フローレンスでは組織の大規模化とスタッフの多様化に伴い、セキュリティアーキテクチャ(セキュリティ機能そのものを安全に実装するための、設計方針・プログラムの構造・仕組み)の見直しが急務となっていました。
そこで2022年度に「Automation, Zero trust & Partnership」というコンセプトを掲げ、次世代のセキュリティーアーキテクチャと導入ロードマップの策定を行いました。
策定にあたっては外部パートナーの株式会社HES村嶋様にご協力をいただきました。
今回は策定に携わったシステム担当の菊池、木下、上羅に加え、村嶋様を交えて、どのようにアーキテクチャ設計を行っていったのかを振り返るシステム担当座談会の様子をお届けします。
外部から見たフローレンスの組織文化、パートナーシップの築き方、NPOならではの課題など、情報セキュリティ基盤刷新プロジェクトの裏側を余すことなく紹介します。
自分たちのありたい姿をステークホルダーと共通認識を図っていくために
なぜ今セキュリティアーキテクチャの見直しを行ったのですか?
ここ数年情報セキュリティ向上に注力してきました。その結果セキュリティ事故に対する地盤が整ってきた一方で、今後どこまで情報セキュリティ向上施策を実施していくのかという戦略がない状態でした。
そこでID・デバイス管理を包括するセキュリティアーキテクチャを描いた上で個別の施策実行を行うことで、全体最適を図っていくことが必要だと考えました。
どのように見直しを始めましたか?
まずどのようなアウトプットを作成するのか議論し始めました。アーキテクチャのTo-Beイメージとロードマップを成果物に設定したのですが、いきなりそれらを策定していくのは難しいと考えました。そこでコンセプトから着手することにしました。
コンセプトとはどのようなものですか?
コンセプトは目指す姿を示すものです。ありたい姿をステークホルダーと共通認識を図るためのツールが必要だと思ったんです。
実は当初はコンセプトを作る意図にピンと来ていなかったんです。
そこでコンセプトの必要性を伝えつつ、コンセプトを策定するためのワークショップを実施しました。具体的には菊池さん、木下さんと私の3人でセキュリティは誰にどのような価値を提供しているのかを考え、フローレンスにおけるセキュリティの過去・現在・未来を時間軸で捉えるワークショップを行いました。
実際にワークショップをやってみることで、振り返って考えることがあまりない「何のための情報セキュリティ対策なのか」ということをしっかり再認識できたと思っています。価値に視点を置くことで、何を大切に仕組みの見直しをかけていくべきかに意識を置けるようになりました。
それを経て作られたのがセキュリティ中期計画コンセプトです。
コンセプトでは【Automation】組織の大規模化に対応できる自動化、【Zero trust】スタッフの多様化に対応できるゼロトラスト化、【Partnership】事業推進とセキュリティ推進の両立をガイドする、の3つをキーワードにしています。組織におけるトレンドと社会におけるトレンドを踏まえた上で、コンセプトに落とし込んでいきました。
スピード感を持って:外部パートナーの参画
コンセプトができた後は何をしましたか?
コンセプトをアーキテクチャとロードマップに落とし込んでいくために、これまでためていた課題一覧をまとめ直しました。また出てきた課題を叩き台としてグランドデザインの検討をはじめました。
これまであまり手が付けられていなかった領域のため、組織内に有識者もおらず調べながら進めていく必要がありました。これを日々の他の業務と並行してとなると進みが悪くなる懸念があり、外部のパートナーの方に参画してもらうことにしました。
村嶋さんがプロジェクトに参加いただいた経緯を教えてください。
SNSで菊池さんがフローレンスのシステム担当募集の投稿をされていたんです。菊池さんとは前職で同じ職場で働いた仲間だったので、菊池さんが何をやってるのか気になりましたし、私自身もちょうど転職を考えていたこともあって、チャットで声をかけました。
声をかけていただいてすごくありがたかったです。実は村嶋さんとは前職時代にセキュリティインフラの構築を一緒にやったので、まさにベストマッチでした。
実際にプロジェクトに参加されてどのように感じられましたか?
フローレンスさんは外部との風通しの良さがある組織文化だと思いました。正社員だけじゃなく、プロボノや業務委託など様々な関わり方ができる柔軟な組織だなと。それとスピード感あふれる組織ですね。弊社もできて3年くらいのベンチャーなので、同じスピード感を持って取り組めました。
そこも本当にベストマッチでしたね。
大企業だったらいま承認が降りて、着手してるぐらいの可能性はありますね。
システム・セキュリティ面ではいかがでしたか?
システム観点ではすごくモダンだと思いました。フローレンスさんはSaaSを中心に組み立てられていて、非常に柔軟で、自由度が高い環境だなと思いました。その柔軟さはSaaSが隆盛する今の時代にマッチした文化だと思います。
セキュリティ面では利用者利便性の観点で言うとID管理が分散していて最適化されていないところがありました。またセキュリティの統制をどこまで図っていくか、利便性とのバランスをどのように取るのかが今後の課題であると捉えました。
今回はコンセプトがある状態からご参加いただきましたがその点はいかがでしたか?
