1. LayerX NOW!
  2. #8 ゼロトラストな考え方をベ..
2021-05-12 22:46

#8 ゼロトラストな考え方をベースにした社内基盤の作り方【ゲスト:CTO室 鈴木 研吾さん】

LayerXの日常を伝えるPodcast『LayerX NOW!』(週2ペースで公開中)

#8では、前回に続きCTO松本(@y_matsuwitter)がLayerXもう一人の守護神・鈴木(@ken5scal)さんにインタビュー!
会社組織をプロダクトと捉えるLayerXならではの社内基盤の作り方にフォーカスを当てて、話を聞きました。

【ゲスト:CTO室 鈴木 研吾さん】

▼ 話のハイライト

  • 鈴木さんが考えるCorporate Opsって?
  • LayerX流、社内基盤の作り方
  • 人に依存しない圧倒的なオンボーディング体験の具体例
  • 「透明性ある安全性」とは?
  • LayerXのCorp Opsチームが目指す今後1年間の取り組み

▼ メディア情報

00:02
というわけで、LayerX NOW第8回ですね。今回も前回に引き続き、鈴木 研吾さんに来ていただき、
今回はコーポレートオプスについて考えていることの言語化をしていきたいなと思っております。
まずその前に、LayerX NOW、改めて趣旨の説明なんですけども、
このポッドキャストでは、皆さんにLayerXの開発組織の等身大を知っていただいて、
ブロックチェーンだけじゃないLayerXという側面を知っていただいて、
もし興味があれば来ていただければいいですし、この中で得られた何かエッセンスが、
皆さんのお仕事の役に立てればなというふうに思って始めているポッドキャストになります。
ではですね、前回に続いて、研吾さんよろしくお願いします。
よろしくお願いします。
今回はですね、コーポレートオプスの話をしていこうと思います。
何でこれかというと、ちょうどこの前コーポレートオプスとそのアシスタントの募集を出されましたよね。
出しましたね。
あの募集について、そもそもコーポレートオプスって何だろうみたいな、
意外とまだまだ聞き慣れない単語な気もしていて、
そもそものこのコーポレートオプスとはっていうのを、
研吾さんの考えているところをいろいろ伺いたいなと思うんですけど、
具体的にこのコーポレートオプスって研吾さんにとってどういうものですか。
そうですね、ここらへんは、いわゆる今世の中に出ているようなコーポレートエンジニアだとか、
上資というところに関わりつつ、それをもう一段階詳細化したような、
ジョブディスクリプションかなというふうに思っています。
具体的に言うと、このコーポレートオプスというところに関しては、
そのコーポレートエンジニア上質が社内の業務を効率化、あるいはIT化していくという任務になっているというところが、
さらに下の基盤を整えるというところになります。
具体的に言うと、そのコーポレートエンジニアとかが会計システムだとか、
ローム関係の話をIT化するというお話は結構あるんですけども、
そこは当社の場合、割とそのバックオフィスの方々のリテラシーが高いのと、
もう一つは、DX事業部がそもそもそこら辺の業務をガシガシGプロダクトを開発して、
まず最初のロックフーディング対象として導入しまくっているという形になりますので、
割とその業務のIT化、あるいは自社の最適化というところは、
DX事業部がやっているというふうに思っています。
一方、そういったDX事業部とか、コーポレート部の経理とか、
03:06
広報の方がやっていない部分、つまりアカウントの整理だとか、
デバイスの管理、あるいはID管理というところについては、
どの事業部も関わっておりませんので、
ただしここら辺をちゃんとやらないと、組織のバランスとしては残念なことになってしまうので、
それをやるのが、今まで自分がやっていたというところです。
それが、自分のリソースがこのままだと足らなくなるなというところが、
はっきり分かってきたので、それをコーポレートオプスという名前で定義してみたという形になりますね。
ここまでやってきた、例えばデバイスとかアカウント整理、
具体的にどういうことをやってきたのかなというのは、結構面白いなと思って、
本当はブログでも書いて、外に発信するといい事例だなと思っているんですけど、
改めてケンゴさんから、具体的に今時点でこのコーポレートオプスの中でやってきた活動って具体の話を聞いてもいいですか。
