【CIO対談】「世界一働きやすいIT環境」への挑戦 - セキュリティバイデザインを考える(後編) - by PERSOL
テクノロジーの著しい進化により、新しいサービスやプロダクトを生み出すために「企業」という組織体も新しいイノベーションを求められています。新しいことを積極的に取り組む「攻め」と、資産を適切に管理する「守り」の部分をどう共存させるべきか、お悩みの情報システム担当者も多いのではないでしょうか。 そこで今回は、メルカリ 執行役員CIO 長谷川秀樹氏とパーソルホールディングス グループIT本部 本部長の内田明徳氏に、セキュリティバイデザインの考え方や、どうしたら社員が働きやすく、その会社らしい文化を醸成していけるのかについて、語り合っていただきました。
メルカリのITで重視しているポイントは?
内田:まずは、メルカリにおける情報システムの考え方について教えてください。
▲パーソルホールディングス株式会社 グループIT本部 本部長の内田明徳氏
長谷川:メルカリでの私のミッションは「世界一働きやすいIT環境を整備する」です。具体的には、次の3つを重視しています。(1)徹底的なデジタルオートメーション化(2)パーソナルアシスタント with Slack(3)セキュリティ面で高い堅牢性を備え、働く場所を選ばず、従業員と会社の資産を守る仕組みとする。
メルカリの場合、伝統的企業からするとペーパーレスなどデジタル化は進んでいたのですが、今はさらに徹底的なデジタルオートメーション化をしていこうとしています。
施策の一例であげると、社内はすでに100%ペーパーレスなので、社外とのやり取りもペーパーレス化しようとしています。請求書を郵送やPDFのメール添付でもらい入力するのではなく、特殊なシステムで先方にダイレクトで入力してもらう予定です。そうすると、入力ミス、漏れ、忘れなどいろんなことが解決します。
第二がSlackでのパーソナルアシスタントです。勤怠、経費精算などの業務は、通常は、それぞれのシステムにログインして登録などする必要があります。これをSlackだけで全てのバックオフィス業務を完結する仕組みを考えています。
▲株式会社メルカリ 執行役員CIO 長谷川秀樹氏
内田:具体的なシステムのイメージはできているのでしょうか。
長谷川:例えば、勤怠管理を打刻レス(googleカレンダー、PCログなどから勤怠情報を取得)にして、その確認が本人のSlackに飛んでくる。それだけを確認・修正すればいい。という仕組みです。当然、これを可能にするためには業務ルールの変更や、SSO(シングルサインオン)でできること、SaaS側にAPIがあることは前提です。経費精算も法人クレジットカードを配布して利用明細がSlackに飛んできて、必要情報を入力して完結させるなど、Slackがパーソナルアシスタントのようになることを考えています。他の例では、例えば引っ越しbotを作って、そこに新しい住所を入力すると、人事にお知らせが届くとともに、入力内容が人事システムに流れていくというようなものができればいいと思いませんか。
内田:なるほど。それは業務効率化につながりそうですね。
メルカリのセキュリティの考え方
長谷川:第三がセキュリティにおいて高い堅牢性を備えることです。メルカリは会社に出社し、顔を合わせて働くという文化を大事にしていますが、今後を考えると働く場所に依存せず、従業員と会社の資産を守る仕組みであるべきだと考えています。今はそういう思想で設計しています。
セキュリティというと、一般的に規制や禁止など窮屈なイメージがありますが、そうではなく従業員が「守られているんだ」と感じる仕組みにしたいなと考えています。
ここ近年の動きとして、クラウドサービスが充実しており、昔のように社内システムがLAN/WAN内にある時代ではありません。よって、LAN/WANとインターネットの境界線を守るのではなく、エンドポイントでセキュリティを考えていく時代だと思います。社外で働くときに会社のゲートウェイにVPNをはるのが常識ではありますが、では、クラウドサービスに向けてVPNをはっているでしょうか。やはり、インターネット回線を前提としたセキュリティが必要と思います。社内外のどこでも働けるようにするには、インターネットのどこにいてもエンドポイントを守れる構成にしなければなりません。
もう一つ気をつけているのは、何か古いレガシーのサーバやPCの周囲を鎧で固めて守っていくようなやり方をしないことです。もちろん、レガシーをリプレースするには大きな投資が必要だとは思いますが、そのために、古いOSをセキュリティソフトウエアなどで守る本末転倒ではないでしょうか。根こそぎ根本から解決しないと、パッチあてばかりのシステムとなってしまいます。
内田:例えば最新のOSがリリースされたら、一挙にそれに変えるということですか?
