Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
上場前後で描く、「モダンな情報システム部門」への進化とその取り組み
Search
coconala_engineer
March 16, 2025
Technology
0
73
上場前後で描く、「モダンな情報システム部門」への進化とその取り組み
3/17(月)開催の「ここだけの話!弥生とココナラに学ぶ 企業成長に合わせた情シス体制の作り方」の登壇資料。
https://www.josys.com/jp/seminar/20250317
coconala_engineer
March 16, 2025
Tweet
Share
More Decks by coconala_engineer
See All by coconala_engineer
ココナラiOSチームの生成AI利用
coconala_engineer
0
16
AIと向き合う若手エンジニアの責任
coconala_engineer
0
18
GraphQLを活用したリアーキテクチャに対応するSLI/Oの再設計
coconala_engineer
0
250
一番気が重いと言われたポストモーテム委員会の改革
coconala_engineer
0
260
SREの視点で考えるSIEM活用術 〜AWS環境でのセキュリティ強化〜
coconala_engineer
1
340
(みんなやっているはずなのに情報が少ない)DNSレコード管理の改善
coconala_engineer
0
110
クラウド時代のDDoS対策:可用性を守るためのベストプラクティス
coconala_engineer
0
91
「エンジニアマネージャー」の役割を担っている / 担ってみたい方へのキャリアパスガイド
coconala_engineer
1
270
Qiita Organizationに取り組む前後の技術広報活動と今後の展望
coconala_engineer
0
67
Other Decks in Technology
See All in Technology
GitHub ActionsをTypeScriptで作ろう!
sansantech
PRO
2
370
TerraformとGitHub Actionsで手軽に実装するECSのCI/CD
k___tkg
0
220
KMP導⼊において、マネジャーとして考えた事
sansantech
PRO
1
170
人とAIとの共創を夢見た2か月 #共創AIミートアップ / Co-Creation with Keito-chan
kondoyuko
0
410
情熱と工夫で走り抜け! コミュニティをささえるObservability実践録
b1gb4by
1
120
他チームへ越境したら、生データ提供ソリューションのクエリ費用95%削減へ繋がった話 / Cross-Team Impact: 95% Off Raw Data Query Costs
yamamotoyuta
0
150
テストを実施する前に考えるべきテストの話 / Thinking About Testing Before You Test
nihonbuson
PRO
10
1.7k
テスト設計チュートリアル ちびこん編 ’25
omn
1
430
GigaViewerにおけるMackerel APM導入の裏側
7474
0
110
オープンソースとビジネス: 位置情報の世界からみえる流れ / 札幌IT石狩鍋#2
sorami
0
220
継続戦闘能⼒
sansantech
PRO
0
180
型がない世界に生まれ落ちて 〜TypeScript運用進化の歴史〜
narihara
1
180
Featured
See All Featured
A Modern Web Designer's Workflow
chriscoyier
693
190k
VelocityConf: Rendering Performance Case Studies
addyosmani
329
24k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
30
2.1k
The Illustrated Children's Guide to Kubernetes
chrisshort
48
50k
The World Runs on Bad Software
bkeepers
PRO
68
11k
A designer walks into a library…
pauljervisheath
205
24k
Practical Orchestrator
shlominoach
187
11k
Building an army of robots
kneath
306
45k
Measuring & Analyzing Core Web Vitals
bluesmoon
7
450
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
14
870
Rails Girls Zürich Keynote
gr2m
94
13k
How to train your dragon (web standard)
notwaldorf
92
6k
Transcript
Copyright coconala Inc. All Rights Reserved. 上場前後で描く、「モダンな情報システム部 門」への進化とその取り組み 株式会社ココナラ 川崎
雄太 2025/03/17 ここだけの話! 弥生とココナラに学ぶ 企業成長に 合わせた情シス体制の作り方
Copyright coconala Inc. All Rights Reserved. 自己紹介 2 川崎 雄太 Yuta
