1人目の情シスとして入ったときにまずやるべきこと

一気にざざっと書いたので日を置いてもう少し整理していきます。

この記事について

過去に2社のベンチャー企業にて情シス部門を立ち上げ、責任者として推進してきたノウハウをもとに、最初にやるべきことを書いていきます。

※あくまで私の経験＋私の友人の経験という狭い範囲の経験をもとにしています。
もっといいやり方があるなら教えてください

対象

情シス1人目として入社した社員
上記社員の上司

※
情シスの分野は一般的に戦略、開発、インフラ、セキュリティ、ヘルプデスクなどと分かれてきますが、
この記事では全分野を担当する形で書いていきます。

１．業務範囲を定義する

最初はなんといっても情シスという業務の定義をしましょう。
情報システム担当、社内SE、コーポレートエンジニアリングなど呼び方は様々ですが、
企業や人によって業務イメージが異なります。
よって最初はここからやっていきましょう。

ここで1つポイント。
きっちり細かく定義する必要はありません。上場を目指す段階になったら業務分掌などの規定をつくることになるので、
ここでは会社と業務範囲の共通認識をもつ、ということが大切です。

２．IT統制のロードマップを策定する

情シス1人目が入ったタイミングというのは、まず間違いなくIT統制が取れていません。
逆にすでにできているのであれば、すごい企業です。
攻めのITをやる前に、守りのIT=IT統制が必要なのでまずはここからやっていきましょう。

ロードマップ、スケジュールなどなど言い方はなんでもよいです。
現状を確認し、1年後にどうあるべきか、そしてそのために実行していくことを作ります。

正直、このフェーズはつまらないです。

ちなみにIT統制＝社内のIT資産をコントロールするという意味合いで使っていきます。
いわゆるOSやSaaSなどのアカウント、PCやスマホなどのIT機器、ソフトウェアなどのライセンスなどを
コントロールできるようにするということ。

現状を確認しながら、統制がとれていないのであればロードマップに組み込んでいきましょう。
例としてはこのようなことです。

• PCのOSアカウントがローカルアカウントで運用されている　→　OSアカウントの統制を行いましょう
• 社内でどのようなSaaSを使っているかわからない　→　社内で使用してるSaaSとそのコストを可視化していきましょう
• PCが何台あって、誰がどのPCをつかっているかわからない　→　PC端末の統制を行いましょう

３．セキュリティのロードマップを策定する

IT統制同様に現状を確認し、ロードマップを作っていきます。

• セキュリティポリシーや実運用レベルのガイドラインはありますか？
• 実態との乖離はありますか？
• 今後、ISMSやPマーク、PCI-DSSなどのセキュリティ認証を取得する計画はありますか？

セキュリティに関する経営層の意識は業界や企業毎に大きく変わってきます。
ここではいったん会社がどう考えているかも聞いておきましょう。

またリスクアセスメントをロードマップの最初の方に入れておくと良いです。
リスクアセスメントとは、企業のどこにリスクがあるかを可視化することです。
リスクを可視化すると経営層も認識していなかったリスクが見えてくるのであなたの株は爆上がりです。

ちなみにこれをやらないと場当たり的なセキュリティ投資になり、全体最適なセキュリティ投資が難しくなっちゃいます。

４．既存の運用業務をロードマップに追加する

もし、他の部門の社員が行っていた運用業務を情シスでやると定義したのであれば、
その業務の引き継ぎ計画についてロードマップに追加します。

個人的な見解ですが、この運用業務を引き受けるとそれだけで手一杯になり、今までロードマップに入れてきた業務が
中々進まなくなる可能性があります。

最終的には情シスで引き受けることにしても、しばらくの間は今までどおり他の部門の社員の方にやってもらったほうが良いです。

４．その他、個別に必要なものをロードマップに追加する

もし移転が計画されているのであれば、移転をロードマップに入れたり、ネットワークが遅いというのであれば、ネットワーク改善を入れたりと必要なものを入れていきます。

５．上司と合意を取って実行する

出来上がった1年のロードマップについて上司と合意を取っていきます。
1人体制で1年後、どこまでできるか（やるか）、について話し合い、必要であれば2人目がほしいことも提案しましょう。

合意が取れたら実行するのみです。

６．四半期ごとにロードマップを見直す

ロードマップはあくまで予定です。割り込みのプロジェクトも入ってくるでしょう。
四半期などのタイミングでロードマップを見直し、また上司を話し合いましょう。

７．いちばん大切なこと

いろいろと書いてきましたが、いちばん大切なことがあります。
それは現場の社員と仲良くなることです。

私がオススメする方法は、入社したあと1～2ヶ月ぐらいかけて全部門の人とランチに行くことです。
（夜だと色々と問題になるご時世なのでランチが無難ですよ～！）
ランチに行き、色んな部門の人の顔を覚え、どんな仕事をしているのか、どんなことに困ってるのか話を聞きましょう。
そのあとも何かあれば挨拶をし、雑談し、仲良くなっていくとよいです。

ものすごく泥臭いけど、これがいちばん大切だと思っています。