見出し画像

【入社エントリ】PIVOT 情シス第一号

Seko

初めまして

2024年6月にPIVOTの情報システム担当者、第一号としてジョインした世古です。
遅ればせながら、入社エントリをここに記します。
ゼロからセキュリティ環境を整えていく際に、ひとつの指標となれれば幸いです。

入社までの流れ

前職はABEJAという会社で一人情シスをやっており、100名ちょいの規模の会社でアルバイトの方2人と一緒に情シスの基盤をほぼゼロから整えて、上場を経験。
1年くらい経った後、ある程度仕組みが整ったというのもありましたし、社内のコミュニケーションも容易で、ある意味コンフォートゾーンの内側でしばらく過ごしている感覚が徐々に強くなっていきました。

今後のキャリアを考えた際に、外に出てアウェイな環境で新しいことがやりたいという欲が生まれ、エージェントに登録しました。

そして、いろんな企業を紹介される中で、PIVOTを紹介され、現在の上司である蜂須賀とお話しする中で、PIVOTがこれから大きくなる上で、必要なセキュリティ部分を満たしつつ、社内の業務プロセスの改善など、社内の山積みの課題を整備し発展させることが出来る人材が欲しいという話もあり、過去の経験と新しい挑戦ができるということで入社を決めました。

また、私自身、PIVOTは以前から視聴者でもあったため、中の人になれるのは嬉しくも思いました。

前職を退職するまでの、約1ヶ月の有給期間中は酒をガブガブ飲んでいたら入社の日が差し迫っておりました。
ここからは、入社してから私がどんなことを行ってきたのか、ざっくりとイベントとエピソードを交えながらお話ししていきます。

1ヶ月目

兼任の方から2日で引き継ぎが終わるくらいの状況だったので、「ほとんど新地から構築していくんだな」と思いました。
主なイベント:

  • 情報資産の洗い出しと重要度のランク付け

  • PIVOT社の業務フローの理解

  • デバイスの台帳作成

  • 社内の人と仲良くなる

  • 目標設定

情報資産の洗い出しと重要な情報のランク付け
PIVOTで扱ってる情報と重要度の高い情報がわからなかったので、それぞれのチームに情報資産の洗い出しをしてもらいました。
入社5日目でMGR以上の会議に出てお願いをしました。
(早くない?と思われる方もいるかも知れませんが・・)
本来は、1ヶ月以内のアクションとして蜂須賀と約束をしてましたが、仕事はや!って思われたかったので、すぐやることにしました。
プロセスは以下で、

  1. スプシにテンプレを作ってそれぞれのチームに埋めてもらう

  2. 埋めてもらった情報を元に、担当者へヒアリングし具体的な業務内容や情報の取り扱い場所(クラウド、ローカル、物理など)を把握していく

  3. 上記をもとに情報の重要度のランクをつけていく

この作業を通して感じたこととして、メディア企業ならではの外部ストレージの利用が少なくないということでして、現状の規模では運用できるが、会社の規模が大きくなった時に、必ずフローを変えないといけないなという、少し先の大きな課題だなと思いました。
また、1番組で数10〜数100GBくらいのデータ量を扱い、同時に10番組くらい扱うのでクラウドストレージがすごく逼迫していたので定期的に掃除しないとなと思いました。
業務フローの理解
PIVOTでは自社内にスタジオがあるので、実際に収録時にどんなことをしているのか、またどのような情報が取り扱われているのかを把握できるようにしました。
デバイスの台帳作成
経理的な資産の台帳はあるものの、誰がどの端末を持っているのか不明だったので、
簡易的な表を作って、みんなにお願いして回って入力してもらいました。
紛失している端末もなく、非常に安堵しました。
社内の人と仲良くなる
なるべく出社をして色んな人と話したり飲み会に参加したりしてました。
もしかしたら、情シスにとってここがかなり大事なのかもしれない・・。
みんなと仲良くなることで、日々のコミュニケーションをうまくやれていることで、新しいポリシーを適用する際にみんなが話を聞いてくれやすくなると信じています。
目標設定
以下の目標を設定することにしました。

  1. ITガバナンスの運用と統制

    • 経営方針・時代に合ったセキュリティポリシーを策定し運用する

    • トレーニングを定期開催して、社員全員が一定の水準のセキュリティリテラシーを獲得し、それに沿った行動が出来る

  2. クラウドセキュリティの実装

    • 最適なシステムの選択とセキュリティレベルの高い運用ポリシーを策定しPDCAサイクルが回せる状態を作る

  3. 組織横断での業務の効率化・提案

    • 各チームの業務の悩みをヒアリングしてフローの改善・システム化・アドバイスなどが出来るようにし、間接的に会社の利益に繋がるような取り組みを行う

1, 2については、情シスとして必須項目の守りの部分を掲げました。
3 については、攻めの部分で、各チームの悩みをヒアリングして業務フローの整理と改善に取り組めるようにしました。
最近ではAIの活用による業務フロー改善が流行っていますが、社内で導入や布教する役割を持つ人はちゃんと定まってないことが多いと思います。
そこに目をつけて自ら、PIVOTのAIを布教する係をはじめることにしました。
これも情シスとしてメリットがありまして、各チームの業務内容を細部まで知れることと、AIの最新事情を常にキャッチアップできる(しないといけなくなる・・!)ことで、自業務にも活かせるるということです。最高!

