2018年9月にソフトウェアエンジニアとしてジョインしました齊藤匡人です。私が入社した経緯などについてはこちらの記事でお話しています。お時間あります際にご笑覧ください。

私はエクサウィザーズにおいて、エンジニア組織である技術統括部のソフトウェアエンジニア採用面接も2年近くに渡って担当していますが、今回はメインの担当である当社の見えない屋台骨、インフラ＆セキュリティ部 (以降、インフラグループ) のお話をさせてください。

インフラグループは、一般的な会社でいうところのコーポレート IT (情報システム) やセキュリティ、総務 (一部) などの業務を担当しています。総勢10名のグループとなっており、社歴10年以上の方々 (エクサウィザーズの前身の会社から在籍) や AIP 事業部から転籍された方、先月ジョインされた外国籍の方まで多様なバックグラウンドを持ったメンバーがいます。

本日は以下のポイントを中心にこれまでを振り返りながら紹介いたします。

1. AI 企業におけるセキュリティガバナンスの模索

私は入社当初、 HR 君 (現「exaBase 予測・分析」)のセキュリティ機能の開発担当をしていました。しかしこれまでの経歴もあり、「セキュリティに詳しい人間が入ってきた」となり、エンジニアだけでなくビジネスの方々からもセキュリティに関する様々な相談を頂くようになりました。

特に多かった相談は、当社のプロダクトをお客様に導入する際に必要となるお客様からのセキュリティチェックシート対応でした。相談はプロダクト単体のセキュリティに関するものだけでなく、開発体制や全社セキュリティ体制、情報システム体制など多岐に渡っており、当時組織として立ち上がったばかりの情報システムチーム（以下、情シスチーム）の門戸を叩きました。

組織と言っても当時の情シスチームは社内のエンジニアが有志で集まっていて、専従で担当しているメンバーは誰もいませんでした。そして私がチームにジョインしたすぐ後に、当時のチームを率いていた方が一時的に体調を崩してしまい「情シスチームを引き継いで欲しい」という依頼を受けました。

入社後2カ月でしたが、このチームには非常に面白くスキルフルなエンジニアがいたため、すぐに快諾しました。その中心メンバーとして活躍されていたのが瀬戸さんと黒木さんで、このお二人と共に情シスチームの活動を改めてスタートさせました。

お二人によるインフラグループの紹介は以下にてご覧いただけます。

リスタートと言いましても、既に運用はしっかりと進められていました。
そこで、自分が足りないと感じていた情報セキュリティ管理体制やポリシー対応から着手することにしました。何を目的基準として情報システムを構築し運用しているのか、といった意味づけや立て付けの部分です。

当社の事業は、お客様からデータをお渡し頂いて AI を利活用して結果を届ける場面が多くあります。お客様からお預かりするデータには個人情報 (当社では「個人を特定可能な情報」として PII [Pesonally Identifiable Information] を優先して使用しています) や機密情報が含まれていることが多く、当社の情報セキュリティ管理体制の充実や強化は本事業を進め拡大していく上でも非常に重要です。

また、当社の事業ドメインも Care, Med, HR, Robot, Fin と多岐に渡っており、プロジェクト案件開始時やプロダクト導入前に、それぞれの事業ドメインに応じたセキュリティチェックがお客様から当社に求められます。

この当社へのセキュリティチェックでまず聞かれるのが ISMS (Information Security Management System) やプライバシーマークを取得済みかどうかでした (今もですが)。

当時のエクサウィザーズは、全社向けのセキュリティ以外の規程群の整備もまだこれからといった状況でした。そのため組織ガバナンスの観点からも全社的にISMSを導入することは有効だと考え、石山さんと春田さんに相談し二つ返事で快諾を頂きました。導入にあたっては、私が前職で ISMS 認証取得業務の経験があったことも役立ちました。

ISMS はあくまでフレームワークの一つです。そこから当社の事業内容やミッションに合わせて、より個人情報保護観点を強化する形式で ISMS 認証を 1 年掛けて取得しました (この時、春田さんからは「やっと会社っぽくなってきたね」と言われていたのが印象深いです)。さらに今から約3年前には当社の自社 SaaS プロダクトが増加することを見越して、ISMS-CLS というクラウドセキュリティ認証の国際規格取得も同時に実現させました。

