本記事はAsiaQuest Advent Calendarの23日目です。
はじめに
こんにちは、アジアクエスト情報システム部です。
今回の記事では、2023年の情報システム部(以下情シス)の取り組みについて振り返っていきます。
この1年間の情シスの取り組みは非常に充実していたので、「これだけがんばったよ!」というのを皆さんに自慢する気持ちで書きたいと思います。
なお、情シスの業務は非常に多岐にわたり、日々のオペレーションをしっかり回したことも大きな功績ではあるのですが、ブログ記事ですので新しくチャレンジしたことを中心に紹介していきます。
私たちについて
本題に入る前に私たちについて簡単に紹介しておきます。
アジアクエストについて
アジアクエストは、お客様のデジタルトランスフォーメーション(DX)を支援するデジタルインテグレーターです。
企業のDXを実現する為のコンサルティング、システム開発、プロダクト開発等、様々なデジタル技術を活用したデジタルインテグレーションサービスの提供を行っています。
コーポレートサイトはこちらです。
社員数は2023年12月時点で約350名で、社員の多くはエンジニアです。
情シスについて
ここ1〜2年で増員し、現在8名が所属しています。
メンバーの役割分担は、大きく分けて以下の4つに分かれています。
- PCセットアップや各種アカウント発行、ヘルプデスク対応など、一般的な情シスっぽいこと
- インシデント管理やセキュリティなどのサービス品質管理
- 業務自動化や効率化の仕組みによる業務改善
- 会社の主要事業であるシステム開発で得られた知見の体系化
働き方はリモートワークが中心ですが、ヘルプデスク対応のために常に誰かが会社にいるように出社頻度を調整しています。
社内システムについて
基本的に自社運用のサーバは持たず、SaaS中心の社内システムを構築しています。ハイブリッドワークを前提とした社内システムです。
今年導入したものを含め、社内で利用している主なツールを列挙します。
- Google Workspace
- Slack
- Backlog
- GitHub
- Okta
- Intune
- Jamf Pro
- CrowdStrike
- Box
- Zapier
- SmartHR
- kickflow
- バクラク経費精算
- バクラク電子帳簿保存
今年やったこと
業務システム導入系
ワークフローシステム更改
2022年後半からワークフローシステムの更改プロジェクトを開始しており、新しいワークフローシステムのkickflowを2023年1月より本番運用開始しました。
kickflowの導入体験記はこちらのブログにまとめています。
kickflowは今年から運用開始したとは思えないくらい、すっかり会社全体になじんでくれたと思います。
また、kickflowの導入により情シス的に一番大きく変わった部分は、API/Webhookが充実していることによるシステム間連携の強化です。
ワークフローシステムは「〇〇のアカウントが欲しい」「〇〇部署に確認を依頼したい」など、様々な業務フローのトリガーとなることが多いシステムです。ワークフローシステムによるシステム間連携が強くなったことは、後述するZapierを用いた業務フローの自動化にも大きな影響を与えました。
経費精算システム導入/電子帳簿保存法対応
電子帳簿保存法改正に伴い、2024年1月より帳簿書類を法的要件を満たすように保存運用することが企業に義務づけられます。これに対する対応を、2023年9月頃より経理部門と伴走して本格的に進めています。この記事執筆中はまさに本稼働直前です。
今回の法改正対応は新システムを導入するだけでなく、新たな業務フローの定義など対応は多岐に渡っています。
ステークホルダーが多い業務であるため、各部門から数名ずつ集めたプロジェクトチームを構築して進めてきました。このような業務主管部門と情シスがタッグを組んでシステム導入するプロセスが、ここ1〜2年で定着してきたと感じています。
セキュリティソリューション導入系
MDM導入
デバイス管理ソリューションとして、Windows端末の管理にMicrosoft Intune、Mac端末の管理にJamf Proを導入しました。