はい、具体的な話、これ僕の悪い癖なんですけど、
自分がやっていることを誰でもやっていると過小評価しがちなんで。
あれはなかなかないですよ。
あそこまで社内ITというかアカウント管理やら何やらを定義できている事例って、
すごいなと思っていて、ぜひ聞きたいんですよ。
分かりました。
自分の評価を置いといて話すと、
あまりこれも自分も今の会社で言わないんですけど、
ゼロトラスト的な考え方をベースにした社内基盤を整えているというところですね。
つまりどういうことかというと、各エンティティ、人だとか、
人、デバイス、データといった各種エンティティがあるんですけど、
エンティティにたどり着いて操作するまでの各種アクセスに関して、
セキュアにしていくという活動をしています。
そのセキュアにする過程で、何かしらの異常なシグナルとかがあった場合に、
そのシグナルに気づけるような対応をしていくという形になります。
具体的に言うと、
Microsoft 365をベースにしたAzure ADのアイデンティティ管理をベースにしたり、
あるいはMacでJamfを投入して構成管理ができるようにしたり、
Windowsの場合はIntuneですね、あとはBYODの考え方を整理したり、
Google Driveの整理をしたりとか、そんなことをやっていたりします。
他にもそういったシステムを使いつつ、自社の業務、内定を出してから、
06:08
どのタイミングでデバイスを用意してアカウントを提供するか、
その提供するにあたって、どの範囲ならゲストアカウントでアクセスできていいか、
みたいなことを整理して、あとはその整理したものを人事だとか事業部の人と共有して、
認識を持ってフローを整えるみたいなことをやっていたりします。
最近デバイスのセットアップなんかはほぼほぼ自動化したって言ってましたよね。
ほぼほぼ自動化、セットアップはできました。ただセットアップだけです。
大事じゃないですか。
大事ですね。
普通だとポチポチやってますから皆さん、入社した日とか、総務か上室の方が。
そうですね、今度5月ぐらいにフルタイムで入社される方がいるんですけど、
その方とか、あるいはデバイスがぶっ壊れちゃったっていう人に新しい端末を渡して、
とりあえずこれやっておいてっていうと、基本的にJAMがうにゅうにゅってやってくれるんですけど、
それをやってくれるので、自分たちで実際にやることがめっちゃ少なくて、
端末渡してから15分とか20分ぐらいで業務できるようになったって言われて、
それは良かったなって思いますね。
法的オンボーディング速度ですね。
本当に、ここら辺をあえて自分として褒めるのであれば、
このキッティングそのものの業務が自分依存にならなくなったっていうのは褒めて良いところかなというふうに思います。
さらに言うと、人にも依存しないので、スケールしやすくなったなというところですね。
人に依存しないというのはどうやって実現していったんですか?
基本的には導入したJAMfの機能で必要なソフトウェアを自動でインストールさせるみたいな形になってますね。
あれの設定管理とかも今GitHubとかでやってるんでしたっけ?
GitHubでやっています。
GitHubでやっていて、キッティングは人に依存しない感じになったんですけど、
まだ運用の周りに関してはまだ人依存なので、それをテラフォームとか使ってデロー化していくのが今後の課題ではありますね。
09:05
良いですね。会社を定義していく感じですね。ソフトウェアで。
このJAMfもテラフォームプロバイダーがまだまだあまり欲しいものがないので、自分たちで作っていかなきゃいけないんだろうなって思っていたりがします。
外にも提供していきたいですね。
こういう作るのとかも含めて、ある意味こういう社内基盤の一つの社内向けのサービスの一つだと思いますので、
重要性とかあるいはボトルネックになっているところを見極めて優先順位をつけて自分たちで作っていく。
作っていく方法は自分たちで行動するか、あるいはどこかのサービスを借りるかみたいなところは分かれると思いますが、
プロダクトとして提供していくのがコーポレートオプスとして重要な内容になるんじゃないかなと思っています。
そこまで会社の足回りを全部コードで改善していこうみたいなアクションをしていくって、なかなかこれまではなかった潮流かなと思っていて、
まさにこれからRayXで事例を作っていきたいみたいな感じなんですかね。
