スタートアップの情シスはじめました 〜最高のプロダクトを世の中に届けたい〜
sumiです。corp-engr slack アドベントカレンダー11日目の記事です。
わたしにとって2020年は2度の転職を経験した怒涛の一年となりました。
今年の10月から6期目・社員数25名という小規模スタートアップで憧れのひとり情シスデビューを果たしました。入社してまもなく3ヶ月が経過するところで、やってきたことの振り返りがてらスタートアップの情シスとしてやってみたことや想いについて書いていこうと思います。
スタートアップ企業こそベストな社内ITを
はじめに自分語りで失礼します。
私は転職ドラフトで今の会社から指名をもらったことがきっかけで軽い気持ちで面談を設定しお話を聞いたのですが、そこでCEOの想い そして プロダクトが社会に与える素晴らしい世界について熱く夢を語る姿に胸をうたれ入社を決意しました。
しかしながら、その素晴らしいプロダクトを世の中に展開するには組織として不安な課題が山積みです。
たとえ世の中に革新を与えるような素晴らしいプロダクトがあっても、組織そのものがガバガバガバナンスではお客様に安心して取引をしてもらえないですし、情報漏洩といったの不名誉な事故実績なんてあったもんなら素晴らしいプロダクトが世の中に出る機会を失ってしまうかもしれません。
革新的なアイデアと技術で世の中をもっとより良いものにする熱意があるスタートアップだからこそ、その熱意を・最高のプロダクトを世の中に絶対にリリースしたいのです。そのために情シスとしてベストな社内IT環境を構築したいと強く思いました。
自組織にとってベストな社内IT環境を整えるために、まず取り組んだ3つについて書きたいと思います。
1. 現状の把握とロードマップの作成
まずは組織の現状の把握から始めます。
・管理すべきものはどこに何があるのか
・どんなシステム(オンプレ・クラウド)を利用しているのか
・社内インフラの年間コストはどのくらいかかっているか
・デバイスは何を使っているのか
・管理台帳はあるか
・社内規定やルール、ガイドラインはあるか
・どんなログが取れていて何が足りないのか
などの情報を把握します。今まで社内インフラを兼務で担当してきた人や古株の社員に確認するのが早いでしょう。
また、情シス界隈ではおなじみの世界のヨシダの社内ツールカオスマップを利用すると、社内のIT構成を俯瞰でき、解決したい課題とコストを考えやすくなります。
「自社組織としてこれだけの機能を整えたいです、しかし現状はプロダクト開発に関するツールは整っているけどセキュリティ面は何もしていない状態です! 」 ということを上に説明する時にこのカオスマップを出して説明すると、視覚的にもわかりやすくて大変助かりました。
次に現状を踏まえて課題を洗い出します。
課題には重要度と影響度をつけていき、緊急性の高いものから順に並べていきます。影響度が大きければ大きいほど周りからは効果を見えやすいものなので、今思えば最初に影響度の高いものから着手して存在感を与えるのもひとつの手だったかもしれません。
そして組織のトップと話し合い、組織が今後どのような方向へ進んでいきたいのか、Visionなどを確認します。それによって将来的にありたい姿(To-be)を描き、先ほど洗い出した課題に対する優先度づけをおこない、現状と最終的な目的地 (To-be) に辿り着くまでのロードマップ・理想の構成図を描きます。
ただし、To-beはその時々の状況や時代の流れによって変化するものなので、最初に宣言した通りに目標が達成できなくても問題ありません。ロードマップは1〜3年の短いスパンで考え、都度見直して組織や時代に適合する形で適切に対応・判断をしたいと思います。
わたしの場合は、業務で利用するほとんどをOffice365 や Atlassianといったクラウドサービスに寄せていたためオンプレや内製システムは存在しない状態だったため捨てる選択をするものはありませんでした。
また、今後の組織が踏み込んでいきたい業界の特性上、コーポレート・ガバナンスやセキュリティの面で対応が確実に行われている組織であることを対外的に説明できることが求められる中で、従業員には多様な働き方と最大限の自由を提供することも大事にしなくてはなりません。
それらを総合的に見て、ゼロトラスト・アーキテクチャの概念を取り入れて、エンジニアにとって快適でできるだけ自由に開発を楽しめる環境を保ちつつ、セキュリティ面の課題を解消するTo-beを描きました。
2. 統合認証基盤を構築する
さて、ゼロトラスト・アーキテクチャの構築を目指す上で、まったく何もない組織がまず整えたいのは認証・認可の仕組みです。
そのためにまずは統合認証基盤(IdP)の構築が必要です。なぜなら、統合認証基盤がないことには信頼できる人・デバイスなのかどうかを判断することができないからです。
IdPの代表的な製品として、Azure ActiveDirectory・okta ・onelogin などがありますが、製品それぞれの特徴を把握した上で、先で説明したTo-beが実現できるのか・コストは予算内かなど自社に合ったものを選定します。
弊社では従業員全員にMacbookを貸与していることもあり、将来的にJamf Proを利用してデバイス・トラストを実現したい思いがあったことと、比較的簡単でわかりやすいUIだったためoktaを選択しました。
まだ必要最低限の設定をした状態で社内にひとまず展開をした段階ですが、これまで業務は基本的にクラウドサービスに寄せていた弊社としては、SSOでサービスプロバイダへアクセスするようになり、ユーザの利便性向上やIDパスワード管理からの開放などメリットを感じてもらえているようです。
