1人目の情シスがカオスな中でやったこと
こんにちは!
カミナシの情シス1年生、コーポレートIT担当をしてる小林です。
2021年も終わりに近づいてきましたが、今日はカミナシがコーポレートITを立ち上げて初のnoteを書いてみたいと思います。
カミナシはシリーズAの調達を3月に実施し、現在は正社員35名程度、デスクレスSaaSを提供しているスタートアップです。
この記事は、同じくらいのフェーズの企業や、これからシリーズAを迎える企業、今後コーポレートITを立ち上げようとしている人たちに届くといいなと思っています。
実は、わたしは今年の3月までカスタマーサクセスを担当しておりましたが、ネットワークエンジニアとして働いていたバックグラウンドもあり、4月からコーポレートチームへ異動して情シスを担当することになりました。そのタイミングで時短からフルタイムへ変わり、わたし自身の仕事にかけられる時間も増えたこともあって、この半年間は奮闘しながらも濃い時間を過ごせたような気がします。
昨年の5月からISMSの導入を担当し、こんなnoteを書いたのですが、
今日は兼任情シスが半専任情シスになって、この半年間に何をやったのかをお披露目したいと思います。
before〜2021年3月まで
この頃の状況を一言で言うと、カオスでした(笑)
エンジニアチームがサービス側のセキュリティを固めている一方で、社内の方はISMSを取得したとは言え、まだまだルールが未整備な部分が多くありました。
コーポレートITとして、やりたいことや理想の未来像はあってもコーポレートチームがそれぞれ複数のファンクションを兼務していることもあり日々の業務に追われる日々……。
私自身も総務や労務を兼務していたので、なかなか手が付けられていない状況が続いていました。
しかし、プロダクトもローンチしてからしばらく経ち、10億円の資金調達も完了したことで組織は急成長フェーズに入り、毎月正社員が1人、多ければ2人入社してくるような状態でした。
一体どんな状況だったかというと…
・決裁規定が整備しきれておらず、PCの調達は社長が担当している
・入社手続き時のタスクが未整備のため、PCの調達が入社に間に合わないこともある
・誰にどんなスペックのPCを貸与しているかが管理されていない
・PC購入時のスペックについてのポリシーが決まっていない
・PCの買い替えポリシーが決まっていない
・GoogleのSSOを使えるサービスでもSSOを使っていないケースがある
・各種サービスやツールの決済方法がバラバラになっている
・決裁規定がないため各種サービスやツールの契約は各チームの裁量で契約できてしまう
・コーポレート側が管理者権限を持っていないサービスがある
・社員名簿が整備されておらず、アカウント払いだし状況がリアルタイムで追えない状況になっている
・必要に応じてアカウント付与しているため権限付与のポリシーが整理できていない
・社用携帯は使用用途に合わせてスペックが選択できておらず、とにかく価格重視で選択
・PCのセットアップは個人に委ねている
正直、どこから手をつけたらいいのか分かりませんでした。
大企業の場合は適切にコントロールされたPCで、WEBサイトへのアクセスや私用携帯からの利用が制限されていることが多いかと思います。しかし、カミナシは立ち上がったばかりのスタートアップ。
何もルールがないところから、全てを整備する必要がありました。
私自身もコーポレートIT 1年生だったので経験もなくどこから手を付けていいかもわからないし、セキュリティを厳しくすることに反発もあるのではないか…など、少し不安になっていました。
しかし、元々いるメンバーや新しく入社するメンバーは、スタートアップ出身も多くITに慣れていて、かつセキュリティへのリテラシーが高かったこともあり、ルール整備について前向きだったことが私にとって救いでした。
このような何から手をつけて行くべきか…と悩んでいた状況だったのですが、現在コーポレートチームのマネージャーを務めるミクパこと野崎が入社したことがキッカケで大きく前進しました。
まず、経理と連携して各種サービスの支払いに関するルールや決裁規定の整備から始まりました。
請求に関するルールや決裁規定が整備されたことで、業務で利用するPCやiPadなどの決済対応がコーポレート側に任されるようになりました。
それに加えて、ルール整備と一緒に各種サービスの支払いをコーポレートカードに一元化したことで各種サービスの利用状況が把握できるようになり、アカウント管理についてもコーポレート側で全体像の把握ができるようになりました。
諸々のルール整備が前進している中で、1ヶ月あたりの入社の人数がどんどん増えてきたので、課題の中で何から始めたら業務が効率化されるかと言う視点考えだすことが出来るようになりました。
数ヶ月前までは何から手を付けたらいいかわからなかった私にとって考え方の転換が起きたように思います。
やったこと
前述したことに加えて、やったことは大きく分けると以下の3つです。
1. 使っていないサービス・ツールを整理し、以降はコーポレート側でアカウントを管理
2. 各種ポリシーやルールの策定
3. PCの購入ルートをApple直販で且つDEP端末に限定し、MDMとしてJamf Proを導入
1. コーポレート側での各種サービスの管理と支払い
カミナシでは現在、Handii社が提供するpaildという法人クレジットカードのサービスを導入していて、これを使って各種サービスやツールの支払い管理を行なっています。
これまで契約者や支払う法人カードがバラバラだったものを、利用目的によって支払うカードを分別して財務上も分かりやすく変更しました。
具体的には、チームや個人ごとにpaildカードを発行し、例えばエンジニアチームが主体となって使うサービスはエンジニアチーム用のpaildカードで契約・支払い、個人が利用するOffice365等のサービスは個人用のpaildカードで契約・支払いといった具合です。(現在Office365は、ビジネス版の契約をして、ライセンス付与に変わりました)
そうすることによって、各チームがどれだけサービスを利用しているか、どんな有償サービスを使っているのかも把握しやすくなりました。
