ひよっ子1人目情シスが転職して9ヶ月でやったこと
年末なので、2022年3月に転職してからやってきたことをまとめます。
ひよっ子1人目情シスの2022年の備忘録です。
情シス業は、2021年の9月くらいから前職で始まりましたが、当時は社外ステークホルダとの関係でやるべきことが降ってきた環境だったので、情シスとして自分で戦略から実行までを担当したのは、現職が初めてです。
情シス経験は1年5ヶ月くらいなので、2023年もたくさん壁にぶち当たるだろう…..
情報セキュリティー
情報資産管理
情報資産の棚卸し
60名ほどのスタートアップ、私が一人目情シスだったこともあり、社内で使用しているツールと扱っている情報が散らばりまくっている状態でした。
情報漏洩対策云々の前に、まずは情報資産をまとめました。
まとめる際には、取り扱っている情報と認証方法も一緒にまとめました。
具体的にやったことは以下です。
1.社内ツールカオスマップ作成(miroにまとめました)
2.ツールごとの取り扱い情報と認証方法リスト作成(スプシにまとめました)
※取り扱い情報区分:
ユーザーの個人情報・従業員情報・インサイダー情報・社内データ・その他
※認証方法区分:
SSO・SNS認証・固定ID/PASS + 2FA・固定ID/PASSのみ
対策が必要なツール優先度をつける
会社として、守るべき情報と優先度を定義し、優先度の高い情報を持っているツールから対策が必要か検討します。
多くの会社では、ユーザーの個人情報が守るべき優先度の高い情報になると思います。
クラウドネイティブな環境ですと、一般的に以下のようなツールにユーザーの個人情報が入っていると思います。
現職では、社内ツールでユーザーの個人情報が入ってるツールを優先度高としました。
Slack、Salesforce、GWS、Microsoft、Zendesk、その他CRM、コンテンツ管理、社内管理システムなど
認証方法の優先度をつける
情報セキュリティ強化として、まず抑えるのは認証周りです。
不正ログインが発端のインシデントが大部分を占める世の中なので、まず取り掛かります。
まず、設定する認証方法の優先順位を会社として決めていきます。
現職では以下の優先順位で設定していくことに決めました。
(固定ID/PASSは避けたい)
1. SSO
2.GoogleでのSNS認証(Googleの認証周りの対策を講じた上)
3.固定ID/PASS + 2FA
4.固定ID/PASS
IdPがすでに入っていれば、SSOに寄せていくが正しいと思いますが、まだ導入できていない会社さんも多いと思います。(現職もその1つ)
なので、現職では、2の「GoogleでのSNS認証」になるべく寄せていく形にしました。
対策優先度が高いツールの認証方法から見直す
あとは、ひたすらに対策優先度が高いツールと認証方法を確認して、今できる最善の認証方法を設定します。
例えば、Googleの2FAが全員設定されていなかったら、まずは2FAの設定を全社に依頼し、管理画面から強制ポリシーを当てます。
パスワード管理スプシ廃止
創業から秘伝のタレのように運用されていたパスワード管理スプシを廃止し、1passwordに移行しました。
実は入社前から、開発チーム中心に導入していたのですが、ビジネス側への浸透や運用ができていないケースが散見されていました。
やったことは以下です。
・パスワード管理スプシをダウンロードできない設定に変更
・全社会で1ヶ月以内に削除しますとアナウンス
・1passwordの講習会を事業部ごとに実施
・あとは、口酸っぱく1password使ってねと言い続ける
講習会や口酸っぱく言い続けるのは、割と大変ですが、泥臭く手足を動かすのが一番効果的です。
共有アカウントの撲滅(が、まだ生きているやつもある)
プランの見直しや業務フローを見直し、共有アカウントを撲滅していきました。2023年には全て滅ぼします。
共有アカウントが悪な理由はこちら記事が分かりやすいです。
セキュリティ研修の実施
詳しくはこちら。
セキュリティ規程、ルールの作成
IPAからテンプレを持ってきても、社内の実態とそぐわないケースやスタートアップとは合わないケースが多いので、テンプレを参考に実態と合わせていく(必要であれば実態の運用フローを変える)が適切だと思います。
あと、規程類は皆さんあまり読まないので、もう少しカジュアルな形でセキュリティルールを作成しました。(esaやNotionに記載して、気軽に読めるようにしました)
※規程の内容と紐付けてください。
現職だと、この情報はslackのオープンチャネルでも良い?、Googleの閲覧は権限は絞った方が良い?などの質問が時々来ていたので、セキュリティルールに明記しました。
その他
・サイバー攻撃対策ツール導入のPjM的な役割
・コンテンツ共有時のフリーソフト使用撲滅
・ヘルプデスク、キッティングなどの定常業務
コーポレートエンジニアリング
業務効率化
Gas、Zapier、slackをいい感じに組み合わせて、業務改善ツールを作っていました。情シスが直接トップラインを上げることはできないですが、各事業のメンバーが月に数時間かかっているのを5分とかにはできるので、slackのtimesチャネルや会話の中で「あの業務面倒だな〜」的なぼやきがあれば、積極的にツッコミにいきます。
クエリ
コーポレート業務の中では、度々BIツール叩かないと取れないデータの提出を求められるので、ちょいちょいとクエリ書いていました。(元々エンジニアで良かった)
Athenaデビューすることもできました。
SAML認証の導入
冒頭の情報資産管理とも関わるのですが、どうしてもSAMLじゃないと認証周りの対策ができないツールがあったので、GoogleをIdPとして会社で初めてSAML認証を導入しました。
アカウント管理も楽になるので、今後も積極的に使っていきたいところ。(ツールによっては、SAML使うのにプラン上げる必要があるのが痛い…)
PC調達と交換ルール制定
PC調達のフローが決まっておらず、法人割引も利かない形で購入していたので、OSごとに調達フローを決め、原則法人契約を締結し、調達することで20%ほどPCの調達コストを圧縮できました。
また、PC交換のルールがなく、交換希望に都度対応となっていました。
開発チームに意見をもらいながら、交換条件と職種ごとにPC/スペックを定めました。
社内ネットワーク対応
出社が増えたことが影響してか、WindowsPCを中心に「ネットに繋がない..」と声が上がっていたので、対応しました。
ネットワークについては初心者of初心者なので、社内のインフラエンジニアさんに色々と教えていただきました。
具体的にやったことは以下です。
・ファームウェアのアップデート
・チャンネル幅の変更
・ ベーシックレートの変更(24Mbps未満をサポート外)
・5G㎐用SSIDから2.4G㎐を遮断
・その他細々した設定
まとめ
情報資産管理に時間の大部分を使ってしまった印象ですが、まずはそこからなので必要な時間だったと思っています。
対策優先度は高いけれど、対応できていないツールや、業務改善に着手できないこともまだまだあります。
バックログに積んで、そのまま過去の産物にならないように2023年は消化スピードを上げていきたいですね。
みなさま良いお年を🍻