管理者としても、社員数が少ない・早い段階でIdPを導入することができれば、今後入社してくる人の対応も楽になりますし、コスト的なメリットで言っても損はありません。むしろ100人を超えてから導入すると、説明や導入にめちゃくちゃコストがかかると思っていますし、そこまで待ってから導入を始める意味もわからないので、組織にIdPが存在しない場合は最初にやるべきといっても過言ではないかもしれません。
3. デバイスセキュリティ
組織のセキュリティを強化し、対外的な信頼を獲得することはもちろんのことですが、弊社のVisionである「楽しく働くを社会のスタンダードに」を実現するために従業員に最大限の自由を与えることも重要な要素です。
しかし、自由な働き方を認めている一方で、デバイスのセキュリティは所有者個人に任されている状態で、ほぼ何も対策がされていない防御力ゼロの状態でした。
時間や場所にとらわれず、セキュアで快適に働ける環境を整えるためには、従来型のネットワークによる境界防御ではなく、デバイスを境界とした防御が必要になります。ということで、まず以下から着手しようと思いました。
・MDMの導入
・EDRの導入
MDM
まずMDMとしてJamf Proを導入しました。
先でも書きましたが Macbook Pro を全員に貸与しているため、デバイスの管理のしやすさを考えてもApple製品の管理に特化したMDMであるJamf Proは、ゼロタッチ・キッティングにAppleデバイスのセキュリティ強化、App配布など、弊社にはぴったりのMDMです。
導入した後からわかったことですが、Jamfはコミュニティが盛んで非常に温かく優しい人々がサポート以上になんでもアレコレ教えてくれるので、Jamfにしてよかったなぁ😊と思う今日この頃です。
もちろん、MacならJamf一択! というわけではありませんので、Microsoft365 や EMS に Intune が付属している場合はそちらの方がコスト的にもメリットが多い場合もありますし、IdP同様 各MDMで特徴があります。組織に合った製品を選択してください。
MDMがあることで、端末の一元管理ができるようになり、構成プロファイルやポリシーにより FileVault2 暗号化の強制やパスワードポリシーの設定などセキュリティレベルの底上げができたことと、万一のデバイス紛失時にも情報漏洩被害を最小限に抑えられるようリモートワイプができるようになったことで不安の種がひとつ消えました。
EDR
EDRとはエンドポイントの情報を収集し、端末の中で何が起きているのかを分析し脅威の検知&対応をサポートしてくれるツールです。
既知のウイルスを防御するアンチウイルスソフトとは異なり、顕在化した脅威を検出し、迅速に対応を行えるよう支援するものです。さらに、既知の脅威だけでなく未知の脅威の防御ができる機能を備えたものもあります。
世間を騒がせているあらゆるマルウェアやランサムウェアからの防御に加えて、万一侵入された場合でもすぐに検知し、まとまった情報が管理者へ通知され、いつでもどこにいても迅速な対応ができることが非常に胸熱です。
EDRはまだ選定中なので情報収集中ですが、いつ発生するかわからないインシデントに備えて早めに対応したいなぁとそわそわしています。
他にもCASB、DLPといった情報漏洩対策などセキュリティ面を強化していきたいところですが、まずはできるところからしっかり取り組んで「導入してはい終わりィ! 」にならないよう運用の方も取り組んで行きたいと思います。
さいごに
3ヶ月未満という短い期間ではありましたが、ここまでスムーズに実現できたのは、やはりSaaSの力に頼ったところが大きいことと、スタートアップならではの風土・文化が大きいと思いました。
わたしの場合、情シスとして社内IT環境を整えていくのに恵まれた環境だったと思います。
・組織にまだ何もない状態だった
・Slackでの情報共有の文化が根付いていた
・社員数が25名なので説明や個別対応が少ない
・すべてクラウドサービスを利用して業務をしていた
・CEO、CTOが社内ITへの投資に理解がある
・従業員全員が変化を恐れない人ばかりで協力的
・CEOとすぐに話ができる
・CTOがプロダクト開発の傍ら社内インフラを頑張ってきたので社内インフラについて相談できる人がいる
特に、弊社のCEOは
「絶対に必要だと言うのなら金は出す。変にケチって後から面倒になるくらいなら最初からベストにしよう。」
と言い切ってくれる人だったこともあり、(ある程度はコストも気にしますが) 大変提案がしやすくてありがたいようにスムーズに導入が進みました。
ただ、自身は情シスとしてはまだまだ未熟者で、かっちょいい資格なんて持ってないし、ネットワークできないし、正直ゼロトラストってよくわかっていないのに、ムダに自信満々で社内へプレゼンしてます社長ごめんなさい。
でも、スタートアップならでは…とは一概には言えませんが、Trial-and-Errorで恐れず前に進める文化であることは、間違いなく自身としてはぐんぐん成長できる良い環境です。
まだまだ課題は多く、わからないことばかりだし不安でいっぱいですが、躓いたら情シスSlackのつよつよ先輩方のお力も借りつつ、常に自社組織に必要なもの・不要なものを適切に常に判断して前進し続ける情シスを楽しんでいこうと思います。
素晴らしいプロダクトを開発しているメンバーのために。
世の中へ最高のプロダクトをリリースするために。
ということで、明日はゆるふわCIOのふみふみさんですね!
おかしんさん・すみ・ふみふみさんは同じ年の生まれなので、この並びになにかご縁を感じるような、感じないような…🤔
\ほな! /