長谷川:それも1つの手ですが、今考えているのは、より攻撃を受けにくいOSに変えていくという考え方です。
セキュリティの強度から考えると、Chromebook、Mac、Windowsの順だと思います。
しかも我々はG Suiteを使っているので、Windowsを使わなくてはいけない理由がありません。40年も50年も続くエクセルマクロだらけの会社だとWindows以外のOSを選択するのも難しいとは思います。
内田:それができるのが、メルカリの強みでもあるんですね。ところで長谷川さんは、メルカリ全社のシステムをみていらっしゃるのでしょうか。
長谷川:一般企業でCIOだと全システムを見ているイメージがありますが、ネット企業の多くがそうであるようにバックオフィスのシステムのみを見ています。メルカリのアプリはCTOやVP of Engineeringが担当しています。内田さんは営業のアプリケーションなども見ているのですか。
内田:私が所属しているグループIT本部はアプリが動くインフラ系、拠点、PC、セキュリティ、人事財務の業務系などグループ共通部分を担当しています。主に従業員の働く環境を見る役割です。
長谷川:部門は何人ぐらいいらっしゃるのでしょう。
内田:100人ぐらいです。いろいろな会社が集まって環境も多様になっていて、スピーディな統合をしているので、複雑性が増していると感じています。
パーソルのセキュリティの考え方と対策
長谷川:当社の30人と比べると、かなり多いですね(笑)。バラバラのシステムを統合するだけでも時間を要しているのではないでしょうか。
内田:旧テンプ系と旧インテリジェンス系の業務系を統合するところから始まっています。その後もM&Aは継続して発生していますが、毎回コストと時間をかけて統合するのもしんどくなってきました。
長谷川:セキュリティ対策はどのようにしているのでしょう。
内田:境界型のネットワークの守り方で、オンプレミスのデータセンターの中にシステムを乗せる形でネットワークを構築してきましたが、毎回システムを移行し、それとともにクラウドの活用も増えています。
個人情報を多く抱えるビジネスモデルなので、検知防御のために制約をかけざるを得ないのですが、社員からは働きづらいという声も上がってきます。
アカウント毎に権限を柔軟に変えたり、デバイスをネットワーク接続したら必要な設定やツールがセッティングされたり、などの次世代環境について議論を始めています。
当社の現場IT活用度にはまだまだ進化の余地があります。社員がITを理解しリテラシーを上げる仕掛けも同時に必要だと思っています。
内田:グループの中には過去IT投資に積極的ではなかった会社も少なくありません。そういった会社は標準的なIT環境を作るだけで一気にコストが上がってしまう現実があります。
その際、コストのかけ方と便利さ、セキュリティの強度をどう説明するかが課題になりつつあります。当社でもエンジニアの比率が上がってきており、彼らは世の中のトレンドのIT環境だと生産性が上がることをよく知っているので、そこをどう成り立たせるかが難しいところです。
長谷川:コストが上がるというのはどういうことでしょう。
内田:短期的なコストを追求すると、レガシーなシステムにパッチを当て続けるよりも、ファイアウォールなどで守ってしのぎながら次の大規模更改を待つ方が良いという現場判断がありえます。リスクとかけるべきコストの相場観もインストールしていかなければいけません。
もう一つ、当社のセキュリティ対策で難しいのは、社内だけではなく、請負や受託など社外で働いている人間がいることです。社外のさまざまな環境である程度仕事ができる環境にしないといけないので、より多様性が求められるんです。
長谷川:なるほど、社外で働くということでは、当社もメルペイができて、エンジニアとは異なる働き方の営業の人が入ってきました。デジタルオートメーション化の一環で、社内のWi-Fiに接続・離脱すると、イン・アウトが打刻されるという勤怠管理の自動化の仕組みはありました。
この仕組みを使いたい社員は登録してすでに稼働しています。しかし営業の人は直行直帰など働き方はさまざまなので、この仕組みだとうまく活用できません。そこでこの問題を解決する日本製のSaaSを見つけたのです。
内田:どのような仕組みのSaaSなのでしょうか。
長谷川:PCの操作ログとSlackの操作ログ、G Suiteの送信ログに加え、Googleカレンダーを活用して出勤、退勤を自動登録するという仕組みです。今、評価を始めているところです。
内田:Googleカレンダーに私用が登録されている場合はどう対応していますか?
