初めに
「一人情シスごっこ」について
エンジニアはねーーーーーー 誰でも一生のうち一回は一人情シスってのを夢見る と範馬刃牙は言ってませんが、自分は何となく憧れがありました。
実際に一人情シスをされている方からは怒られると思いますし、業務量の多さや責任の重さは想像に難くはありませんが、一種の箱庭ゲームのように自分の管理下で様々な物事を決めていけるという側面は魅力的です。
とはいえ、業務の具体的な内容を知らないようでは一生あこがれたままだなと思い、シミュレーションをしてみよう、というのが本企画「一人情シスごっこ」になります。
進め方
①生成AIに架空の会社、シチュエーションを作ってもらう
②その会社に一人情シスとして採用されたと仮定して、課題解決を行う
③ある程度課題が解決できたら、会社が成長したシチュエーションを再度作成し、対応する
注意点
個人で行っているため、法人契約やまとまった金額が必要な対応については対応しない、あるいはできる範囲での対応となります。
必ずしも最善の対応とならない場合がありますのでご了承ください。
最初のシチュエーション
ChatGPTに、現実のスタートアップ企業でありうる状況を仮定してもらいました。
TechNova株式会社(仮)
社員:25名(リモート 50%)
情シス専任は初の配置。
SaaS/デバイス/ファイル共有/アカウント管理が多くの会社と同様に無秩序状態。
1. 既存SaaS(すべて個人無料プランベース)
コラボレーション・ドキュメント
Google Workspace(個人Gmailで無料利用)
各自が勝手にGoogle Driveを作成
共有リンクが外部公開のまま放置されている
Dropbox Free
一部チームがDropboxで営業資料を管理
Notion Free
部署ごとに個別ワークスペース(混乱・分断)
コミュニケーション
Slack Free
メッセージ履歴が90日制限でログ欠損
チャンネル整理なし
プロジェクト管理
Trello Free(開発チーム)
Asana Free(ビジネスチーム)
→ 二重管理で混乱
その他
GitHub Free(個人アカウントでコード管理)
Zoom Free(40分制限)
Miro Free(3枚のボードでパンク気味)
2. デバイス状況
社員が自分で購入したPC or 会社購入だが管理者が不在
台帳なし
macOSとWindowsが混在
OSアップデートは各自任せ
暗号化状況不明
紛失時の対応手順なし
EDRなし
3. ID・パスワード管理
全員が個人Gmailでサービス登録
退職者アカウントがそのまま生きている
共有アカウントが複数存在(営業用、開発用など)
MFAの利用率 30%以下
4. ファイル共有
Google Drive
Dropbox
個人PCローカル
Slackファイル
→ データが散在、どこが最新かわからない
5. ネットワーク
家庭用Wi-Fiルータで構築
パスワード共有(紙に書いて壁に貼ってある)
VLANなし
ゲストネットワークなし
VPNなし(リモートワークはSaaS頼み)
6. 業務プロセス
入社手続きは社員がSlackで「アカウント作ってください」と言うだけ
退社手続きは経理担当がSaaSごとに各自連絡
SaaS契約管理者が不明なサービス多数
備品管理なし
パスワードルールなし
7. セキュリティ
情報が外部共有されたままになっているケースあり
個人アカウントの乗っ取りリスクが高い
監査対応不可
アクセス権管理が完全に属人化
ここからの進め方
①課題の整理と優先度付け
②対応方針の検討
③優先度順に対応
本記事では①の対応を行っていきます。
具体的な対応は次回以降に行っていきます。
課題の整理と優先度付け
本来であれば洗い出しに一定の時間がかかると思いますが、それはシミュレーションのために割愛です。
課題を大雑把にまとめると、
1.セキュリティ
2.内部不正
3.運用不備
4.非効率性
と分類できます。
具体的にどのような内容がリスクになりうるか、優先順位とともに整理した表が以下です。
| リスク分類 | リスク概要 | リスクとなる現状 | 対応優先度 | 対応 |
|---|---|---|---|---|
| セキュリティ攻撃 | 不正アクセス(端末) | 社員が自分で購入したPC or 会社購入だが管理者が不在 | 高 | PC台帳の整備 |