Kawasaki @yuta_k0911 株式会社ココナラ Head of Information / Dev Enabling室 室長 株式会社ココナラテック 執行役員 情報基盤統括本部長 SRE / 情シス / セキュリティ領域のEM SRE NEXT 2025のコアスタッフ 🆕 AWS Community Builders(Security)
Copyright coconala Inc. All Rights Reserved. 3 ココナラの事業内容
Copyright coconala Inc. All Rights Reserved. ココナラのエンジニア数の変遷 4 事業拡大に合わせて 4年で約4倍の組織規模に成長
2020年 2024年 フェーズ 上場前 上場後 エンジニア数 20人強 80人強 リポジトリ数 45 200以上
Copyright coconala Inc. All Rights Reserved. 5 Agenda ココナラで抱えていた情報システムの課題 上場前後での試行錯誤
振り返り 未来の展望 2 1 3 4
Copyright coconala Inc. All Rights Reserved. ココナラで抱えていた 情報システム部門の課題 Chapter 01
6
Copyright coconala Inc. All Rights Reserved. 上場前の情報システム部門は どういう状態だったか?🤔 一言でいうと、体制は整っておらず、 リアクティブにしか、
動けていなかった 😵 7
Copyright coconala Inc. All Rights Reserved. 実際のところ、上場前はどうだったか? 8 課題の把握が弱く、どの順番で何をすればよいか?が不明確 情報システムに関して、後手後手の状
況だった。 • そもそも「何が課題か?」を正 しく認識できていない。 • リアクティブ的に発生する課題に 対しての対応はしているが、もぐ らたたきでしかない。 • 情報システムの全体感を捉えて、 体系立てた課題対応を推進 する役割がない。
Copyright coconala Inc. All Rights Reserved. 上場前はどういう体制で情報システムと向き合っていたか? 9 ひとり情シスがギリギリ立ち上がったぐらい ひとり情シスが立ち上がったのが、上
場の1年弱前。 CSIRTを立ち上げたのは上場から半 年経過したあと。 それまでは専門組織はなく 、インフ ラ・SREエンジニアが手の空いたとき に対応。 プロダクトのグロースを優先するの で、もぐらたたきで手一杯。
Copyright coconala Inc. All Rights Reserved. 上場前後での試行錯誤 Chapter 02 10
Copyright coconala Inc. All Rights Reserved. 情報セキュリティ対策に関する自社内のアセスメント 11 脅威の対策度合いを細分化し、対策度合いを数値化 ※2021年時点の情報
対策度合いを数値で表 し、数値が小さい=優 先度高と定義。 例えば、この時点では 「DDoS攻撃」や「脆 弱性攻撃」が外部脅 威の弱み。
Copyright coconala Inc. All Rights Reserved. 情報システム部門強化推進に向けた経営層の説得 12 対策費用とインシデント発生時の影響を定量で比較 情報システム部門強化を進め
ていくためには、経営層の理解 が不可欠。 たとえば、「インシデント発生 時の対応費」 > 「セキュリ ティ対策費」 という構図を経営 層に理解してもらい、体制構築 やソリューション導入の予算を 獲得した。
Copyright coconala Inc. All Rights Reserved. 体制の強化 13 SREとも協業して、社内外システム基盤に取り組む プロダクトプラット
フォームグループ 情報システム グループ インフラ・ SREチーム (5名) CSIRTチーム (2名) CITチーム (5名) - AWSアカウント分離 - IAMロール整備 - 攻撃対策ソリューショ ン導入 - アクセス権限精緻化 - 新デバイス / OS検証 ・導入 - アクセス権限精緻化 ※SREチームがセキュリ ティ業務を兼務している企 業は少なくない!
Copyright coconala Inc. All Rights Reserved. ここからはジョーシス導入に 関する内容を説明します。 14
Copyright coconala Inc. All Rights Reserved. ココナラが解決したい IT統制・ガバナンスに関する課題その 1 15
内部脅威の状況の可視化ができていなかった 上場当時、ココナラの情報システム部門 が立ち上がってまだ1年程度のため、 「シャドー IT」が一定数存在している ことは把握できたが、全量はわから なかった。 情報の不正持出しの経路は多数あり、ど こで問題が起きそうなのか?の把握 すらできない状況だった。
Copyright coconala Inc. All Rights Reserved. ココナラが解決したい IT統制・ガバナンスに関する課題その 2 16
プロアクティブな遮断対応ができていなかった 先の課題に紐づくが、可視化ができてい ない=何が行われているかがわからない 状態だった。(追いかけようと思えば追い かけられるが、ピンポイントは難しい) 追いかけようと思ったときにすでに情報 が外に出ていっていたら、時すでに 遅し。 ここを未然に防ぎたかった。
Copyright coconala Inc. All Rights Reserved. 前述の課題はありつつも、 事業のグロースを重要視する フェーズだった。 17
Copyright coconala Inc. All Rights Reserved. そのため、情報システム部門としては他 の施策(当時はAppleシリコンアーキテク チャへの対応など)を 優先せざるを得なかった。
結果として、「リスクとしては認識してい たが…」で止まっていた😓 18
