クラウド時代のあるべき情シス、「モダンな情シス」の全貌 / Whole picture of the Modern IT Information , in the Age of Cloud Computing.

Transcript

1. クラウド時代のあるべき情シス 「モダンな情シス」の全貌 梶原成親 / kajinari https://kajinari.kreis-works.com/

2. 自己紹介 NOT A HOTEL , Corporate IT Engineer 合同会社Kreis Works

   代表社員 梶原 成親 楽天、リクルート、PLAIDなどで情報システム部門を担当する。 プロセスを改善し、自動化を推進して、メンバーが圧倒的なパフォーマンスを出せる環境構築 と、クラウド時代に適応した「モダンな情シス」を構築する外部CIOとして、環境構築を推進し ています。アジャイルコーチ、スクラムアライアンス認定プロダクトオーナー。 主な書籍 『SCRUM MASTER THE BOOK』翻訳 梶原成親 / kajinari

3. 皆様の会社の情報システム部は 
 「何をする」部署ですか？ 


4. • コーポレートエンジニア、社内SEなど呼び方がバラバラ 
 • 会社によって業務内容。求められることが少しずつ違う 
 • インフラ（サーバ、NW）の管理者でもある？ 
 •

   他部署から業務内容について理解されていない 
 こんなことありませんか？ 情シス の定義 とは？

5. 情報シスの定義の例 引用：https://x.com/ta93p/status/1843435993753629015

6. 情シスにおける昨今の変化 


7. クラウドサービスの活用増加 • SaaS（Software as a Service） の普及により、オンプレミス（社内設置）のシステムからクラウ ドベースのシステムへ移行が進んでいる 
 •

   情報システム部は物理的なハードウェアの管理や メンテナンスから解放 される
 • 他方で、クラウド環境の運用・管理が新たな課題 となっています
 • 業務特化型SaaS（バーティカルSaaS）が増加していることもあり、 １社あたりのSaaS利 用数は増加傾向にあります。（Better Cloud調べ） 
 • 米国の先進的な企業では 100以上のSaaSを活用し、SaaS Powered Workplace等と呼 ばれています。（Better Cloud調べ） 


8. セキュリティリスクの複雑化 クラウド上での業務が増えるにつれて、セキュリティの確保がより重要に 
 • 従来のファイアウォールや物理的な アクセス制御だけでは十分ではない 
 • ゼロトラストモデルの導入、SASE等の概念を用いて、クラウド時代に必要な セキュリ

   ティの再設計（ID管理、デバイス管理など）が必要になります 
 • クラウド上でのデータ漏洩リスクや、アクセス権限の管理などが複雑化しており、 DLP （データ漏洩防止） やCASB（クラウドアクセスセキュリティブローカー） といった新しい セキュリティツールの導入が求められています。 
 • SaaS設定の誤りなどを未然に防ぎ、情報漏えいにしない・させない設計 


9. SaaSの効率的な運用が求められるようになった SaaSを使いこなすSaaSスペシャリストとしての役割が求められます。 
 • 管理するSaaS/社員数が増えることで、 指数関数的に運用の負荷が増えます 
 • 複数のSaaSツールを一元管理し、 自動化するための技術

   が求められています
 ◦ 例えばIdPを導入して、連携するSaaSアカウントの作成削除 
 ◦ 自動化ツール（Terraformなど）を使った運用管理が一般化しています 
 • SaaS間のインテグレーションを、APIを使って コードで解決することも増えた


10. SaaSを社内に定着し、 DXを推進する側面も。 SaaSを熟知し、業務改革を促すチェンジエージェントとしての側面 
 • サービスを選定・導入し、運用を定着させる 
 • SaaSの効果的な使い方を確立して従業員にトレーニングを行う 


    • 部門間でのコラボレーションのためのルールを策定 
 • 新機能をキャッチアップし続け、自社に適用する際の適応課題に取り組む 
 • 従業員のリテラシーと格闘し。正しい振る舞い・使い方を根気よく伝える 


11. 情シスに求められる変化まとめ 引用：https://x.com/ta93p/status/1843435993753629015

12. 情シスに求められる変化まとめ 引用：https://x.com/ta93p/status/1843435993753629015 モダンセキュリティ

13. 情シスに求められる変化まとめ 引用：https://x.com/ta93p/status/1843435993753629015 SaaSOps 
 モダンセキュリティ

14. 情シスに求められる変化まとめ 引用：https://x.com/ta93p/status/1843435993753629015 SaaSOps 
 モダンセキュリティ ツールの伝道師・チェンジ・エージェント 


15. そもそも攻めの情シス、守りの情シ スって


16. 課 題 技 術 「攻めの情シス」とは ビジネスチームの課題に一緒に向き合い、技術（テクノロジー）を持って、課題を解くこ とが必要

17. 「攻めの情シス」とは • ビジネスの成長を支援 
 ◦ 新しいITツールやシステムを導入して業務を効率化したり、データ活用を促進した りすることで、競争力を高めます 
 • イノベーションの推進