長谷川:ある文字列があるときはプライベートとするという登録項目があり勤怠から除外するので、ちゃんと考えられていますね。営業の人はアポをカレンダーにきちんと入れているので、勤怠をそういう形でオートメーション化していこうと考えています。
内田:そうしたメルカリの変化を許容する文化は、どのようにして醸成されたものなのでしょうか。
長谷川:そうですね、メルカリの3つのバリューが浸透しているのとグローバルテックカンパニーを標榜しているということではないでしょうか。Go Boldに変えていこう!とか、「新しい、より良いモノはクールだよね」「レガシーを意味なくいつまでも引っ張るのはダサいよね」ということでしょう。エンジニアはよりよくしていくことがが大好きですから。
ゼロトラストに向けたメルカリの取り組み
内田:ゼロトラスト化に向けてメルカリの取り組みについて教えてください。
長谷川:エンドポイントで守っていくために、端末を守るEDRの導入、MDMで管理し、クラウドへのアクセスコントロールは、SSO、MFA、端末認証などの仕組みとする、また、ネットワークアクセスに関しては、CASB+Webフィルタリングを導入していこうと思います。拠点にいるから守られているのではなく、世界中のどこにいても守られる仕組みとしたいですね。
内田:当社もシェアオフィスやコワーキングスペースなどでも働けるように環境を整備していかなければならないと考えています。その場合、インターネットブレイクアウトさせないと仕事にならないので、エンドポイントとクラウドでしっかり守っていこうという考え方に変わりつつあります。
ただ、扱っている情報でより機密度の高い情報は中に閉じ込めて、そこへのアクセスにはもう一段、認証の仕組みをおくなどの対応で守っていく。そのように変えていきたいと、今ちょうど話しているところです。
社外からの接続にはVPNを使うという手段もありますが、それは使われていないのでしょうか。
長谷川:そうですね、一般的な従業員が利用する範囲では、社外からだろうが社内からだろうが、クラウドサービスへのアクセスはインターネットという事実と、VPNはそもそも通信の安全を守るための仕組みだと思うんですね。現在は、そこはhttpsで解決されているとすると意味がない。そこは、CASBなど新しいクラウド前提の仕組みにて解決していきたいと思います。
内田:メルカリの場合も、大量の個人情報を扱う方はいらっしゃると思いますが、その方はどのようにしているのでしょうか。
長谷川:個人情報を取り扱うときは、決められたセキュアな執務室のみしか作業できません。リモートでその業務に従事できるようにすることは今後もないでしょうね。
内田:我々は主力事業であるキャリアアドバイザー業務の場合、大量の個人情報にアクセスしないと業務が遂行できない人たちが大量にでてきます。その解決策として多段認証を設けて、すべての証跡を残す。不正な動きをするIDは止められるようにする様な仕組みが必要かなと思っています。もしくはVDIを採用するかですね。
長谷川:端末に何も残らない仕組みにするという意味では、Chromebookを検討していきたいですね。Chromebookはパタッと締めたら、ローカルな環境がすべて消える仕組みがあります。これだとその要件だけだとVDIと同じ。しかも導入コストも低い。
内田:私も通常環境はVDIではなく、マイクロソフトのIntuneのようなものでID制御をして、特殊な大量の個人情報を扱う環境や、社外から社内の情報にアクセスするときだけVDIというか、DaaSを採用しようかなと思っています。もちろん、クラウドに主力ITが移ってからのことです。
長谷川:オンプレミスをクラウドに移していくのも大変な作業ですよね。