Copyright coconala Inc. All Rights Reserved. そこからジョーシスに出会って、どう変 わっていったか?をご紹介します。 19
Copyright coconala Inc. All Rights Reserved. ジョーシスとの出会い 20 もともとは手作業の効率化の手段として考えていた ココナラはSaaSを20以上導入しており、
従業員の増加とともに入社・異動・退 社の作業が増え 、対象となるSaaSも増 えていくことが目に見えていた。 ここを一元管理・一括作業を行うこと で、手作業の効率化を行いたく 、その 中で出会った。
Copyright coconala Inc. All Rights Reserved. 打ち手としてのジョーシス(シャドー IT対策) 21 連携可能なアプリの状況を可視化し、シャドー
ITを検知 ココナラが使っている SaaSは連携可能な アプリにあったので、 状況を可視化するこ とができた。 その流れでシャドー ITも可視化・特定 できた。 今では対象を一覧で 見ることもできる。
Copyright coconala Inc. All Rights Reserved. 打ち手としてのジョーシス(ゼロタッチデプロイの実現) 22 アカウント自動作成 〜
管理を一気通貫で実現 Google Workspaceを起点 として、アカウントの自動作 成・同期を行うことで、手作 業の効率化 = ゼロタッ チデプロイの実現をする ことができた。 対応可能なSaaSもどんどん 増加しているし、要望も出せ る。
Copyright coconala Inc. All Rights Reserved. 「作業漏れによる情報漏洩リスク排除」と いった IT統制にもリーチできた 🎉
これを上場後時間を空けずに対応できた のは助かっているポイント。 23
Copyright coconala Inc. All Rights Reserved. 振り返り Chapter 03 24
Copyright coconala Inc. All Rights Reserved. 経営層に対して「どれぐらい必要か?」を説明するハードルが高い 25 投資対効果( ROI)を定量的に説明することが難しい
「万が一、情報漏洩が発生した場合の対 応コスト」と「ソリューションの費用」を比較 するが、前者の発生確率を正しく説明で きないと、合意形成が難しい。 「発生確率」を社外インシデント事例など をベースに試算し、経営層に対して説明 を実施することで、理解を得た。
Copyright coconala Inc. All Rights Reserved. 実運用のイメージを具体化することが難しい 26 導入して終わりではなく、いかに運用するか?がポイント ソリューションの導入コストは導入前に正
しく見積もれるが、運用コストはなかなか 正しく見積もることが難しい。 PoCはしていてもたとえば学習コスト、人 員増加・組織改編の頻度 / 規模など考え る要素が多い。 別のセキュリティ運用を参考にして、運用 コストを試算した。
Copyright coconala Inc. All Rights Reserved. セキュリティ対策は「早く始めて、早すぎることはない」 27 上場前に焦って付け焼き刃になるのは NG、地に足を付ける
どのようなプロダクト・サービスを提供し ている会社でも、「セキュリティ対策」 は必須。 必要に迫られてから実施するのではな く、あらかじめ実施が必要なタスク として見込んでおく ことで、焦って優 先度の低い対応(緊急だけど重要でな い)に時間を取られないようにすること が重要。
Copyright coconala Inc. All Rights Reserved. ただし、後手後手になるときもあるので、しっかり優先度を見極める 28 時間がないからこそ、本当にやるべきことにフォーカスする セキュリティ対策に使えるリソース(予算、
工数、など)は限られるので、取捨選択をし つつ、効率的・効果的に対策を進める ことが重要。 手当たり次第に対応していくのは悪手なの で、緊急度 × 影響度で優先度を見極め て、1つ1つ対応していく。 セキュリティ対策に銀の弾丸は(おそ らく)ない。
Copyright coconala Inc. All Rights Reserved. 未来の展望 Chapter 04 29
Copyright coconala Inc. All Rights Reserved. 情シスが事業成長の足かせにならないようにする 30 むしろ事業成長を足元から支えられるようにする 「費用対効果」を求められる局面が多い
が、どうしても「費用の最小化」 に目が行 きがち。 「効果の最大化」 についてもしっかり目を 向ける必要がある。(コスパでコストしかみ ていない人が多い) ・生成AIの利活用 ・内製 or アウトソース ・人海戦術 or ツール導入 ・・・and more
Copyright coconala Inc. All Rights Reserved. エンジニアの総数が減っているあおりをうける 31 コーポレートエンジニアの人数が増えない前提で動く きっとコーポレートエンジニアの採用に苦
しんでいる会社さんは多い。 その状況下で、ビジネスを止めないため に試行錯誤をひたすらやり続ける 必 要がある。 ソリューションは「導入する」よりも「導 入後の運用」が大事 なので、いかに 運用を見据えて、改善できるか?がポイ ント。
Copyright coconala Inc. All Rights Reserved. 話を戻すと・・・ ジョーシス導入で統制と業務効率化の 両方を実現することができました! 類似の課題を持っている会社さんは
ぜひご検討ください!!😁 Josys could be a silver bullet…?? 32
Fin