おっしゃる通りです。
多分、IT化の重要性というのは結構長くしばらく言われていることだと思いますけれども、
当社の場合、ITの重要性ということはもはやみんな共通認識を持っていると思います。
ITに、そうですね、これはもはや前提ですので、どっちかというと、
IT化というところに限らず、
なんて言えばいいんだろうな、これは。
全員がIT化するんですよ、プログラムとかも含めて。
それを今後、上質とか呼ばれる人々もやっていかないと、おそらく、
そのうち、当社のDX事業部が実質コーポレートエンジニアみたいなことをやっているので、
そこに対して良いライバル心を持ってやっていくという形になりますかね。
DX事業部がケアしていくのは、どちらかというと今、経理のアカウンティングの業務を中心にしているので、
それ以外の全会社の仕組み領域を僕たちはプログラムしていくと思う。
12:00
これが多分これから常識になるんだけど、まだ常識じゃない。
だから未来の常識を作っていくのが、今はレイヤーXのコーポレートオープンスチームだぜ、みたいな。
そんな感じなんですかね。
彼らが業務から攻めるのであれば、CTOオフィスは下から、基盤から攻めるみたいな、そんな感じですかね。
ゼロトラストも含め、どのように我々のポリシーを定義していくかみたいな仕組みをエンジニアリングしてくれる。
ワクワクしますね、これは。
割とMDMでも同じようなことはやっていると思っていて、
当社の場合はお客様のサービス化もそうですけれども、
ちゃんとした社内業務効率化もやっています。
倫理だとか署名だとか、あるいはファイルストレージへの同意書確認みたいなことをやっていまして、
よりその基盤、社内で使っているサービスの一気通貫して見ている状態だと思います。
そういうことを多分レイアエックスでもやっていく必要があるのでやっているという感じですかね。
MDMは僕らよく会社自体がプロダクトって言ってるじゃないですか。会社の仕組み自体が。
まさにその会社を定義するお仕事を通じて、コーポレートオプスとしてのバリューを出していってるっていうことですもんね。
これをレイアエックスでも。
この先で最終的に、けんこさんの言うところのコーポレートオプスがうまくワークして理想の組織になった時に、
レイアエックスとかMDMのコーポレートってどうなってるんですかね。
具体的にこんな感じの姿になるぜみたいなワクワク感のある話が聞いてみたくて。
分かりました。そういう意味ですと、一つあり得るとしたら、外部に対して僕らの取り組みがどういう形になっているかというのを、
より詳しい形で表明できる形になっているというのが、わりと目指している世界ではあります。
まず、具体的に言うと、どっちかというと、これは僕がどうサービスを見ているかという話にもなるんですけども、
今のサービス、ファイナンシャルAPIだとか、エンベテッドファイナンスみたいに言ってますけども、
そういったサービスが組み合って初めてそのエンドユーザーに対して、金融サービスだとか医療サービスというのが提供されています。
LINEさんだとLINEの上で何かしらの医療情報、ワクチン予約サイトみたいなのが作られてますけど、
あれって結局のところエンドユーザーから見ると一つのシステムなんですけど、その中ではいくつものサービスが織り重なって提供されているものと。
15:03
そうすると、安全サービスの安全性というものは、その系としてのシステムを成り立たせる各エンティティの安全性が担保されて、初めて全体としてのサービスの安定性が担保されるという感じです。
つまり、レイアレックスがDXサービスを提供していても、レイアレックス自体が安心できない企業ですと、サービスそのものも安心できないわけですよね。
だから、コーポレートオープスとしては、我々がやっているようなデバイスの管理だとか、ID管理だとか、そういったものをちゃんとやっていますよということを外部からも参照できる形にしたいと思っています。
一つの形としては、たとえばよくある形だと、ISMSだとかプライバシーマークだとか、SOC2、Type2みたいなサーティフィケート、認証資格というものがあるわけですけれども、これをより流度を細かくして、さらにペリファイアブル、証明可能な形にして外部から参照できると、
結構そうすると面白い世界観になるんじゃないかなというふうには思っています。つまり、何かしらの会計サービスを使いたいとなった場合に、当社の体制をセキュリティチェックシートとかでチェックするわけですけれども、
