はじめまして、スマートキャンプの郷田と申します。
この記事では、エンジニアがコーポレートITを立ち上げた経験を元に学んだことをアウトプットしています。 コーポレートITに関わる人の助けになればいいなぁと思って書きました。
経緯
2016年の10月頃にスマートキャンプにエンジニアとして入社しました。
当時は社員数が10人弱だったのですが、2018年には社員数が30人を超えました。
事業が成長する一方で、前職では当たり前だったPCやアカウントなどの資産管理や、それにに関連するセキュリティ施策などは入社時からほとんどされてない状況でした。
それにより弊社ではセキュリティインシデントによる事業継続リスクが見えるようになってきました。 このような状況になっている企業はまだまだあるのではないでしょうか?
この状況を脱却するためにセキュリティ強化は必須であると考え、弊社代表に「セキュリティやばいっすよ!」と相談したところ「思うようにやっていいよ。」といわれ、私は会社全般のセキュリティの強化(実質的なコーポレートITの立ち上げ)を行うこととなりました。
立ち上げの過程でやったこと
2018年2月から11月までの約9か月間で立ち上げを行いました。
最初は開発業務と兼務して進めていましたが、コーポレートIT立ち上げに関する全ての業務を一人で進めていたため、開発業務に手が回らなくなり、2018年5月ごろからはコーポレートIT業務だけを行っていました。
情報セキュリティの勉強から全社的な啓蒙活動、Pマーク取得まで、やったことを順を追って説明したいと思います。
情報セキュリティの勉強
情報系の大学出身のため、座学でのITセキュリティ強化はわかるものの、企業で必要なコーポレートITのセキュリティ知識はなかったため、これらを学習するために情シスに深い知識を持つ業務委託の方を採用し、実践を通じて知識を増やしていきました。
コーポレートIT関連の業務の切り出しと巻取り
いわゆる情報システム部門が行うべき業務が、代表、総務・労務・財務担当といったバックオフィスメンバー、各部門長が行っていたため、それらの実態把握と、巻取りをしました。
- 業務例
- PCやスマホのキッティング作業
- PCやスマホ等の情報記憶媒体の採番と管理
- 入退社時のアカウントやPCの発行・変更・削除
- 社内情報システムの一元管理
- 全従業員に付与されるサービスのアカウント管理
- インターンやパートの情報アクセス権限の制御
- etc...
社員の教育や啓蒙活動
また、社員教育のために次のような啓蒙活動を行いました。
- 契約書や履歴書といった機密情報の管理方法の説明
- クラウドサービス利用時に 複数人で共通IDを利用しちゃう文化がやばい
- あなたが今取り扱ってる情報は個人情報なんですよ! という意識付け
これら対策が行われなかった場合のリスクと、インシデント発生による事業継続リスクの大きさの説明を、全従業員に説明する機会も設けました。
Pマーク申請・取得
バックオフィスのメンバーを中心に行っていたPマーク取得業務ですが、セキュリティ知識が無いメンバーのみで進めていたので、実態が全然ついてきていない状態でした。
これらの実態整備をし、最終的に申請から現地審査、取得の旗振りまで行いました。
採用
自身の知識や適性、やりたいことを考えたときに、コーポレートITを継続するのは効率的ではないと考えたため、情シス業務の経験がある専任の採用活動を進めました。
募集要項作成から面談まで行い、社員1名、業務委託2名の採用を行いました。
立ち上げで学んだ6つのこと
1. セキュリティやシステム管理の知識
コーポレートITとして企業で発生するセキュリティリスクの対策方法を学ぶことができました!
Pマークは個人情報を適切に扱うためのノウハウのフレームワークのため、個人情報保護法や、個人情報のマネジメント方法を学ぶことができました。
また、自社で定めている規程類、規約類にはどういった内容が書かれているか、Pマーク取得やコーポレートIT立ち上げの中でどれをどのように変更する必要があるか、といった点も学ぶことができたのは良い経験でした。
どちらもコツとしては、リモートが多い企業や、セキュリティを重要視する企業など、業界や企業規模、取り扱う商品やサービスなどによって全く違うということは、エンジニアの業務だけだと知ることができなかったことであり、良い学びとなりました。
これらの学びを通して、普段の開発業務でも「これは個人情報のマネジメント観点で問題があるのでは?」ということを詳細に理解説明できるようになったことも、良い学びでした。
2. 想像以上の悲惨な状況
コーポレートITの立ち上げをするためには、自社の現状を把握する必要があります。そのため、Division Manager(いわゆる部門長)にヒアリングをしたり、コーポレートITに関わる実務をされているメンバーにヒアリングをしたりすることを、立ち上げ期間は繰り返し行いました。
結果として、業務として比較的セキュリティリテラシーを求められるエンジニアにとって当たり前だと思っていた管理は、他Divisionではほとんど管理されていないことがわかりました。
たとえば、機密情報にあたる契約書や顧客情報のやり取りを行う連絡媒体がDivisionや会社として統一されておらず、slack、Chartwork、FacebookMessenger、メール、etc...と、複数媒体に乗って、アクセス権がその都度設定されており、管理しているとは言えない状況でした。
他の例としては、ユーザー管理機能があるサービスなのに、1つのID,PWを全員で使いまわして利用している、といった具合です。
このような状況であることは、コーポレートITを立ち上げようと思わない限りずっと知ることができなかったので、セキュリティリテラシーの当たり前を当たり前のように実行することは、人によっては意外とハードルが高いものだとということが学びでした。
3. バックオフィスの業務