その後は GDPR (General Data Protection Regulation) や来年施行される改正個人情報保護法などを睨み、クラウドにおける個人情報管理の国際規格である ISO 27018 を取得 (2020 年) し、今年は ISMS へのプライバシー保護拡張の規格である ISO 27701 認証を取得見込みです (審査は既に完了し認証承認待ちで日本でも本規格の取得はまだ 6 社です)。

当然、この間にも当社の事業規模はどんどん拡大し、新規のお客様も増えておりますし、グループ会社としてインド法人も設立されるなか、中国でも事業展開していたりと、当社事業成長になるだけ追い越されないように先手を打って国際的なセキュリティ規格への全社対応を進めています。現在では各部署から参加頂いている ISMS 内部監査チームは約 30 名弱の規模となっています。

2. 拡大し続ける組織へのインフラ対応

事業成長に伴って、社員数も増え続けています。このように拡大する組織において、コーポレート IT 面でも如何にサポートし続けられるかも重要なミッションです。

私が情シスチームを引き継いですぐに実施したのは、チーム名称の変更でした。「情シス」という言葉に「旧態依然」としたイメージを個人的に感じていたところ、偶然にも春田さんからも同様の意見を頂き、現在の名称である「インフラグループ」に変更しました。

当時のメインメンバーは3名でしたが、Azure や GCP のクラウドインフラの管理も我々が実施していました (まだ Platfrom Engineering 部もありませんでした)。総務メンバーも少なかったため、オフィス引越なども全面的に我々が対応していたこともあり、Infrastructure Group としたのです。

当時、グループメンバー全員が開発も行う技術統括部エンジニアであったため、まずは人数が少なくてもエンジニアリングによる自動化や効率化を突き詰めて、業務推進を実施していく方策をとりました。

具体的には、毎月の入社者に配る PC キッティングの自動化、PC 機種の限定化や統一化、購買業者の集約化、ワークフローシステムや問い合わせチケット管理システムの導入、ネットワーク機器群のクラウド管理など業務や IT 管理ツール群の積極的なクラウド化を推し進めました。

また、権限移譲や集約も適宜行い、当時はまだ1名だった現 Platfrom Engineering 部のパトさんにクラウド関連の管理業務などを移譲しました。さらに、社員の入社時に採用チームが行う作業のインフラ業務側への組み込みなど、チーム内だけに留まらない効率化も実施していきました。

しかし、組織拡大と事業成長に伴い、2019 年後半頃からさすがにグループメンバー3名では物理的に問い合わせなどに即時対応することが厳しくなってきました (そもそもこの時点でも、私や黒木さんがインフラグループ専従ではなく兼務でした)。自動化や効率化だけではこれ以上は対応しきれないと感じ、インフラグループとして本格的な採用活動をスタートしました。

3. With / After コロナ時代のコーポレート IT とは？

また、この時期からコロナ影響がいち早くインフラグループの業務にも影響を及ぼし始めました。インフラグループでは年末に次年度 4 月に入社される社員向けに、大量に PC 群を発注するのですが、2019 年末の発注はコロナ影響を受け納品が遅れたため、発注PC機種を変更するなどの緊急対応を取りました。

その後、2020年3月頃には当社の採用面接もオンラインへ切り替わり始め、会社としてもリモートワーク体制に移行していきました。元々ほとんどの業務システムをクラウド化していたため、事業継続という点ではあまり問題はありませんでした。

しかし、インフラグループへの問い合わせ数が爆増していました。その内容としては、社員がリモートワークをする各家庭のインターネット品質問題やそれに起因するビデオ会議の接続不具合などが多くを占め、状況も一様ではないために対応が追い付かず一部の方々に迷惑をかけた時期でもありました。

ですが、以前から進めていた社用携帯のインターネット通信容量 20GB への増加が4月に完了し、緊急事態宣言が発令される直前で一定の通信環境を提供できたため、問い合わせ軽減にも繋がりました。そして翌5月にはインフラグループに2年ぶりの新メンバーである K さんが加入し、新入社員の入社対応などの業務分担やユーザ問い合わせに集中することで対応品質改善につながりました。