    
 ◦ 新しい技術（AI、IoT、ビッグデータなど）を積極的に導入し、業務のデジタル化や 自動化、さらには新たなビジネスチャンスを創出するために、イノベーションをリー ドする役割を果たします
 • 戦略的IT投資
 ◦ SaaSの導入による柔軟なインフラ整備や、効率的なデータ管理・活用に焦点を当 てます


18. 「守りの情シス」とは • システムの安定運用
 ◦ 基幹システムやインフラが安定して稼働させる 
 ◦ システム障害が発生した場合には、迅速に対処し、通常業務への影響を最小限 に抑える
 •

    情報セキュリティの強化とリスク管理 
 ◦ 各種法規制（例えば、GDPRなどのデータ保護法）に準拠し、適切なデータガバナ ンスを実施する
 ◦ 情報漏洩や不正アクセスを防ぐためのセキュリティポリシーの策定と実施 
 


19. 良くない「守りの情シス」の例 • システムの安定運用 
 ◦ 安定運用が第一優先なので、環境の変化や要望に対して対応できない 
 
 • 情報セキュリティ

    
 ◦ 安全に寄与しないセキュリティの慣習を守る 
 ▪ 定期的なパスワード変更
 ▪ メールで添付ファイル送信するときはパスワード暗号化する 
 ◦ 古いセキュリティポリシー、現状に即しないガイドラインを守り続ける 
 ◦ クラウド時代に則さないルール 
 ◦ 現場を無視した厳格なルール 


20. 良くない「守りの情シス」の例 共通しているのは、正しい知識をアップデートできていない時に起こり得ます 
 • CISベンチマーク、NIST等の新しいセキュリティ標準を学び、セキュリティポリシーや、情 報セキュリティガイドラインを正しくアップデートできているか 
 • 経営陣に「なぜ ゼロトラスト・アーキテクチャが必要か」を説明できるか

    
 • セキュリティのためといって、現場の生産性を阻害する動きをしてしまっていないか 


21. 攻めの情シスも、守りの情シスもどちらも必要。 理想の状態に近づけているか？の確認観点 
 • 攻めの情シスでは、
 ◦ 現場の生産性を底上げする施策を入れていく 
 ◦ 情シスも一緒になって、現場のカイゼンプロジェクトに関わっていく

    
 ◦ 環境を整えて、どの職場よりも働きやすい環境を目指せているか 
 • 守りの情シスでは
 ◦ 現場で仕事しやすいが、セキュリティが守られている状態を目指してるか 
 ◦ クラウド環境を前提に、新しくセキュリティ対策を推進できているか 


22. 攻めの情シスも、守りの情シスもどちらも必要。 重要なのはバランスです。 
 • 攻めの情シスはビジネスを加速し成長を促進しますが、これは 守りの情シスがシステ ムの安定運用やセキュリティの維持に成功していることが前提となります • 守りが強固であればこそ、攻めのイノベーションや新規IT投資が可能になり 、企業全

    体のIT活用が効率化され、結果として競争優位性を高めることができるのです このように、「攻め」と「守り」はIT戦略において互いに補完し合う重要な役割を果た しています。 


23. 攻めの情シス、守りの情シス 
 SaaSOpsできていると 
 どう変わるか 


24. NOT A HOTELでの事例を交えて、 お話させていただきます。 


25. 25

26. NOT A HOTELは「世界中にあなたの家を」をコンセプトに、 これまでにないあたらしい暮らしを生み出す企業です 自宅や別荘のように資産として保有でき、 相互利用可能な物件を年 10日単位からシェア購入できる プラットフォームを提供しています

27. None

28. 情シス視点から見た「 NOT A HOTEL」の現場紹介 • メンバー数は急成長
 • 多様なメンバーが所属している
 • フルリモート、フルフレックス


29. 多様なメンバーが所属しており、メンバー数は急成長

30. 多様なメンバーが所属しており、メンバー数は急成長 • 当社はITの会社ではありません 
 • シェフ、ホテルサービス、ソムリエ、弁護士、建築家、不動産営業など、多種多様なメン バーが所属している会社です
 • 昨年１年間で社員数は２倍以上に増加しています 


    • 会社も3つ存在しており、全体を統括しています 


31. フルリモート、フルフレックス • 物理的なオフィスに縛られることなく、各地に散らばるスタッフとの働き方の調和を図っ ています
 • 私たち情報システムは、メンバーそれぞれが自身の役割に集中し、円滑なコミュニケー ションを行えるような環境を整備しています 
 • 組織や事業の急激な成長に遅れを取らず、包括的なシステムと体制を構築しています