コーポレートITの立ち上げの中で業務巻取りを行っていたのですが、それぞれ、入退社フローで労務の業務との連携、PCの準備で経理業務との連携といったように、各バックオフィスと連携をとって業務を進める必要がありました。
開発業務は複数人で1つのシステムに手を入れていく作業のため、タスクレベルの共有だけでなく、思想レベルでメンバー同士が認識し合うことが、業務成果につながるのですが、バックオフィス業務は、一人ひとりが専門知識、専門業務を行う集団であるため、その業務における思想の共有はほとんどされないこと、そして、それぞれの個を尊重して信頼することで成り立っているチームなんだということを知れたのはとても新鮮でした。
また、エンジニアは負として捉える「繰り返し作業」について、バックオフィス業務ではかなりの数の繰り返し作業が発生しがちで、それらを淡々と高速にこなしていく姿をみて高い精神力を感じたため、今ではとても尊敬しています。
4. 社員のセキュリティへの漠然とした不安
コーポレートITの立ち上げを行う前は、一人ひとりがSaaSなどを使いこなし、セキュリティに関しても自身で対策して進めていける良い集団だと勝手に思っていたのですが、立ち上げ時に、「システムやセキュリティ、PCやスマホ管理といった、ITに関わることなんでも私に質問していいよ!」と言って回ったところ、すごい数の質問が来るようになりました。
特に、2018年以降に入社した中途メンバーから、前職とくらべてセキュリティに関する制約があまりにも少なすぎて不安に思う声が多かったです。
ただ、どのように対策すればいいのか、このままでいいのかわからないという声がとても多かったため、正しい知識を持つ人は希少性が高いということを身をもって知ることができました。
5. 協力者の重要性
立ち上げを進めていく中で、セキュリティリスク対策をすすめるとどちらかというと事業成果に直接つながらない守りの業務を各社員に実施してもらう必要が出てきました。
いままで一人で進められていた作業を、コーポレートITがやるようになったり、外部とのファイルのやり取りを各媒体に統一する必要があったりと、手間が増えてしまうことが多い状況でした。
なのでお願いをして回ることが多いのですが、なかなか理解してもらえず何も実施してもらえないこともありました。
たとえば営業からエンジニアの業務にあーだこーだ言われてもなかなか聞く気になれない気持ちはわかるので、コーポレートITに関しても他部署の協力者を増やす努力をすることで、段々と話がしやすくなりました。
最初は協力者が居なかったためほんとに辛い時期が続いたので、戦略として協力者を作ることがとても大切だと学べました。
6. 自分がやるべきこと
開発で解決できることは、関わる人の生産性が上がることが多く、アジャイルな手法をとっているチームでは成果が出るまでのスピードも早く、関係者が喜んでいることを感じられる仕事です。
一方、コーポレートITによる施策は、リスク対策のために工数増えてみんなの生産性を下げてしまうことも多いし、成果が見えないことがほとんどだし、なかなか褒めてもらえないし、興味を持ってもらえないことが多い仕事です。
今回の立ち上げで、自分の評価が180度変わったように思えることが多く、人生の中でも記憶にのこる辛い期間となりました。
ただ、業務が変わっても、自分や会社が目指している世界は変わらないし、職は違ってそれぞれいろんな苦労がある中で、同じ目標を目指して進んでいるということがわかり、目標を失わずに進むことがとても大切であると学びました。
コーポレートIT部門をこれから作る企業へ
必要だと感じている方
コーポレートIT立ち上げは、全社の業務に影響がでます!なので、皆さん自分ごとだと思って取り組むことが、短期的に立ち上げるコツです。
特に、セキュリティリスクの対策の最初の一歩は、ヒューマンエラーを減らすことです。社員全員がコーポレートITの業務に理解を持てる状況を作ることは、セキュリティリスク対策でとても効果的です。
また、コーポレートITは立ち上げをされる方を評価してあげてください。他の人の業務を増やして整理しただけで何も生み出してないと考えるのではなく、業務を整理して最適化することで、なにか問題起きたときに対処できるようになったと考えて、評価をしてあげることが大切です。
特に誰かのためになりたいと思う人が多いため、評価をしないと担当のモチベーションがどんどん下がってしまいます。
立ち上げてみたいエンジニアの方
もし、エンジニアがコーポレートITを立ち上げるであれば、本気で会社を変える意気込みを持ってください。片手間でやろうと思うと、なかなか成果もでず「やらされている」感がでてしまいます。
ただ、本気で取り組んでもすぐには成果は出ないです。それを継続することで成果がでるようになります。最初は嫌な顔されたとしても、やりきればコーポレートITが必然となるので、その環境を目指して、全力で取り組んでください。
今のスマートキャンプ の状況
「コーポレートITすごく状況良くなってるよー!」
立ち上げはなんとか終わり、専任も採用でき、現在は2名がコーポレートITとして常時稼働している状況を作ることができました。
また、ITに関してなんでも簡単に聞ける環境も作ることができ、全社員から直接感謝してもらえる環境ができたため、働きやすい状況になったのではと考えています。
私は立ち上げを行ったため、過去の経緯などで深く認識していることもあるため、定期的にコーポレートIT担当とランチに行き、サポートできる状況を継続しています。
さいごに
自社内の話ですが、コーポレートIT立ち上げを気持ちよくサポートしていただいた皆さんに、感謝を書き残しておきたいと思います。
- 立ち上げ時に超辛かったときに、私の業務を自主的に巻き取ってくれたエンジニアの皆さん
- ITわからないなりにも、「コーポレートITは重要だよ!」といい続けてくれた上司
- 「やりたいことなんだったらやってみればいいと思う。」と言ってくれた代表
最後まで読んでいただきありがとうございます。ここに記した私の学びがなにか参考になれば幸いです。