| セキュリティ攻撃 | 不正アクセス(端末) | MFAの利用率 不明 | 高 | 調査とMFAの強制、IdPの整備 |
| セキュリティ攻撃 | 不正アクセス(端末) | パスワードルールなし | 高 | IdPの整備 |
| セキュリティ攻撃 | 不正アクセス(端末) | OSアップデートは各自任せ | 高 | 資産管理ソフトの導入 |
| セキュリティ攻撃 | 不正アクセス(端末) | 暗号化状況不明 | 高 | 資産管理ソフトの導入 |
| セキュリティ攻撃 | 不正アクセス(端末) | EDRなし | 高 | EDRの導入 |
| セキュリティ攻撃 | 不正アクセス(端末) | 紛失時の対応手順なし | 高 | 運用の整備、遠隔情報削除ソフトの導入 |
| セキュリティ攻撃 | 不正アクセス(NW) | パスワード共有(紙に書いて壁に貼ってある) | 高 | パスワードの公開停止 |
| セキュリティ攻撃 | 不正アクセス(NW) | VLANなし | 低 | ゲスト用にVLANを設定 |
| セキュリティ攻撃 | 不正アクセス(NW) | ゲストネットワークなし | 低 | VLANを作成したうえでゲスト用のWi-Fiを用意 |
| セキュリティ攻撃 | 不正アクセス(アプリケーション) | パスワードルールなし | 高 | IdPの整備 |
| 内部不正 | 退職者による情報アクセス | 退職者アカウントがそのまま生きている | 高 | IdPの整備、運用の整備 |
| 内部不正 | 退職者による情報アクセス | 退社手続きは経理担当がSaaSごとに各自連絡 | 高 | IdPの整備 |
| 内部不正 | 権限制御の不備 | 各自が勝手にGoogle Driveを作成、共有リンクが外部公開のまま放置されている | 高 | IdPによる権限制御、共通基盤の用意 |
| 内部不正 | 権限制御の不備 | 一部チームがDropboxで営業資料を管理 | 高 | IdPによる権限制御、共通基盤の用意 |
| 内部不正 | 権限制御の不備 | 共有アカウントが複数存在(営業用、開発用など) | 中 | 運用の整備 |
| 内部不正 | 監査不足 | 台帳なし | 高 | 台帳の整備 |
| 内部不正 | 監査不足 | データが散在、どこが最新かわからない | 中 | 台帳の整備 |
| 内部不正 | 監査不足 | 備品管理なし | 高 | 台帳の整備 |
| 内部不正 | 監査不足 | メッセージ履歴が90日制限でログ欠損 | 中 | 有料版へのバージョンアップ |
| 運用不備 | 端末紛失 | 暗号化状況不明 | 高 | 資産管理ソフトの導入 |
| 運用不備 | 契約管理不備 | 台帳なし | 高 | 台帳整備 |
| 運用不備 | 契約管理不備 | SaaS契約管理者が不明なサービス多数 | 高 | 台帳整備、IdPの整備 |
| 運用不備 | 主要従業員退職による資産消失 | GitHub Free(個人アカウントでコード管理) | 高 | IdPの整備、共通基盤の用意 |
| 非効率性 | コミュニケーション | 部署ごとに個別ワークスペース(混乱・分断) | 中 | 運用整備、共通基盤の用意 |
| 非効率性 | コミュニケーション | チャンネル整理なし | 低 | 運用整備、共通基盤の用意 |
| 非効率性 | コミュニケーション | Zoom Free(40分制限) | 低 | 有料版へのバージョンアップ |
| 非効率性 | プロジェクト管理 | プロジェクト管理が別システム | 低 | 運用整備、共通基盤の用意 |
| 非効率性 | プロジェクト管理 | Miro Free(3枚のボードでパンク気味) | 低 | 有料版へのバージョンアップ |
| 非効率性 | データ管理 | → データが散在、どこが最新かわからない | 低 | 台帳の整備 |
| 非効率性 | ネットワーク | 家庭用Wi-Fiルータで構築 | 低 | 業務用Wi-Fiルーターでの構築 |
| 非効率性 | ネットワーク | VPNなし(リモートワークはSaaS頼み) | 低 | VPNの構築 |
次のステップ
優先度の高い課題から対応をしていきます。
端末およびアカウント管理を進めていくことにします。