    
 • さらに、上場を見据えた長期的な視点での戦略や準備も進行中です 


32. NOT A HOTELは 
 「攻めの情シス」 
 をどう実現している？ 


33. 「攻めの情シス」 : ビジネスの成長を支援 SaaSをフル活用して、車輪の再発明を行わない ＜Before＞ 当社では問合せがあった時に、以下の事を実施していました 
 • 問い合せ頂いた人のプロフィールを調べる 


    • HubSpotのコンタクトに調査内容を転記する 
 • 架電し、打ち合わせ日程を調整する 


34. 「攻めの情シス」 : ビジネスの成長を支援 SaaSをフル活用して、車輪の再発明を行わない ＜After＞ImmedioというSaaSを導入し、以下の業務を自動化 
 • 問合せフォームに入力頂いた情報をもとにWeb検索し、 
 AIでプロフィールを要約する


    • HubSpotのコンタクトにAPI経由で更新をかける（コードで解決） 
 • 打ち合わせの日程調整を自動でモーダル表示させ、 
 • 日程調整から離脱したとしてもアンケートを表示する 
 ◦ インサイドセールスが後日フォローできる状態に 
 • その結果をSlackに通知する


35. 導入した効果について 
 • インサイドセールスがやってる雑務から開放し、より大事なことにフォーカスできるよ うになる
 • 問合せした方のバックグラウンドを知ってる状態ではじまるので、セールストークに活 かせる
 • ペルソナを定義し、セールストークのカスタマイズも生成AIを使って、たたき台を作ら

    せる
 「攻めの情シス」 : ビジネスの成長を支援

36. SaaSOpsの観点で情シスに求められる行動 
 • 課題解決につながるSaaSを発見・探す 
 • SaaSの機能を熟知し、余すこと無く使い切る姿勢が大事 
 ◦ 機能を使い倒した方が、投資対効果が高くなるのは自明

    
 ◦ そのためには、SaaSからの新機能発表は必ず目を通す 
 ◦ コードで解決すること、SaaS機能で解決することを見極める 
 • 漏えいなどの事故が起きないように、導入当初の運用設計は一緒に行う 
 • 現場で運用できるように、スキルトランスファーを行う 
 ◦ ペアワークしながら、確認するポイント、考え方を伝える 
 ◦ カスタマーサクセスとの付き合い方などを伝授すると自律・自走する 
 「攻めの情シス」 : ビジネスの成長を支援

37. 必要なものに投資し、最新の技術を取り入れる 
 • NOT A HOTELでは、生成AIによる業務改善が進んでいます 
 • 生成AIを活用することで、慣れていない業務でも品質の標準を高められるようになっ ています


    「攻めの情シス」 : イノベーションの推進

38. 「攻めの情シス」 : イノベーションの推進（ AI活用） 生成AIの活用例
 課題
 • ワインを商品登録する際、命名規則に沿って登録する必要があるのですが、ソムリエ で無いと、正しく登録することができない課題がありました 


    ◦ 規則を理解してても、ラベルから畑、生産者名、品種などの正しい情報を、読み 取るには専門知識が必要
 ソリューション
 • HOTELの支配人が、ワインを在庫登録する時の命名を自動化するGPTsを作成しま した


39. 「攻めの情シス」 : イノベーションの推進（ AI活用）

40. 導入した効果について 
 • ソムリエがいないとできない作業が、誰にでもできる作業になった 
 • 工数削減はもちろんオペレーターに任せられるようになった 
 • ソムリエなど高度人材はもっとクリエイティブな仕事に時間を使えるようになった

    
 「攻めの情シス」 : イノベーションの推進（ AI活用）

41. SaaSOpsの観点で情シスに求められる行動 
 • 生成AIによる情報漏えいなどに繋がらないようにガイドラインを整備 
 • ChatGPT Teamプランの導入の必要性を把握し、経営陣の承認を得る 
 ◦

    プロンプトを学習に使われない
 ◦ APIでの活用による自社プロダクトへの導入ができる 
 ◦ 専用のGPTsを作成できる ・・など 
 • 使い方のレクチャー、勉強会を実施 
 • 自社GPTsを使って解決できる業務のサンプルなどを提案する 
 • 使える人が、使えるようにアカウント発行の自動化などを実施する 
 「攻めの情シス」 : イノベーションの推進（ AI活用）

42. NOT A HOTELは 
 「守りの情シス」を 
 紹介します 


43. 「守りの情シス」 : パスワード管理のカイゼン ＜Before＞ パスワード管理にまつわる課題 • パスワードをスプレッドシートで管理していた
 • レストランの現場では、弱いパスワードを色んなWebサービスで使いま わしてた


44. 「守りの情シス」 : パスワード管理のカイゼン ＜Afer＞パスワード管理の例 
 • パスワードに関するガイドラインを制定している 
 ◦ パスワードを複数のWebサービスで使い回ししない等

