本記事はアジアクエスト Advent Calendar 2024の記事です。
こんにちは、アジアクエスト情報システム部の斉藤です。
名乗ってはいますが、部署内メンバーによる合作記事となります。
今回の記事では、2024年の情報システム部(以下情シス)の取り組みについて振り返っていきます。
昨年の記事はこちらです。
情シスの業務は非常に多岐にわたり、日々のオペレーションをしっかり回したことも大きな功績ではあるのですが、ブログ記事ですので新しくチャレンジしたことを中心に紹介していきます。
本題に入る前に私たちについて簡単に紹介しておきます。
アジアクエストは、お客様のデジタルトランスフォーメーション(DX)を支援するデジタルインテグレーターです。
企業のDXを実現するためのコンサルティング、システム開発、プロダクト開発など、さまざまなデジタル技術を活用したデジタルインテグレーションサービスの提供を行っています。
社員数は2024年12月時点で約400名、最近ではエンジニアリング以外の職種も増えつつあります。
現在9名が所属しています。メンバーの役割分担は、大きく分けて以下の4つに分かれています。
働き方はリモートワークが中心ですが、ヘルプデスク対応のために常に誰かが会社にいるように出社頻度を調整しています。
基本的に自社運用のサーバは持たず、SaaS中心の社内システムを構築しています。ハイブリッドワークを前提とした社内システムです。
今年導入したものを含め、社内利用しているツールを抜粋して紹介します。
アジアクエストは、2024年12月9日に本社オフィスを移転しました。
アジアクエスト、業容の拡大に伴う本社移転のお知らせ
アジアクエストは400人規模の会社であり、規模拡大によりオフィスもかなり広くなりました。これくらいの規模になってくると、オフィス移転は非常に大変な作業になるということを実感しました。
アジアクエストの社内システムは基本的にクラウドサービスを利用しているため自社サーバで重要な業務は行なっていません。そのためサーバの移設作業はほぼ必要ないという状況であり、その点は他社と比較して楽な状況だったと思います。
しかしそれでも、インターネット・電話回線の敷設、ネットワーク機器設定、規模拡大に伴う各種備品の大量調達などやることは色々あり、移転の直前直後は非常に多忙になりました。
移転作業は完了しましたが、引き続き従業員が快適に働ける環境の提供に向けて取り組みたいと考えています。
アジアクエストでは2022年と2023年でIDaaS、MDM、EDR等を導入し、社内インフラのゼロトラスト化を推進しています。その流れで2024年はCloudflare Zero Trustを導入することになりました。
既にエージェントの配信はしていますが、安定運用に向けて設定の調整を進めているところです。
Cloudflareやそれに類する製品ではWebへのHTTPS通信を復号して検査するSSLインスペクションを実施するのですが、これをやろうとすると業務に必要な特定のアプリケーションの通信ができなくなったりして、アプリケーションごとに調整が必要となります。
エンジニアが多く、かつ多様な技術を使用しているアジアクエストでは、数多くのアプリケーションや開発ツールで通信ができなくなることが発覚し、これがとても大変です。
まずはCloudflare WARP(端末にインストールするCloudflareのエージェント)をユーザーが自由に無効化できるようにしつつ、どのようなツールで通信ができなくなるかをユーザーに報告してもらっています。1つ1つのツールの対応を決めていく地道な作業が必要となりますが、引き続き取り組んでいきたいと思います。
Okta FastPassを利用開始し、社内のパスワードレス化を推進しました。
アジアクエストでは以前からIDaaSとしてOktaを使用していたのですが、当初は自社テナントがOkta Classic EngineだったためOkta FastPassは利用していませんでした。
Okta Identity Engineへの移行が完了し、FastPassを使える状態となったため、使わない手はないということで社内に導入しました。
社内でも「サインインが楽になった」と非常に好評で、かけたコストに対するリターンを考えると間違いなくやってよかった施策だと思います。
今後は、「そもそもユーザーがパスワードを持たない状態になる」というところを目指せればいいなと考えています。
今回実現しているのは「パスワードレスで認証ができること」ですが、Oktaのアカウント作成時の初期設定でパスワードを設定する必要があり、パスワードを持たないユーザーを作っているわけではありません。
そもそもユーザーがパスワードを持たなくても良くなる「真のパスワードレス」な世界を実現できればいいなと、情シスでは考えています。
本記事を執筆している12月時点で現在進行形ですが、パスワードマネージャーのKeeperの導入を進めています。
パスワードマネージャーには有名な製品が複数ありますが、管理機能が優秀であることや国内代理店のZUNDA様がいて日本語サポートを受けられることにメリットが大きいと考え、Keeperを採用することとなりました。