また、法人カードの明細では誰が使っているかまで詳細が出ないものも、個人用のpaildカードを発行してそれで契約・支払いをしてもらうことで把握しやすくなりました。
それに加えて、ほとんど利用されていなかった&管理者権限を持っていなかったサービスに関しても整理して、以降はコーポレート側が管理することにしました。サービスを整理したことで、アカウントの削減にも繋がり財務的にも貢献できたかと思います。
2.各種ポリシーやルールの策定
これまでPCの選定ポリシー、買い替えタイミングのポリシー、各種サービスのアカウント権限を誰まで持たせるのか(雇用形態によって分けるのか)、SlackやNotionへの招待はどうするのか…など、様々なルールが整備されていませんでした。
まずは、これらをNotionを使って整理しました。
洗い出された課題
・各職種における必要なPCスペックと買い替えタイミングがなく、申し出ベースになっている。
・各種アカウントの権限設定のルールがないのでほぼ全員に付与されている。
・入社時に発行するアカウントや、入社後に業務内容に応じてアカウントを発行したい場合はどこで誰に依頼すれば良いのかが分からない。
・業務に必要な物品がある場合は、どこで申請して、誰が買ってくれるのかが分からない。
・業務委託でメンバーが入る場合は、どのタイミングでアカウントが払い出されるのか、その連携方法が分からない。
↓
策定されたルール
・PCのスペックの選定ポリシーと買い替えタイミングのポリシー
・各種アカウントの権限規定(等級制度と整合)
・正社員、業務委託のアカウント払い出しのルール及びその連携方法
・必要物品の申請方法、購入ルール
<実際のルール例>
前述したルールは、入社や退職が絡んでくることが多いので、ルールの整備には人事担当のレイチェルこと井上が入社してから、たくさん協力してくれました。
コーポレートメンバーがこういったルール整備に協力的で、コーポレート業務の最適化が進んだと思います。
3.Jamf Proの導入
paildの導入からしばらくは、Appleの法人担当へメールで連絡し、見積もりもらってカード決済にて端末を購入していました。メール送信後20分程度で見積もりの返答があり、自分の手が空いていれば1〜2時間程度で購入することができたため、非常に便利でした。
しかし、そこで入手できる端末がDEP非端末だったためMDM導入に向かないと判断し、法人担当の方から店舗の法人窓口を紹介していただいたのもあり、そこを通しての購入へ変更しました。
この場合はDEP端末が手に入るのとともに、オンラインストア経由で買えるので、普通のApple Storeと同じように操作が可能です。また、直販なので、カスタム品もリセラーを通すより納期が早いというメリットがあります。
(ただし、AppleCare以外の保証や保険が効かない&デザイナー用などのPCは高額になり減価償却資産になってくるため、買い切りでパソコンを資産として持つのか、リースにするのかは会社によっても考え方が変わりますし、経理・財務担当と要相談だなと感じています。)
DEP端末の調達ができるようになるのとほぼ同時に、MDMとしてJamf Proを導入しました。
なぜJamf Proなのかという点に関しては、色々な人がアウトプットされているのでここでは割愛させていただきますが、個人的に何が良かったかを簡単に言うと、端末管理というメイン機能のほかに、ゼロタッチデプロイが出来ることによって新入社員の入社時のキッティングコストが大幅に削減できることが大きいことが一番でした。
あとは、餅は餅屋というのも大きく、Windows端末が極端に少ないカミナシは、WindowsとMacがどちらも管理できる製品は最初から対象外として考えていたため、このような選択になりました。
Jamf Proの導入によって、社員一人一人のセキュリティリテラシーを元にセットアップされていた危うさが解消されました。
加えて、業務で利用するSlackやNotionなども入った状態で入社日初日から使えるので、受け入れのオリエンテーションの時間もかなり減らすことができました。(カミナシの場合は9割の人間がMacBookとiPadを持つので、セットアップだけでも、かなり時間が割かれていました。)
まだまだ、MDMで何かをガチガチに制限しているというよりは、3フロア分のWi-Fi情報や展示会用のWi-Fi情報のプロファイルを配布したり、パスワードポリシーの配布などを行なっており、少し便利になって、少し不便になったというレベルではあります。
ですが、今後さらに組織が拡大するにあたっては、大いにに役立つのではないかと考えています。
この後やりたいこと
もちろん、既存の各種サービスを導入・活用しながらセキュリティを高めていくことも可能ですが、HowだけではなくWhyの部分である「カミナシのセキュリティの考え方とは何か」、「何を守ればいいのか」といった文化づくりや啓蒙、オンボーディングでの研修に力を入れたいと考えています。それを固めた上で、次はパスワードやID管理のサービスを導入して、各チームと協力しながら全体のセキュリティ強化を進めていきたいと思います。
最後に
他社で実施している運用ルールを参考に「このルールが守られれば、セキュリティが高まる!ナイスアイディア!」と思った施策でも、実際にSlackで発信すると、実施することにより困る人がいたり。どうしてこのルールで運用されていたのかが明確になったり。時にはハレーションが起きてうやむやに終わることもあり、心地よく回っているところにルールを作っていくのは大変だと身に染みた半年でした。
ですが、カミナシのバリューにもある「β版マインド」を考え方に取り入れ、「まずは試しにやってみましょう!」ぐらいの気持ちで施策を考えられるようになると、ドキュメント作成も気負わずできましたし、やってみなきゃ分からないんだからフットワーク軽く行こう!と前向きになれました。
個人的には、セキュリティは文化だと思うので、会社の色がでやすいと考えています。
今後も、生産性を追求しながらも守るべきところは守るといったメリハリのある、カミナシらしいセキュリティ強化を設計していきたいと思います。
カミナシでは、全方位で採用強化中です。よかったら一緒に働きませんか?