる方も多く存在しますし、そもそも情シスなんて定義が無く、「パソコンに詳しい人」がそれとなくこなしているケースも多々あったり。実はcloudpackには情シスがありませんでした。でも今はあるんです。なぜなのか。その背景と経験のお話です。

情シスとはなんなのか

企業の組織の一部で、IT管理の根冠を担うとかなんとか。そんな偉そうなもんじゃ無いんですけどね。しかし請け負う範囲は広くて、やれシステム開発だ、やれセキュリティだ、やれIT革命を起こせだとわけの分からん注文が振ってくるところもあるかもしれません。もとより情シスとは、会社の既にあるIT資産を「持続」させることに重きを置かれることが多いような気がします。

そもそも情シスいらねーんじゃねーの説

エンジニアが多数を占めるIT企業の特にベンチャーは、わざわざ情シスなんて設けなくても、各個人がそれとなくそれなりにこなしてしまうので、成り立ってしまうでしょう。cloudpackの昔の姿がこれでした。そして規模が大きくなるにつれて問題が見えてくるのです。あの管理者は誰、この機器は誰が設定した、資料は誰が書いた、ところでLANケーブル余ってる?<誰に聞けばいい

攻めのITとか守りのITっていうのは嫌いです

というか、ITに攻めも守りも無いでしょう。エンドやカスタマーにサービスを提供する、提供し続けるのが目的なんであって、IT自体を主軸に置くのはどうかと思いました。攻めるのは人です。

シンジは普通の情シスを作った

情報には統制が必要です。組織にも統制が必要です。管理者が誰なのかはっきりさせることは、セキュリティという意味でも高い効果が得られます。分散化された管理者権限を剥奪しまくって、業務効率を落としたこともありました。例えばBacklogという課題管理ツールなSaaSの管理者権限、棚卸しが大変なんです。でも管理者権限が無いと出来ない事が多くて、沢山の人が権限を持っていた時期がありました。

そこでCTO鈴木が取った行動

CTO鈴木「あれやばくね?」
シンジ「やべーすね」
CTO鈴木「んじゃ剥奪で」
シンジ「あ、はいw」

さすがにこの時、シンジにこの行動力、発言力はありません。というか、その頃のシンジが、「じゃあ皆さん、権限剥奪しますねーセキュリティ的にアレなんでー」なんて言ったら、「落ちた業務効率なんとかしてくれんの?あ?」と刺されていること間違い無しです。そう、変化に伴う一時的・慢性的犠牲に業務効率があります。この時シンジは学んだのです。業務効率重視で売り上げを上げまくってきたcloudpackに、効率を落とす行為を見せたら刺されると。

情シス作ったらセキュリティやることになった

そりゃそうです。情報の全てが集まってきますから、どうやって統制を取るか、守るか考えます。ところがこのセキュリティというやつが厄介で、なにがしかの制限をかけてやるといい感じになることが多いのですが、これやると効率厨が発狂します。この時シンジは学んだのです。効率を落とさずにシステム変更をかけていく大事さを。

ならば上げてやろう、効率とやらを

一時的に落ち込んだとしても、なんやかんやで「慣れる」ものです。cloudpackで分かりやすい事例はSlackでした。これほど時間をかけたSaaS導入はあっただろうか。しかもやたら金かかる。Slackとはチャットツールなのですが、たかがチャットツール、されどチャットツール。なぜSlackを買おうと思ったか、

  • 業務効率が上がると確信したから
  • 今後増えるであろう人数でコミュニケーション取れると思ったから(当時25人程度、今100人超)
  • セキュリティ的に担保出来る部分が多いから

ただそれだけ、では無いのですが、

  • SkypeとかFacebookとかLINEとかもう訳分からん
  • そこから情報資産漏れても誰も何も言えない、ってかどっから漏れたか分からん

まぁいろいろありまして、この辺は会社さんによって事情は違いますよね。で、実際買おうと思ってもハードルがいっぱいあるんです。

  • タダで使えるチャットツールがあるのに金払う意味が分からない
  • 英語のインターフェースしかないとか、ここ日本ですけど
  • 使い方難しいとか既読つかないとかスタンプ無いとか細かいのもろもろ

そこでシンジは思ったのです。それでも俺の確信は揺るがんと。結果大成功。

Slackで確信した、変化は大事というか、追従した感じ

cloudpackの1ヶ月は、普通の会社の3ヶ月というのを多くの社員が体感して口にしているのですが、経営陣の方針転換も早いので、社内は目まぐるしく変化しています。ところが情シスが扱ってる物はそんなにポコポコと入れ替えられる訳では無いので、改修を続けながら変化に追いつくように追いつくようにとしてたわけです。