リモートワークが中心となりPCの持ち運び機会が増えたことから、紛失や盗難のリスクが高まっていました。MDMの導入によってこのようなリスクの低減ができたと考えています。
- OSのアップデート、ストレージ暗号化などが保証され、一定のセキュリティレベルが担保できる
- リモートワイプできる環境になり、盗難・紛失に備えられる
- 社員に貸与しているPCに新しいアプリケーションやエージェントをインストールする時、MDM経由で配信ができる
などなど、これまで利用者個人に依存していた運用の多くが改善されました。
エンドポイントセキュリティ製品の更改
現在利用中のセキュリティ製品の契約更新が近づいていて、この機会にMDR(Managed Detection and Response)サービスであるCrowdStrikeのFalcon Completeの導入をしているところです。
MDR導入にあたって、複数社のサービスを比較検討してきました。比較した結果、インシデントが発生した時に情シスがやらなければならない対応内容に、サービス間で大きな違いがあることが明らかになりました。比較検討した製品の中で、ベンダー側に任せられる範囲が最も大きいFalcon Completeを採用しました。
この記事執筆時点ではまだFalcon Sensor(CrowdStrikeのエージェント)の配布途中で、年内の配布完了を目指して頑張っています。
これまではパターンマッチングと挙動監視でマルウェアの検知を行うアンチウイルスソフトを使用していたため、NGAV・EDR・MDRを含むサービスであるFalcon Completeに切り替えられたことは、いきなり大幅な進化を遂げた気がしますね。
社内にサイバー攻撃対応に特化したSOCを置く余裕はなく、これまではサイバー攻撃の被害に遭った時の対応に不安がありました。このあたりの体制も含めてアウトソーシングできる点は非常に安心感があります。
生成AI系
情シスQ&Abot作成
情シスでは、社員からの問い合わせを受けるためにSlackでのQ&Aチャンネルを利用しています。アジアクエストはお客様のDXを支援する企業なので、生成AI(または生成系AI)によるQ&A botを社内で体験してもらうためにChatGPTを利用したQ&A botを作成しました。
このQ&A botは過去の対応履歴を元に回答を作成していますので、同様の問い合わせがあった場合には正しい回答をしてくれます。しかし、アジアクエストの社員は質問する前に過去ログを検索したり、一般的な問題であれば自力で解決してくれる方が多く、情シスに質問が来る内容は前提条件を含めて複雑な判断が必要なのです。このような質問にはなかなか正しい回答をしてくれません。
しかし、このような課題も含めて体験してもらうことで、お客様により良い提案ができる機会を提供していると思います。現在はGPT-3.5とGPT-4による回答を併記することで、モデルによる回答の違いも楽しめるbotになっています。
生成AIサービス導入とそれに伴うルール策定
これまで一部の社員のみ利用可能としていた生成AIサービスを、2023年4月から利用を希望する社員全員に展開しました。この頃、生成AIサービスに入力した情報が学習データに利用されて情報漏洩する事例が報道されていました。私たちは日々の業務で秘密情報を取り扱う機会が多く、生成AIサービスを利用する前に安全に利用できる環境・ルール作りが求められていました。
その頃はビジネス向けのプランがないサービスが多く、さらに利用を希望する声は日々増えており、大急ぎで調査・検証してルールやフローを整備しました。
例えば、ChatGPT Plusではオプトアウトを行い、入力した情報が学習データに利用されないことを利用条件の一つとしました。入力する情報も、その機密性に応じて入力可否のルールを設けています。
その後も、次々と展開されるオプションやサービスのリリースや利用の声が上がる都度、スピード感をもって調査し、安全な利用方法を検討する日々が続いています。
来年はどんな生成AIサービスが出てくるのでしょうか。楽しみでもあり、少しだけドキドキします。どうぞセキュリティのポイントを押さえたサービスでありますように!