2〜3ヶ月目

骨折により片腕で業務を行いましたが、ChatGPTのおかげで業務を遅延させることなく遂行できました。
主なイベント:

  • 2ヶ月目に酒気帯びの状態で腕相撲をしてしまい、左腕をクラッシュ(骨折)し、生産性が1/3くらい下がる。社内では一世を風靡しました。

  • ITロードマップを策定し年始の合宿にて発表

  • セキュリティの予算を獲得

セキュリティロードマップを策定し年始の合宿にて発表
前提として、PIVOTは2021年6月設立で、かなり若めの企業ですが、現在進行形で成長を続けており、スタートアップから大企業まで様々なクライアントがいます。
なので、日に日に扱う情報の重要度や質量が増えてきています。
しかしながら、セキュリティ的な部分はまだまだ発展途上です。(※最低限の運用はできています)
そこで、私のような情シス選任者としてジョインし、会社の情報資産をある程度俯瞰できるようになった際に、ISMSに準拠した運用を目指し網羅的に安全な体制を整えるべく、セキュリティロードマップを作りました。
また、セキュリティを強化するということは、利便性と安全性のトレードオフということもありますし、一気に全てを行うと従業員への締め付けもすごく、生産性も下がります。
ただ、「守るべき情報は守らないといけない」ということで、課題を大きく分割して対応することにしました。

ロードマップの概要図

  • FY25

    • 規定等の作成と整備

    • 外部脅威への対策の強化

  • FY26

    • 内部不正対策の強化

  • FY27

    • 運用フェーズ

  • 通年

    • 従業員のセキュリティ教育

セキュリティのアークテクチャはゼロトラストを採用し、スケーラブルかつ従業員を締め付け過ぎないように設計・運用できるように進めることにしました。

セキュリティ予算の獲得
セキュリティ予算の獲得については、「必要ならば」予算をつけるというありがたいお言葉をいただいていたので、それほど苦労しなかったです。
しかし、「必要」と思ってもらえるように、説明をしなければなりません。
なので、一つの指標として「ISMSに準拠した運用が出来ていること」を軸として、現状とあるべき姿を表にし、それを実現するためにどのようなツールが必要で、それは従業員あたりいくらかかるのか、
また、採用計画に基づいて3年分の概算の金額も計算した説明資料を作成し、プレゼンする形で了承をいただきました。
役員に説明するために簡単な図を作ったのがこちら(かなりざっくりした図…)

説明用セキュリティアーキテクチャ概要図

セキュリティツールの選定と理由
前職から、ZUNDA社のshaoさんと繋がりあり、
導入のサポートも行っていただけるということだったので、必要なサービスのライセンスをここで調達することにしました。

Okta
前職ではIdP はEntra IDを利用しており、Okta は未経験だったのですが、
PIVOTはコネクト(コーポート)以外は全員Macということもあり、
決して安くはないけど、管理のしやすさやWFを利用した細かな設定が出来るというところも選定のポイントになりました。
また、ここが重要な要素なのかもしれませんが、情シスなら誰もが一度はOktaを触ってみたい(はず)という欲がありまして、Oktaを選びました。

Kandji
前職ではJamf Pro を利用していたが、Kandjiの方がUIベースで操作が簡単で管理するのが楽だったのと、新しいものが好きだという好奇心が爆発して、Kandjiを採用しました。
もちろん、要件に沿っていることが最重要ですが・・!

Keeper
前職では、Lastpassを使っていましたが、アクティブユーザーが40%くらいであまり利用できていなかったのですが、Keeperの方が使いやすそう且つセキュリティレベルも高いため、Keeperにしました。

その他
CASBやEDRはFY26
(セキュリティソフトはノートンを契約していたのでしばらくは継続して利用する)

4ヶ月〜5ヶ月目

主なイベント:

  • セキュリティツールの導入を開始。OktaとKandji

  • NotionAI導入と活用促進

  • 横断的な業務改善

セキュリティツールの導入を開始。OktaとKandji
まず実際のセキュリティツール導入を開始し、OktaとKandjiの実装に着手しました。
両方とも未経験ではあったので、検証しつつ、Zundaの方に隔週でレビューなどをいただき進めております。
(この辺りもそのうち記事にまとめようかな)

Notion AI導入と活用促進
Notion AIを導入することを決定しました。
これは、それまで使用していたChatGPTと比較して、コスト面での優位性があり、かつ社内の資産を活用して、クリエイティビティの向上と検索時間の圧縮など業務効率化の観点で、優位だと思ったからです。

Notion AIは以前はそんなに強いメリットを感じなかったのですが、GPT-4を搭載したのと、GoogleDrive と Slackに連携ができると言うところがあり、活用の幅が大幅に広がったというのも採用の基準となりました。

また、弊社の下記番組の収録見学させてもらって、Notionの方と直接お話しする機会があり、熱が高まったのも理由のひとつです。



ただ導入するだけではなく、NotionAIの効果的な活用を促進するため、社内向けに生成AIの実用的な使用事例の紹介とハンズオンセッションを実施しました。

横断的な業務改善
現在進行形ですが、番組制作用の案件管理の仕組みをNotionで作ったり、コネクトチームのFAQの自動回答するための、仕組みなど、さまざまなことをやらせてもらっているので、モチベーションお仕事できているかなと思っています。

最後に

情シスは会社の規模やその人のバックグラウンドによって働き方がかなり変わってくるかなとは思いますが、自ら手を挙げていろんな部署と交流して会社を良くしていけるようなポジションだと考えています。
セキュリティの部分はしっかり進めていきながら、攻めの施策もどんどん行っていきたいです。

今回は入社エントリということで、かなり大まかなお話になったのですが、
それぞれの詳細については、また別の機会に書きますのでよろしくお願いします。

では!


いいなと思ったら応援しよう!