上場前後で描く、「モダンな情報システム部門」への進化とその取り組み

Transcript

1. Copyright coconala Inc. All Rights Reserved. 上場前後で描く、「モダンな情報システム部 門」への進化とその取り組み 株式会社ココナラ 川崎

   雄太 2025/03/17 ここだけの話！ 弥生とココナラに学ぶ 企業成長に 合わせた情シス体制の作り方

2. Copyright coconala Inc. All Rights Reserved. 自己紹介 2 川崎 雄太　Yuta

   Kawasaki @yuta_k0911 株式会社ココナラ Head of Information / Dev Enabling室 室長 株式会社ココナラテック 執行役員 情報基盤統括本部長 SRE / 情シス / セキュリティ領域のEM SRE NEXT 2025のコアスタッフ 🆕 AWS Community Builders（Security）

3. Copyright coconala Inc. All Rights Reserved. 3 ココナラの事業内容

4. Copyright coconala Inc. All Rights Reserved. ココナラのエンジニア数の変遷 4 事業拡大に合わせて 4年で約4倍の組織規模に成長

   2020年 2024年 フェーズ 上場前 上場後 エンジニア数 20人強 80人強 リポジトリ数 45 200以上

5. Copyright coconala Inc. All Rights Reserved. 5 Agenda ココナラで抱えていた情報システムの課題 上場前後での試行錯誤

   振り返り 未来の展望 2 1 3 4

6. Copyright coconala Inc. All Rights Reserved. ココナラで抱えていた 情報システム部門の課題 Chapter 01

   6

7. Copyright coconala Inc. All Rights Reserved. 上場前の情報システム部門は どういう状態だったか？🤔 一言でいうと、体制は整っておらず、 リアクティブにしか、

   動けていなかった 😵 7

8. Copyright coconala Inc. All Rights Reserved. 実際のところ、上場前はどうだったか？ 8 課題の把握が弱く、どの順番で何をすればよいか？が不明確 情報システムに関して、後手後手の状

   況だった。 • そもそも「何が課題か？」を正 しく認識できていない。 • リアクティブ的に発生する課題に 対しての対応はしているが、もぐ らたたきでしかない。 • 情報システムの全体感を捉えて、 体系立てた課題対応を推進 する役割がない。

9. Copyright coconala Inc. All Rights Reserved. 上場前はどういう体制で情報システムと向き合っていたか？ 9 ひとり情シスがギリギリ立ち上がったぐらい ひとり情シスが立ち上がったのが、上

   場の1年弱前。 CSIRTを立ち上げたのは上場から半 年経過したあと。 それまでは専門組織はなく 、インフ ラ・SREエンジニアが手の空いたとき に対応。 プロダクトのグロースを優先するの で、もぐらたたきで手一杯。

10. Copyright coconala Inc. All Rights Reserved. 上場前後での試行錯誤 Chapter 02 10

11. Copyright coconala Inc. All Rights Reserved. 情報セキュリティ対策に関する自社内のアセスメント 11 脅威の対策度合いを細分化し、対策度合いを数値化 ※2021年時点の情報

    対策度合いを数値で表 し、数値が小さい＝優 先度高と定義。 例えば、この時点では 「DDoS攻撃」や「脆 弱性攻撃」が外部脅 威の弱み。

12. Copyright coconala Inc. All Rights Reserved. 情報システム部門強化推進に向けた経営層の説得 12 対策費用とインシデント発生時の影響を定量で比較 情報システム部門強化を進め

    ていくためには、経営層の理解 が不可欠。 たとえば、「インシデント発生 時の対応費」 ＞ 「セキュリ ティ対策費」 という構図を経営 層に理解してもらい、体制構築 やソリューション導入の予算を 獲得した。

13. Copyright coconala Inc. All Rights Reserved. 体制の強化 13 SREとも協業して、社内外システム基盤に取り組む 　プロダクトプラット

    フォームグループ 情報システム グループ インフラ・ SREチーム （5名） CSIRTチーム （2名） CITチーム （5名） - AWSアカウント分離 - IAMロール整備 - 攻撃対策ソリューショ ン導入 - アクセス権限精緻化 - 新デバイス / OS検証 ・導入 - アクセス権限精緻化 ※SREチームがセキュリ ティ業務を兼務している企 業は少なくない！

14. Copyright coconala Inc. All Rights Reserved. ここからはジョーシス導入に 関する内容を説明します。 14

15. Copyright coconala Inc. All Rights Reserved. ココナラが解決したい IT統制・ガバナンスに関する課題その 1 15

    内部脅威の状況の可視化ができていなかった 上場当時、ココナラの情報システム部門 が立ち上がってまだ1年程度のため、 「シャドー IT」が一定数存在している ことは把握できたが、全量はわから なかった。 情報の不正持出しの経路は多数あり、ど こで問題が起きそうなのか？の把握 すらできない状況だった。

16. Copyright coconala Inc. All Rights Reserved. ココナラが解決したい IT統制・ガバナンスに関する課題その 2 16

    プロアクティブな遮断対応ができていなかった 先の課題に紐づくが、可視化ができてい ない＝何が行われているかがわからない 状態だった。（追いかけようと思えば追い かけられるが、ピンポイントは難しい） 追いかけようと思ったときにすでに情報 が外に出ていっていたら、時すでに 遅し。 ここを未然に防ぎたかった。