この間も、インフラグループの業務範囲は広がっており、当社プロダクトのお客様社内システムへの導入 (いわゆるオンプレ導入) を担当したり、プロダクトへのセキュリティ技術面のアドバイス、お客様先導入にあたってのセキュリティ戦略立案なども担当したりしています。当社は東京以外にも事業拠点がある関係で、オフィスの引越しも毎年定期的にあり、オフィス内のネットワークや安全面の設計なども自分たちで実施しています。

この頃に住宅関連の IT 企業にて一人情シスをやられていた K さんが新たに我々のグループにジョインしました。グループ内で中々追いついていなかったグループ内業務のドキュメント化や、以前から着手したいと考えていたゼロトラストアーキテクチャ構築への先鞭をつけて頂きました。

ゼロトラストとはオフィス内などの安全な境界領域に信頼を置きすぎずに、常に外部からの攻撃を想定し検証し続ける、といった IT システム構築におけるアプローチの一つですが、これは現在のリモートワーク必須の業務状況に非常にマッチしています。

各家庭のインターネット状況は多様で会社から何かを指定することは非常に難しいため、社内情報システムの境界に入るための認証を多要素認証 (Multi Factor Authentication - MFA) 化したり、シングルサインオン (SSO) 化したり、という施策を進めております。

このタイミングで、当社の AIP 事業部からインフラグループに転籍されたメンバーがおり、このゼロトラスト構築を強力に推し進めてくれています (実はこの方が情シスチームの前リーダーでして 3 年ぶりの帰還です！)。

当社内全体で使われている SaaS 系ツールは 100 近くにも及びます。これらの認証系を全て MFA 化するのには限界がありますので、今後のコーポレート IT ではより一層の SSO 化が求められていくと考えております。

リモートワークが常態化することで、インフラグループによるユーザサポートもリモート対応とならざるを得ません。以前であればオフィス内でさっと我々が出向いて作業を実施して完了していた業務が、リモート対応となるとスケジュールを合わせてからリモート接続をしてとどうしても時間がかかってしまいます。

しかし、コロナ以前からビズやエンジニアなどの職種に関係なく PC 性能の統一化を実施していたこと、インフラグループが介在せずとも社員の業務が可能な限り継続できるよう社員への権限移譲を実施していたことが、ビデオ会議を頻繁に行いながら業務を続けるリモートワーク体制の大きな一助となりました。さらに、問い合わせに対応する FAQ 整備やチャットボットの導入、IT サポートツールの強化を実施しております。

4. さらに先へ

ここまでインフラグループの多様な業務とその変遷を紹介してきましたが、現在ではさらに多くの広がりが出てきています。

当社に複数のグループ会社が生まれることで、それらグループ会社のコーポレート IT 業務も担当することになり、インド法人のメンバーからも日々問い合わせやセキュリティ施策についての相談を受けています。

また、 若手の丸田さんがメンバーとして参加され、当社業務委託の方々のセキュリティチェックや社内向けの ISMS 活動広報などを強力に進めています。当社の ISMS 活動も拡大しており、各グループ会社でも ISMS 認証を取得する活動もスタートしております。さらに、インフラグループでは、他社からのセキュリティコンサル対応の要望を頂いており、他社向けのインフラ＆セキュリティサービスも提供実施しはじめております。

2021 年の当社の情報セキュリティ活動の年間目標にも掲げているのですが、社内での CSIRT (Computer Security Incident Response Team) の立ち上げも進めています。社内システムや当社プロダクトでのセキュリティインシデントに対応するチームのことでして、高度化するセキュリティ攻撃への予防も含めて、社内のエンジニアや Platform Operations グループとも連携して構築していきます。

この活動はインフラグループの最新メンバーであり、3, 4 ヶ国語が喋れる I さんを中心に活動をスタートしております。また、AI 企業として社内での AI 利活用を本格展開する意味でも、インフラグループ内で使用する業務ツールの内製化も着手しています。特許登録も実施し (知財チームのおかげです)、インフラグループ内での実装構築を進めています。

最後に Platform Engineering 部のパトさんが我々のチームの飲み会に参加してくれた時の写真もシェア致します。
(この帰り際に、席の関係で皆でテーブルから出にくくなり、人的物理支援をして助け合いなら退席しました (笑) チームには元自衛隊の方もおり、こうしたインシデントにも対応いたします。)

明日は石山さんからのメッセージ予定です。

（飲食・撮影時のみマスクを外しています）