自動化系
業務フロー自動化とiPaaS導入
2023年前半、社内業務依頼のトリガーをkickflowに集約させ、4本の社内業務フローの効率化を実現しました。
この仕組みは、kickflowで承認→(Webhook)→Zapier→(API)→各サービス(Slack、GoogleWorkspace…)と、ワークフローシステムの申請/承認をトリガーにて後続処理が発動する構成になっています。
具体的な一例を上げると、取引先と契約締結したい営業担当が「契約締結に向けた法務担当による手続き」のようなワークフローを申請すると以下が動きます。
- 法務部門と営業部門のメンバのみが入ったSlackチャンネルを自動作成(契約締結完了までのコミュニケーションチャネル提供)
- Googleスプレッドシートの契約進捗管理表へ内容を自動反映(法務部門の内部タスク管理、依頼者へのステータス公開、の用途)
業務効率化というと何分削減できたかといった「量」に着目されがちですが、忘れてはいけないのが「リードタイム」の観点です。相談したいと思ったらすぐ関係者が集まるチャネルが作成され、情報が集約され、協議が始まることが望ましいです。この仕組みを導入した後、業務依頼をした社員が最終結果に辿り着くまでの時間を集計したところ、導入前後でリードタイムが大きく短縮できていました。
社内を爆速にすることが顧客への価値提供に繋がるという意識で、来年以降も各部門へヒアリングしつつ業務改善を実施していく予定です。
PCセットアップ自動化
上に書いたMDM導入に伴い、Windows AutopilotとMacのADE(Automated Device Enrollment)を利用したPCセットアップ自動化の運用を開始しました。
これまではPCセットアップは情シスメンバーが全て手動で行っており、1台につき1時間近く時間がかかっていました。
またアジアクエストは新卒入社が多い会社で、2023年4月には25名の新卒社員が入社しています。このため、特に4月の新卒入社前にはセットアップにかなりの時間が取られているという課題がありました。
まだ運用開始したばかりで不慣れなところもありますが、ほぼ情シスの手を介すことなくセットアップを完了させることができるようになりました。 目下の課題は、貸与されるユーザーにとっての分かりやすさをどのように担保するかという点です。
セットアップ自動化ソリューションでは、手動でセットアップする場合と比較して、どうしてもユーザー側の作業量が増加してしまいます。ユーザーのITリテラシーも人それぞれなので、誰が使っても迷わない手順をこれから整備していきたいと考えています。
PPAP対策系
ファイル交換システム(Dappy)の改修
アジアクエストでは、脱PPAPの一環として情シス自作ツール(社内通称Dappy、詳細はこちら)を提供しています。
共有相手への送信専用ツールとして2022年6月にミニマム機能でスタートしましたが「先方からファイルを受け取る時にも利用したい」という声が社内から出てきました。
この声に応えるため、2023年1月に改修を行いました。共有相手がGoogleアカウントを持っている場合、共有相手からファイル受信も可能なツールへと進化させています。
新たな費用追加もなく社内ニーズに気軽に応えられるのは、自作のメリットかと思います。
脱PPAPに対応するデファクトスタンダードが見えるまでは多額の投資はせず、自作ツールで凌ぐ戦略を継続している我々でしたが、社員からは「先方はBoxなら受け取れるらしい」という声もチラホラ。「やはりBox優勢なのか…」という想いとともに、この後の「Box導入」に話は続きます。
Box導入
取引先によっては、Google系サービスへのアクセスが禁止されているケースがあります。DappyはGoogle Driveをベースとして動いているため、そのような組織とのファイル交換には使用できません。
しかし、そのような組織でもBoxの利用は許可されている事例が多く、Google以外の共有方法の選択肢を用意するためにBoxも追加導入しました。
ただ、全社導入となるとコストが大変なことになってしまうため、下記のようなメンバーのみに絞ってアカウントを配布しています。
- 営業部門など社外とのやり取りが多い部署のメンバー
- 金融系や官公庁など、セキュリティポリシーが厳しい企業を顧客に抱える部署のメンバー
- その他お客様都合で特別に必要になったメンバー
社内の情報共有にはGoogle Driveを利用しているため、Boxは基本的に社外との共有用途のみでの利用となっています。
その他
ISMS更新審査
ISMS(情報セキュリティマネジメントシステム)を始めとするISO認証は、3年周期で認証の更新が行われます。アジアクエストでは今年がISMSの更新の年にあたり、2023年10月末に更新審査を受審しました。