それを何かしらの共通フォーマットでAPIを叩けば、ちゃんとしてます認証機関はここからOKをもらいましたみたいな、そういった結果を返せると、今まで僕がやっていたような各社に対してセキュリティチェックシートを記入して返すみたいな業務がなくなっていくと思います。
そうすることで、セキュリティチェックのボトルネックだとかコストを減らして、よりそのチャレンジをして、ダメだったらやめるみたいなサイクルを回しやすい世界になっていくんじゃないかなというふうに思っているという感じです。
証明可能というか、外に向けて誰でも検証できる安全性っていうのをLayerXのコーポレートの仕組みとして作っていきたいと。
透明性のある安全性みたいな、面白いですね。
Verifiable Credentialとか、僕らが研究している領域でも意外と結構近い。そこがコーポレートとも関わってくるって結構面白いですね。
ここら辺は僕よりもっと上手い言語化されている。当社の花村さんとか、あとオラクルの方が書いてた、ブロックチェーンと関差みたいなブロックを書いてた方もいて、すごい上手い感じで言語化されている方がいました。
18:27
ちょっと忘れちゃった。
見つかったら教えな。
後でどっかに供給したいですね。
なるほどですね。
ありがとうございます。
あっという間にまた時間って経っちゃうものなんですけど、
これからこのコーポレートオープス、未来そういう形の会社の基盤、透明性のある安全性を提供できる、僕らのコーポレート基盤を作っていくこのコーポープス。
ここから1年でこういうことをやろうと思っているんで、こんな人来てくださいみたいな話ができると嬉しいなと思っていて、その辺をちょっと聞いてみてもいいですか。
わかりました。
1年レベルで言うと、まずは1年でやることはまずは基盤の整備ですね。
今のところ先ほど紹介したシステムというのはほとんど入れた状態でして、まだいろいろ整っていません。
具体的に言うと、各種監査ログっていうのを手動で保存するというぐらいになっていますが、それを例えば、
当チームが持っているAWSアカウントのSDバケットに向上的に保存するみたいなこととか、あるいはそのログをSIEMと呼ばれるシステムインフォメーションイベントマネジメントシステムに取り込んで分析可能な状態にするとか、そういったことが今やらなければいけないことです。
同時に、自分が今手動でやっているような作業、入社イベントに対してライセンスをチェックしたり、ユーザーを作ったりだとか、デバイスを構成したりだとか、そういった部分に対してどんどん自動化していきたいという状態になっていますので、
そういうアカウントセットアップの自動化というのをプログラム化できる方とかしていきたいという方は、ぜひ一緒に働かせていただきたい事務つづかなと思いますのでお願いします。
同時に、さっき話したようなJAMのデバイス構成のテラフォーム化というところも必要ですので、そのプロバイダーをやってみたいという方、あるいはCICDを整える方というのがやっぱりいるかなという感じです。
21:05
やはり今重要なのは、入れたシステムを最大限のポテンシャルを発揮するために、それらのAPIを熟知していただける人かなというふうに思っています。
なので、APIクライアントを作るのが好きだとか、あるいはやってみたいという方がおそらく我々が欲しい人材なのかなというふうに思っています。
あとは、CICDを整えて、実際の試すところからデプロイするところまでを、人の手を返さないでデプロイできるようなことを整えるのが好きな方、あるいはやってみたい方というところですね。
DevOpsとかSREみたいなキーワードで、その環境を整えてきた人たちなんかもフィットしそうですね。
そうですね。
会社を今度は定義しようみたいな。
なるほどです。
大予想、いろんなお話を伺えたかなと思っていて、ただ本当はもっともっとコーポレートオプスで、どういう考え方があるんだっけ、会社をプログラム化するとはなんだっけみたいな話もね、もっとしたいんですけど、あっという間にちょっと時間が来てしまいましたので。
今日はここまでにして、またコーポレートエンジニアリングの話とか別な回でさせていただけたら嬉しいなと思っています。
よろしくお願いします。ありがとうございました。
けんごさん、今日はありがとうございました。
お疲れ様です。
22:46

コメント

スクロール