17. Copyright coconala Inc. All Rights Reserved. 前述の課題はありつつも、 事業のグロースを重要視する フェーズだった。 17

18. Copyright coconala Inc. All Rights Reserved. そのため、情報システム部門としては他 の施策（当時はAppleシリコンアーキテク チャへの対応など）を 優先せざるを得なかった。

    結果として、「リスクとしては認識してい たが…」で止まっていた😓 18

19. Copyright coconala Inc. All Rights Reserved. そこからジョーシスに出会って、どう変 わっていったか？をご紹介します。 19

20. Copyright coconala Inc. All Rights Reserved. ジョーシスとの出会い 20 もともとは手作業の効率化の手段として考えていた ココナラはSaaSを20以上導入しており、

    従業員の増加とともに入社・異動・退 社の作業が増え 、対象となるSaaSも増 えていくことが目に見えていた。 ここを一元管理・一括作業を行うこと で、手作業の効率化を行いたく 、その 中で出会った。

21. Copyright coconala Inc. All Rights Reserved. 打ち手としてのジョーシス（シャドー IT対策） 21 連携可能なアプリの状況を可視化し、シャドー

    ITを検知 ココナラが使っている SaaSは連携可能な アプリにあったので、 状況を可視化するこ とができた。 その流れでシャドー ITも可視化・特定 できた。 今では対象を一覧で 見ることもできる。

22. Copyright coconala Inc. All Rights Reserved. 打ち手としてのジョーシス（ゼロタッチデプロイの実現） 22 アカウント自動作成 〜

    管理を一気通貫で実現 Google Workspaceを起点 として、アカウントの自動作 成・同期を行うことで、手作 業の効率化 ＝ ゼロタッ チデプロイの実現をする ことができた。 対応可能なSaaSもどんどん 増加しているし、要望も出せ る。

23. Copyright coconala Inc. All Rights Reserved. 「作業漏れによる情報漏洩リスク排除」と いった IT統制にもリーチできた 🎉

    これを上場後時間を空けずに対応できた のは助かっているポイント。 23

24. Copyright coconala Inc. All Rights Reserved. 振り返り Chapter 03 24

25. Copyright coconala Inc. All Rights Reserved. 経営層に対して「どれぐらい必要か？」を説明するハードルが高い 25 投資対効果（ ROI）を定量的に説明することが難しい

    「万が一、情報漏洩が発生した場合の対 応コスト」と「ソリューションの費用」を比較 するが、前者の発生確率を正しく説明で きないと、合意形成が難しい。 「発生確率」を社外インシデント事例など をベースに試算し、経営層に対して説明 を実施することで、理解を得た。

26. Copyright coconala Inc. All Rights Reserved. 実運用のイメージを具体化することが難しい 26 導入して終わりではなく、いかに運用するか？がポイント ソリューションの導入コストは導入前に正

    しく見積もれるが、運用コストはなかなか 正しく見積もることが難しい。 PoCはしていてもたとえば学習コスト、人 員増加・組織改編の頻度 / 規模など考え る要素が多い。 別のセキュリティ運用を参考にして、運用 コストを試算した。

27. Copyright coconala Inc. All Rights Reserved. セキュリティ対策は「早く始めて、早すぎることはない」 27 上場前に焦って付け焼き刃になるのは NG、地に足を付ける

    どのようなプロダクト・サービスを提供し ている会社でも、「セキュリティ対策」 は必須。 必要に迫られてから実施するのではな く、あらかじめ実施が必要なタスク として見込んでおく ことで、焦って優 先度の低い対応（緊急だけど重要でな い）に時間を取られないようにすること が重要。

28. Copyright coconala Inc. All Rights Reserved. ただし、後手後手になるときもあるので、しっかり優先度を見極める 28 時間がないからこそ、本当にやるべきことにフォーカスする セキュリティ対策に使えるリソース（予算、

    工数、など）は限られるので、取捨選択をし つつ、効率的・効果的に対策を進める ことが重要。 手当たり次第に対応していくのは悪手なの で、緊急度 × 影響度で優先度を見極め て、1つ1つ対応していく。 セキュリティ対策に銀の弾丸は（おそ らく）ない。

29. Copyright coconala Inc. All Rights Reserved. 未来の展望 Chapter 04 29

30. Copyright coconala Inc. All Rights Reserved. 情シスが事業成長の足かせにならないようにする 30 むしろ事業成長を足元から支えられるようにする 「費用対効果」を求められる局面が多い

    が、どうしても「費用の最小化」 に目が行 きがち。 「効果の最大化」 についてもしっかり目を 向ける必要がある。（コスパでコストしかみ ていない人が多い） ・生成AIの利活用 ・内製 or アウトソース ・人海戦術 or ツール導入 ・・・and more

31. Copyright coconala Inc. All Rights Reserved. エンジニアの総数が減っているあおりをうける 31 コーポレートエンジニアの人数が増えない前提で動く きっとコーポレートエンジニアの採用に苦

    しんでいる会社さんは多い。 その状況下で、ビジネスを止めないため に試行錯誤をひたすらやり続ける 必 要がある。 ソリューションは「導入する」よりも「導 入後の運用」が大事 なので、いかに 運用を見据えて、改善できるか？がポイ ント。

32. Copyright coconala Inc. All Rights Reserved. 話を戻すと・・・ ジョーシス導入で統制と業務効率化の 両方を実現することができました！ 類似の課題を持っている会社さんは

    ぜひご検討ください！！😁 Josys could be a silver bullet…?? 32

33. Fin