維持審査は毎年行われるのですが、通常の審査と異なる点は、3年間の情報セキュリティマネジメントの取り組みが評価される点です。セキュリティ研修もインシデント管理もマネジメントレビューも真面目にきっちりやっているのですが、3年分の活動が正しく記録されているかの確認作業に追われました。
アジアクエストは福岡と別府にもオフィスがあるため、現地での内部監査と更新審査も行われました(同じ九州なのに移動にすごく時間がかかるんですよね…)。
更新審査では各部門長へのインタビューが行われるのですが、情シスでも把握していなかった独自の取り組みもあったりして、審査員の方からも高く評価いただきました。全社員の日頃の取り組みや協力の結果もあり、無事にISMS認証が更新されました。
来年は、ISMSの新規格(2022年版)への改定対応に向け取り組んでいきます。
振り返り・所感
振り返ってみて一番の感想は、「自分たちよく頑張ったな…」です。
1年間でこれだけ多くのことができて、1つ1つもそれなりの成果が得られていると思っているので、一定の評価はしてもいいのかなと考えています。
アジアクエストはお客様のDXを支援する企業でありながら、自社システムがあまりモダンでない点も否めなかったのですが、ここ1年でその状況が大きく変わりました。
一方、外部環境も内部環境も変化だらけで、まだまだやりたいことはたくさんあります。来年以降も引き続き改善に取り組んでいきたいと思います。
来年やりたいこと
ゼロトラストな社内インフラの構築推進
アジアクエストではハイブリッドワークを実施し、クラウドサービス中心の環境で業務を行っています。このような業務のスタイルに対応するため、ゼロトラストアーキテクチャに則った社内インフラの構成を目指しています。
ここまでIDaaS、MDM、MDRと導入を進めてきており、ハイブリッドワークに適応したセキュリティ体制が徐々にできてきています。とはいえ、まだ十分に管理できているとはいえない部分もあり、来年も引き続きゼロトラストな社内インフラの構築を推進していきたいと考えています。
具体的にやることは、主に下記の2点を計画しています。
- CASB/SWG系ソリューションの導入
- Android/iOSなどのモバイルデバイス管理の仕組みの構築
業務改善プロセスの品質向上
前述のiPaaS導入により、今年は特定部署をターゲットにして、業務フローの改善を行いました。業務改善の機会は社内のあちこちに存在していますが、時間や人手も限られているため、改善効果が高い業務を慎重に選定しなければなりません。この選定プロセスの精度を高めるためにも、社内ニーズの収集が必要だと考えています。
アジアクエストでは、社内での改善要望を集めるための「目安箱」を期間限定で設置したことがあります。この目安箱は社内システム以外の改善要望も対象にしていて、12月からは定常的に設置することになりました。この目安箱を通して、例えば「全従業員が1日に1分の手間を費やしていた」といった、小規模でも効果の高い課題を見つけ出していきたいと思います。
社内文書改訂プロセスの効率化
ISMS認証の維持は、情シスが中心となって行っています。このISMS関連マニュアルは正式な社内文書になっていて、改訂にあたっては職務権限規程に従った承認プロセスが必要です。現在のISMS関連マニュアルは、2017年の認証取得時に作成したものを修正しつつ使っていて、Wordファイルで管理されているものも残っているため、このようなマニュアルを改訂するときにはSlack上でWordファイルが飛び交うことになります。DX企業として、このやり方はイマイチです。
来年はISMSの新規格であるISO/IEC 27001:2022への切り替えを予定しており、これを機に文書管理プロセスを改善する計画です。この改善により、以下の課題を解決したいと考えています。
- 校正の自動化を図ることで些細なミスによる余計な手間を削減します
- バージョン管理システムを導入し、改訂履歴を一元管理して効果的に管理します
- バージョン管理システムを活用し、承認者によるレビュープロセスを簡素化します
- CI/CD(継続的インテグレーション/継続的デリバリー)を導入し、公開や周知を自動化します
これらの改善により、社内規程の管理がより効率的かつ効果的に行えるようになることを期待しています。
最後に:アジアクエスト情シスからのメッセージ
情シスは一般的にはあまり注目されない部署だと思います。しかし、会社全体と接点がある部署であるため、企業文化や社員の考え方や行動にアプローチできる部署だと考えています。例えば、イマイチな社内システムを導入すると会社もイマイチな感じになりますし、自社のセキュリティをイマイチにすると、お客様に提供するシステムやサービスの品質もイマイチになります。そういう意味でも、常に会社全体の未来を考えながら日々の業務に取り組んでいます。
来年も新しいSaaSを導入したり、新しい仕組みや取り組みを導入する予定です。お客様から高い評価を得られるように、またアジアクエストの5年後や10年後の成長を見据えて、来年もいろいろなことをたくさん考えてチャレンジしていきたいと考えています。