そもそもパスワードマネージャーを導入する目的はいくつかありましたが、特に大きかった点として「間接部門の部署内で、主に外部システムのアカウントを複数名で共有せざるを得ないケースがあり、スプレッドシート・Excel等で共有してしまっている」という問題がありました。
そのため、まずは間接部門を対象に導入を進めています。情シスでもすでに共有アカウントの認証情報をKeeperに移行し始めていますが、認証情報へのアクセス権限を柔軟に制御できたり、MFAで使用するTOTPの情報も一緒に管理できる点が便利だと感じています。
アジアクエストでは、組織の細分化やビジネスの多様化に伴い、複数部署を横断する業務フローが増えている現状があります。例えば、事業部門の開発案件で「派遣でパートナーさんに来て貰いたい」というニーズが発生した場合では、参画までに以下のような部署が関わっています。
この状況下で、業務フロー自体が部署内に閉じ「あの部署がやっているはず…」のような相互の業務解像度が低い、サイロ化が発生しつつありました。
ゆえに、業務フロー改善やITで効率化すべき箇所が各部署で見つけにくく、自社全体で全体最適とならないことを危惧していました。この課題感をBYARDというサービスの手を借り、部署間で継続的に業務を定型化/可視化する文化を間接部門に作る計画を進めています。
と、ここまで方針を切り2024年10月に契約開始した直後、BYARDサービス終了となってしまいました。
(この発表に対して、BYARD社から丁寧な謝罪と状況説明は個別に受けています。念のため)
課題定義や目指したい姿までは流用し、解決手段を再計画、が現在地です。
アジアクエストのバックオフィスではまだまだ少人数時代の名残が残るシステムも多く、会計分野ではPCインストール型の弥生会計を利用していました。
適切な内部統制機能の不足や、Excel作業の手間などを含め、経理部門が複数名になり歪みが発生しつつありました。
データ/アプリケーションともにクラウド上で実施したく、奉行クラウドを選定しています。
業務知識が必要なデータ移行などもあったため、自社だけでなく導入支援も頂きつつプロジェクトを進行。
工夫した点としては、導入支援を頂いた企業様のWBSをラッピングする形で、自社でもWBSを引いて進めました。
自社独自のTODOも抜け漏れなく実施しており、問題なく移行が完了しています。
コロナ禍を迎えた際、東京本社では席数の大幅削減とフリーアドレス制が敷かれました。
その後情勢が落ち着き出社がやや増加してきたタイミングで、出社時はGoogleスプレッドシートによる総務お手製カレンダーに従業員が書き込む、という予約運用へ推移していました。
現在では、出社する従業員もさらに増え、会社として出社推奨する機会も増えてきています。
といった課題感もあり、本社移転のタイミングで座席予約システム導入へ踏み切ることとしました。
10月から選定開始したにも関わらず11月29日に利用開始にこぎつけたという、選定/稟議/導入までスピーディに進めたシステムの1つです。
熟知している人間が社内に居なくなり、そのサービスの管理不足から攻撃の足がかりになることは良くあります。
このため、利用者が減少したサービスの撤去打診をする意識は、情シス全体として強く持っています。
重要性はあるが緊急性のないタスクはいつまでも後回しにされがちですよね。
今回は、アジアクエストに情シスがない時代から存在していたどこでもキャビネットというファイルストレージです。
全従業員利用が終了したあと、特定の部門のみで限定的に利用している状態が続いていました。
実態としてはGoogleドライブで業務可能のため、データ移行と業務切替の旗振りを利用部門と調整しつつ情シスにて実施。
大きな問題も発生せず、利用終了~解約まで完了することが出来ました。
もちろん解約による費用削減効果はありますが、1つ1つセキュリティリスクを潰す地味な活動も重要です。
昨年に引き続きkickflowとZapierを用いた自動化は継続しており、5本の業務フローの効率化を実施しています。
以下のように様々な部署や業務分野で活動しています。
一方でZapierの苦手な点(エラーハンドリング等)に課題感を感じつつあり、今年はアクセルを踏みにくい状況でした。
make等へのリプレースも視野に入れつつ、これからの自動化基盤にZapierを据えるかどうか見定めていく予定です。
ISO/IEC 27001の規格改訂に伴い、「ISO/IEC 27001:2022 (JIS Q 27001:2023)」への移行審査を受審しました。
新規格では、サイバー攻撃対策やクラウドサービス管理を意識した管理策が追加され、現代のニーズに応えた内容となっています。
当社では、ゼロトラスト化が進んでおり、改訂に伴うシステムの導入や変更は必要ありませんでした。
しかし、今回は横断的な管理策の見直しが行われており、マニュアルや運用状況を適切な管理策Noや新しい要求事項に適しているのか、不足はないか確認し、割り振ることに時間がかかりました。
先日、審査を無事クリアし、新規格への移行を完了しました。また今回の審査に併せて、2024年4月に開設した大阪のオフィスもISMS認証の対象に追加となっています!