内田:少しずつ、マイクロサービス化していって移していくことができればいいと思っていますが、なかなか難しいと感じています。
長谷川:大決心ですね。マイクロサービス化して1つ1つ移していくのは。
内田:EX(Employee Experience)という考え方も出てきました。従業員のニーズを捉えてどうデザインを変えていくかも、今後重要になっていきそうですね。
メルカリのペーパーレスをさらに進める新しい取り組み
長谷川:そうだと思います。今度、当社では経費精算システムの刷新を予定しています。そもそも、領収書をもらい、自分で立替払いをするということを無くしたいと考えました。法人クレジットカードにて精算することで、「発生日」「利用者」「金額」「加盟店」は改ざん・間違い入力がない仕組みとなります。従業員はそのデータを元に、必要情報を入力することで完了する仕組みです。
つまり、領収書を元に、入力するのではなく、デジタルで決済してそのデータを弊社の経理システムにインタフェイスすることが正確・迅速・効率的な仕組みとなります。残念なのが、クレジット情報に役務内容も記載してあれば、、と思ったります。
これからは、領収書の電子化や、そもそもクレジット会社などが、領収書発行代行会社のような機能を持って、より良い正確で効率的なオペレーションが各企業でできるようになればいいなと思っています。
長谷川:もう一つ考えているのは、電子契約書システムの導入です。
内田:当社はアドビの「Adobe Sign」を使っています。
長谷川:御社ではすでに実行されているかもしれませんが、なぜ、電子契約書システムが爆発的に広まらないかというと、取引先が紙でないといけないと言われたときです。ですが、それも解決できる手段を思いつきました。契約書に「契約書の保管管理」という条項を付け加えるんです。「甲は●●の電子媒体にて保管する。乙は両社捺印の元に製本された紙にて保存する」というように。
内田:そうすれば、片方は電子、片方は紙でも契約が成り立ちますね。すごく良い考えです。それは法律的にも大丈夫なのでしょうか。
長谷川:複数の弁護士に相談したところ、最初はみなさん「えっ」と驚かれましたが、どの弁護士も確かに成り立つなとおっしゃってくれました。実は今度、このような電子契約の仕組みを拡げようという運動をしようと考えているんです。私が言ってもあまり効果がないので、ぜひ、御社グループが喧伝してくれると嬉しいですね。デファクトになる日も近いような気がします。
内田:早速検討してみます(笑)。当社の課題はこれまでユーザーのニーズを叶えることをミッションでやってきたエンジニアを、自分たちでサービスを設計して提供するという発想・スキルを持つエンジニアにどう変換していくかです。メルカリさんではそういう苦労はなかったのでしょうか。
長谷川:当社はエンジニアが強いので。こんなSaaSを入れたいとトップダウンで言っても、イエスということにはなりません。何のためにそれを入れるのか、それに納得すると協力してくれますが、そうではないと永遠議論をします。ベストな方向にいくまで議論する文化が染みついているんです。
内田:ゼロトラストもそうですが、今まで当たり前だったことが変わることに、これでもいいんだと腹落ちする人が少ないんです。ですが、そこは議論しかない。それをすることで文化が醸成するということですね。
長谷川:私たちは本当にメルカリにとって必要なのかをずっと議論しています。そうすることで変化を許容するという文化は醸成されると思いますよ。
内田:ぜひ、また続きをやりたいですね。今日はありがとうございました。
長谷川:次回はぜひ、契約書管理について話し合いましょう。