で、わかったこと、情シス側から会社を変える

幸いにもシンジは経営陣と多くのコミュニケーションを取れる位置にいつつも、現場とも沢山会話出来るナイスなポジションにいます。これが一番良かったのかもしれませんが、SOC2やらいろんなセキュリティ監査も沢山やって、ある程度先手を打てるようになりました。

短期間でシンジがぶっこんだシステムこれ

  • Office 365 E3
  • Arcstar Smart PBX
  • Ping Federate
  • BrowserStack
  • Code42 Crash Plan
  • DucuSign
  • Box
  • Slack
  • PagerDuty
  • Datadog Enterprise
  • GitHub Enterprise
  • CircleCI Enterprise
  • Splunk Enterprise
  • LogStorage
  • Pulse Secure
  • Dispatcher Phoenix
  • Zendesk
  • MaLion 4
  • NSW MDM
  • ウィルスバスタービジネスセキュリティーサービス
  • プライベートCA Gléas(Gleas)

シンジが入社する前から使っているものもあるので、例えばGoogle AppsだとかCacooだとかSalesforceだとか、それらも入れると管理対象としてはもっとあるのですが、何はともあれ検討するときに大事にしているのが、

  • シンジが面白いと思うか(主観的に見ないと情熱を伝えられない)
  • SAML SSOに対応してるか(対応してないときは運用でカバーできるか)
  • あわよくばローカル環境で展開出来るか(情報資産を外部サーバーに置かない方がシンジが楽できる、監査的に)

現場の意見は後回し。経営陣の意見は更に後回し。イケてるツールをどんどんぶち込んで、ついてこいやぐらいの勢いで展開して、イマイチだったらポイーごめんちょーするっていうー。たまに聞くのが、こんだけサービス使ってあっちこっち情報分散して、むしろセキュリティ的にひどいんじゃないかっていう声?ノンノンノン、分かってないですねー、この程度で情報統制が取れないようじゃSOC2は取れないです。きちんと統制が取れるかどうか、しっかりチェック、運用テストしてから導入ですよ。それを速いサイクルで回してるだけです。

もちろん、既存の自社アプリ改修とかやりますよ

LANケーブル配ったりもしますよ?でもそれは日常的な事であって、まあ、普通にやったらいいんです。適当です。新しい仕組みをねじ込む大変さ、これがたまらん。というか成長し続ける会社に必要なのは、人もそうですが、人はなかなか集まらないし育つのも時間かかるので、生産性を上げるしか無いんです。セキュリティの為にやることと、生産性を上げること、相反しているかもしれませんが、それをやるのが情シスの腕の見せ所です。

ベンダーコントロールして、ドヤ顔してる人いるけど

情シスの仕事ではあるけど、んなもん適当でいいんです。Cisco買うならあそこ最高とか、保守はあそこが最高とか、いろいろありますけど、それは仕事で覚えていくというよりかは、億単位でアホほど買ってる会社の情シスから教えて貰った方が早いです。シンジはいろんなコミュニティーで自社の話しをこのブログのようにぶっちゃけるとこで、いろいろ教えて貰うことが出来ました。自社のシステムを話すのは危ないのではと言われたことがありますが、公開できない程度のシステムを抱えてる方がよっぽど恐ろしいと思いますよ。透明性こそ最高のセキュリティ。

今居る情シスがクソなら辞めたらいい

別に必至になって会社を変える必要なんて無いですよ。変わりたくない会社なら、別にいいんじゃないですか、好きにしておけばいいと思います。あーしたいこうしたいクラウドクラウドと思ってる優秀なあなた、さっさと転職です。今や中小だけでなく大手も攻めてる会社は沢山あります。JAWS情シス支部なんていうコミュニティーも出来てますから、どんどん参加して横の繋がり作ったらいいと思います。なんならシンジがいろいろ紹介します。

会社は変わってないように見えても、世の中は変わってる

だから気づいて無いだけで、世の中の影響を受けて会社も変わってるんです。これまでのものを守ってるだけだと、変化に気づかず追いつかず、もう間に合わず。既に数千万とか数億とかいう固定資産で運用しなきゃいけないとか、事情はあるかもしれません。でもシンジには関係の無い話です。なぜならcloudpackの情シスで管理する固定資産、ほぼゼロです。楽です。だから柔軟性のあるシステムが提供出来る、時代とニーズの変化に常に先回りして対応していく心構えが出来る。

やっぱ時代はクラウドだなっつってw

情シスにとって今は最高の時代かもしれません。
2016年、今年もいくぜー
すだちくん〜ほにょにょーん
(TOP絵は、iPad ProとApple pencilで書道師範な酒井さんに書いて貰いました)

元記事はこちら

情シスは攻めろ、いや、正しくはこうだ、守ったら死ぬ

齊藤 愼仁

cloudpack 社内インフラ担当、情報セキュリティ責任者。HPCを経て現職に至る。無類の猫好きで、すだち君という名の猫を飼っている。