これからも、引き続き情報セキュリティの向上に取り組み、安心できるサービスの提供を続けてまいります!
最近のサイバーセキュリティの状況を踏まえ、委託先管理の運用を見直しました。その一環としてセキュリティチェックシートを改訂し、委託先様にてより簡単にご対応いただける形式に改善しました。
これまで見直しは都度必要に応じて行っていましたが、関係する部門も多く曖昧な状態になっていました。用語の定義、運用フローの見直し、設問内容の絞り込みを営業部門や管理部門と綿密に調整し、より適切な運用としています。
一方、私たち自身もセキュリティチェックシートに記入する機会が増えています。詳細な回答を求められるものから、情報セキュリティに関する認証の確認のみで了承いただけるものなど、様々な形で存在しており運用に苦労することも…。
外部委託先のリスク評価における課題は、なぜ、セキュリティチェックシートはなくならないのかというアシュアード様の記事に分かりやすくまとめられています。
(厳密に言うと該当記事はクラウドサービス利用者と事業者の話ですが、課題の構造は同一です。)
自社のリスク評価と他社への負担をどうバランス取るかは、社会全体で対応すべき商慣習であり、1企業として双方にとって負担の少ないベストな道を模索してまいります。
今年から情シスでは、来期予算計画の立案方式を変更しています。
予算起因で来年まで現場課題が解消されない事態を避け、ビジネススピードを落とさないことが狙いです。
自分達へプレッシャーをかけるべく(笑)、現時点で想定しているものをいくつか紹介します。
アジアクエストではリモートワーク時にVPNを使用しているのですが、Cloudflare導入に伴い脱VPNを目指しています。
VPN機器は自社で持っている資産のため、脆弱性に対するパッチ適用や障害対応を自分たちでやる必要があります。しかし、自社の情シスの限られた人員での保守運用には限界があり、一時的にVPNを停止して緊急対応することも年に何度かあるというのが現状となっています。
また、昨今VPNの脆弱性を突いたサイバー攻撃が多く発生しており、自社で持つのはリスクであるとも考えられます。
上記のような背景があるため、Cloudflareが安定運用に入ったらVPNを廃止していきたいと考えています。
現在手作業の業務へのシステム導入や、現在導入済システムの刷新は継続していきます。
システム間でデータ連携が必要なものや、内部統制上厳格に運用すべきものも含んでいます。
またステークホルダーが多いシステムもあり、社内業務プロセスを全体俯瞰した視点が必要で、難易度が高いものもあります。
これらを推進できるか、来年ひとつ大きく山になりそうです。
日程調整ツール(Spir、eeasy等)、代表電話応対の改善(業務委託、IVR製品)といった、従業員レベルで少し便利になるツール群もバランス良く導入していきます。
ISMS新規格移行も目処がついたため、来年度は長年の課題だったISMS資料のメンテナンス効率化を目指し、「ISMS関連資料の大刷新(シンプル化)」着手を考えています。
その他、「本社移転に伴う変更審査」、「インシデント管理・セキュリティチェックシート運用・委託先管理の改善活動」も行う予定です。
企業では、規模によって情シスに求められる役割や業務内容は変化していきます。
当社は現在、従業員数だと 300人→1000人 へ成長させているフェーズです。
この変化をポジティブに受け止め、フェーズを支える基盤作りが、情シスの価値提供と考えています。
現在のアジアクエストではなく、この進化過程を「体感してみたい」「やりがいありそう」「共に支えたい」
そう興味を持っていただいた方は、下記の情シス求人からコンタクト頂けると嬉しいです。