すごく心強い感覚でした。こういうところをちゃんと定めている組織って意外と少ないんです。実際に私が考えた初期のロードマップも、この中期計画コンセプトをもとに考えていけたので、非常にありがたかったです。
完全にゼロベースだとやはり難しいですよね。
皆さんの共通認識がこの中期計画コンセプトにまとまっている状態でスタートできたのは大きいことでした。
そこからファーストステップはどのように進められたのですか?
まず組織のこと、業務のことを理解することから始めました。保育士さんが普段どんな風にパソコンを使って業務を行っているのか、訪問保育ってどんなことをしているのかなど、人の普段の動きとデバイスから把握するように努めました。
フローレンスでは訪問型の保育スタッフや、施設型の保育スタッフ、事務局など、大きく働き方の違う人たちが、異なるデバイスを持って働いているんですよね。
第三者視点で課題を見ていただけたのは良かったです。それによって新たな課題を洗い出せたり、抽象的な既存の課題をわかりやすくかみ砕いていただきました。
ミクロな課題一覧は整理されていたのですが、それをマクロで捉えるような視点がなかったと思います。それをAs-Isの図にまとめたことで皆さんで共通認識を持ちやすくなったかと思います。
組織の中にいると具体的なところばかりに目がいくので、それを村嶋さんが一般化・抽象化してくださることで視点が変わって、新しい気づきがありました。
「顧客の顧客」の立場に立って考える
To-Be像の策定はどのように進められたのですか?
基本はコンセプトを守りつつ、デバイスとユーザーの2つの観点に分けて整理していきました。世の中には色々なソリューションが溢れているので、その中でフローレンスさんにとっての最適とは何かを考えていくのは難しかったですね。フローレンスさんは自由度高く業務をやっているので、それを妨げないようにする観点も必要でした。
すごくそこのバランス感を意識しながら関わっていただきました。
普段ITコンサルティングをされるときに、心がけていることはありますか?
「顧客の顧客」の立場に立って考えることです。最終的に使う人達がストレスなく安全に使えるのが一番の目的です。実際にそのシステムを使うユーザーさんの姿をイメージしながら考えていくことを意識しました。
本当にそれはすごく大事な側面ですね。情報システム部門が管理しやすくなる面を強調しすぎると、エンドユーザーにとって使いづらいものになってしまいます。その視点に立って関わっていただけたのはとても良かったです。
一回入れて終わりではなく、その先の運用を常に意識しながらやっていきたいなとエンジニアとしては思いますね。
今回のプロジェクトの成功要因はどんなところにあると思われますか?
担当の菊池さんが忙しい中、しっかりと時間を取って対応してくれたことです。「顧客の顧客」の立場に立って考えようにも私自身は組織経験が浅いので、まずは菊池さんとの対話で多くのことを掴めるように尽力しました。それを快く受け止めてくれた菊池さんに感謝ですね。
こちらから丸投げすることなく、きちんとパートナーシップを持ってプロジェクトを進められたということですね。
プロジェクトを進める上では、心理的安全性が大事だと思っています。コミュニケーションを忖度や遠慮なしにすることができる。そんな文化や環境があるのがすごく大きいなと今回思いました。これは菊地さんだけじゃなくて、フローレンスさんの組織文化として根付いているのだと思いますね。
忙しい中ではありましたが、村嶋さんのお力を最大限に活かすためにも、こちらでやるべきことはやるように意識しました。
対等なパートナーシップがやはり重要な観点ですね。
多様な事業・現場があるからこそ、しっかりとパートナーシップを組みながら進めていく
フローレンスあるいはNPO特有の面白さ・難しさはありましたか?
製品によってNPO向けの割引プランがある環境は初めてで、通常は選べないような高価な製品も使えるのは非常に技術者として面白い環境です。一方で、それゆえに選択の幅が狭まることもあり得るだろうなと想像しました。
だからこそお金を投入することで丸投げして解決してしまうのではなく、今の環境で使える製品の範囲で、中の人が解決策を検討する工夫の余地がある面白い現場だと思いますね。
なるほど!その視点はなかったです。お金で解決できないがゆえに、工夫の余地が生まれるというか。
技術者にとっては本当に面白い環境だと思います。組織的にもガチガチで動かしづらいこともなく、ある程度自分の思う形でコントロールできる規模感ですし。
この製品とこの製品をどう上手く組み合わせられるかなど、アーキテクト的な面白みはすごくあるんじゃないかなと思っています。
今後導入フェーズに向けてどのようなことが課題になると思われますか?
実際に現場の人が使っていくフェーズになります。もっと現場の人の声を取り入れながら、使いやすい形で導入していく必要があります。
フローレンスには本当に様々な事業の現場があるので、現場のみなさんとパートナーシップを組みながらやっていきたいと思います。
セキュリティ・ネットワーク・デバイスはあまりフローレンスさん的な付加価値をがっつり付けられる部分ではないと思うんですね。だからこそあまり作り込みしすぎず、重たくなりすぎないように導入していくのもポイントだと思っています。
作り込みすぎると変化に弱くなりますよね。予測不可能性に柔軟に対応できるようにしておくのは重要な観点ですね。
きちんとリスクを管理する仕組みがあるのがわかると、ユーザー視点からもすごく安心だと思います。一人ひとりのユーザーがリスク管理されている安心安全な環境にいることが意識できるように導入を進められたらと思います。これからの未来が楽しみです。
いかがでしたでしょうか?フローレンスでのITプロジェクトの雰囲気を感じていただけたら幸いです。