    
 ◦ パスワードマネージャを使ってパスワード生成する 
 • パスワードマネージャを導入し、全社員が使えるようにした 
 • 社内で利用しているSaaSは、OktaによるSSOを実施し、生体認証を使ってパスワードレ スで運用されている
 ◦ パスワードを入力する必要なくなり、早くて楽 
 ◦ 入力しないので、フィッシング対策になる 


45. 「守りの情シス」 : パスワード管理のカイゼン

46. 導入した効果について 
 • 安全なパスワードの運用ができるようになった 
 • パスワードマネージャを活用することで、弱いパスワード、二段階認証が設定されて いないクレデンシャルが見える化されて、是正できるようになった 
 •

    退職者が出てもパスワード変更する運用が回っている 
 「守りの情シス」 : パスワード管理のカイゼン

47. SaaSOpsの観点で情シスに求められる行動 
 • NIST CFS ではパスワードマネージャーを会社で契約し、社員に利用させることを推 奨している
 • セキュリティは向上しているが、管理者の運用は軽減し、従業員側の利便性、生産性 は大きく向上する


    • テクノロジーを正しく使うことで、利便性とセキュリティは両立する事例になると思いま す
 • パスワード管理はその人の仕事のスタイルに近いところへの変化が必要になるの で、適応課題が大きいチェンジ・エージェントとしての力量が問われる 
 「守りの情シス」 : パスワード管理のカイゼン

48. 「守りの情シス」 : デバイス管理 ＜Before＞ • 台帳がなく、PCデバイスが適切に管理されていなかった
 • キッティングも従業員が各自で行っており、セキュリティポリシーに定め られているセキュリティ設定ができているか確認取れなかった
 •

    端末紛失時に情報漏えいにつながるおそれがあった
 • ウィルス対策ソフトを会社として導入できていなかった


49. 「守りの情シス」 : デバイス管理 ＜Afer＞　 MDM（Jamf/Intune）を導入し、ゼロタッチキッティングを実装 
 • 稼働中の端末のスペック、配布先、OS、インストールされているアプリ等が自動的に一 覧化される
 •

    端末を安全に稼働させるため設定が自動適用される 
 • 業務に必要なソフトウェアは自動でインストールされる。アンチウィルスソフトも自動で 導入され解除できない
 • 端末紛失時もリモートでロック・ワイプできる 
 • MDM登録されている端末からのみ、社内SaaSへのアクセスを許可できるようになる 


50. 導入した効果について 
 • 従業員のオンボーディング体験が良くなった 
 • デバイス統制に必要な管理情報が自動的に一覧化される 
 • CISベンチマークで定義されている、安全な端末運用ができるようになった

    
 • セキュリティ関連の設定状況の見える化 
 • ウィルス感染した時などアラートを受け取ることができるようになった 
 「守りの情シス」 : デバイス管理

51. SaaSOpsの観点で情シスに求められる行動 
 • Windows AutoPilot、MacのDEP等の仕組みを知ることで、正しいデバイス管理方法を 学ぶ必要がある
 • 毎回丁寧に手動でキッティングするよりも、モダンなセキュリティを実現するための仕 組み作りに注力する
 •

    MDMは導入したら終わりではなく、OSのアップデートがあるたびにカイゼンが必要な ので、常にキャッチアップが必要 
 • これらをやり切ることができると、快適な環境を従業員に提供することができるといえ る
 「守りの情シス」 : デバイス管理のカイゼン

52. NOT A HOTELの現場のまとめ 


53. 従業員の生産性を阻害しないようデザインされています 以下のようなことは無いように努めています。 • 特定の場所 / VPN経由でしかアクセスできない • 特定のパソコン端末しかアクセスできない • 特定OSでしか、使えないようになっている

    • 何か新しい事をしたい時に、システムがネックで出来ない • 情シスが門番のように振る舞って、確認が無いと新しいことができない

54. 必要なものに投資し、最新技術を取り入れることで 「超クリエィティブ」な環境を作ることができる • ゼロトラストアーキテクチャをベースに、セキュリティには必要充分に配慮されている環 境です • セキュリティを実装するために従業員の生産性を損なうことは極力無いように設計され ています • 最低でも週に一つのペースで業務改善が現場主導で行われています

    • ただ、スケールするために、どうするのか？を考える続ける必要があります

55. クラウド時代のあるべき情シス、 「モダンな情シス」とは 


56. まとめ • クラウドへの移行は、不可逆な変更です • そのため、それに対応した役割の変更を受け入れる必要があります • 業務は多く、収めるべき知識は広範囲に渡りますが、得意な領域を作りましょう 


57. SaaSを熟知しフル活用できる人材へ、業 務改革を促すチェンジエージェントにな り、事業成長を加速する存在にシフトしま しょう