「TimeTreeラヂオ」はカレンダーシェアアプリTimeTreeを運営する私たちメンバーが、ふだんの仕事に関係することもそうでないことも、だいたい15分でひとつのテーマを話しきるインターネットラジオ番組です。
コーポレートエンジニア略して「こぽエン」。この放送は、TimeTreeのこぽエンが、組織と情シスのヘルシーな関係について考えながら、心と身体をシェイプアップしていくポッドキャストシリーズ #こぽエン通信 です。
今回は最近のTimeTreeコーポレートエンジニア事情について雑談しました!
◎TimeTree Company Deck(会社案内資料)
https://bit.ly/timetree_company_deck
◎一緒に働く仲間を募集しています!(採用応募ページ)
https://bit.ly/3MyqZjE
番組の感想・コメント・ご要望はハッシュタグ #TimeTreeラヂオ でつぶやいてください!
サマリー
このエピソードでは、コーポレートエンジニアリングの最近の取り組みが、セキュリティとワークフローの整備に焦点を当てている。コアラさんとジールさんは、情報システム部門における課題や施策について語り、企業のセキュリティの重要性を強調している。エピソードでは、タイムツリーのコーポレートエンジニアリングにおける自由と管理のトレードオフが議論され、状況把握の重要性とそれを実現するためのツールについても触れられている。特に、MDMやJamfを利用したセキュリティ対策の具体例が取り上げられ、可視化の重要性が強調されている。
コーポレートエンジニアの活動
3発の頻度は、だいたい3週間か月に1回ぐらいのスティーブです。
3発の頻度は、3ヶ月から4ヶ月ぐらいに1回ぐらいのジールです。
長ぇ。
3発の頻度は、1ヶ月半から2ヶ月くらい経つと、めちゃくちゃ頭が大きくなってくるんで、それくらいのコアラです。
よろしくお願いします。
今回は、コアラもいらっしゃるので、これはですね、コポエン通信の回です。
今日は同じチームのジールもお誘いしてですね、3人で雑談をしていこうと思っております。
最初、アイスブレイク3発の頻度なんですけど。
よかった、今回のお題、誰もかぶることなかった。
かぶることなかった。
最近、かぶりがちなんで。
スティーブ、早すぎないですか?こんなもん。
でもね、ボーズにしてから結構早くて。
ボーズは確かにそうか。見るとすぐわかるもんね。
2人の1週間とボーズの1週間って全然違うので。
はいはいはい。なるほどなるほど。
自分が長すぎる比較はあるんですけど。
コアラが一番平均的な髪の毛切る頻度ですね、たぶん。
そうですね。
1ヶ月ちょい。
僕の場合はなんか、頭が角張ってて髪伸びてくるとなんか大きくなりがちなんですよね、頭が。
はいはいはい。僕も一緒ですね。
なんで、髪切ると変わったねみたいな。
わかるわかる。あと帽子とか入らなくなりますよね。
あ、そうですね。帽子からブワーってはみ出る感じもなんか、あんまり好きじゃないので。
はい。そんな男子3人、おじさん3人の三発談義っていうこれ。
そうですね。
放送にちゃんと載せられるのかどうか不安になってきたけど。
重要な話だね。
今日は3人に集まってもらってですね、コアラとジールが今コーポレートエンジニアチームにいらっしゃって、
ジールはそのポジションでいろいろ責任を持ってもらうっていうCOSOというですね、立場にはなるんですけど、
その2人で今タイムツリーのコーポレートエンジニアチーム、コーポレートエンジニアでいわゆる情報システム部門における、
最近の取り組みだとか、そこから出てくる課題とか、
もちろん絶賛採用中なので、一緒に働きたい人こんな人だよとか、そのあたりをザックパラに話していけたらいいなと思っております。
セキュリティの取り組み
ということで、まずはこのシリーズはあるじコアラなので、
コアラによるコアラのための番組なので、
ちょっとコアラから最近なんか、情報システムでこういう取り組み大きなことやってるよみたいな話をちょっと伺っていこうかなと思います。
情報システムって結構細かいことあるやこれややってたりするんで、
これやってましたってなかなか一言で言いにくいところもありますけど、
ただここ1年くらい通して一貫してやってたなと思うのは、
大きく言うとセキュリティ計画とその実行みたいなところかなと思ってて、
情報システムとしてはやっぱり端末管理みたいなところが一個大きくあるよねっていうところで、
いわゆる業界標準かもしれないんですけれども、JamfとかIntuneに別のサービスから乗り換えましたっていうところで、
社内のポリシー、セキュリティポリシーみたいなものを、
実態もちゃんとそれに即してるよねっていうところを着実に遂行していくっていうのを、
脆弱性対策みたいなところも含めてやってきたかなっていうところが一つあると思ってます。
っていうところと、
それが1個目、まずは大きくセキュリティですね。
セキュリティっていうのもTimeTreeや2Cのサービスなのでユーザーさんのセキュリティっていう面もあるんだけど、
今Koalaの文脈でいうと、社員とか働くメンバーたちのセキュリティとかってことですね。
そうですね。
そこが結局ユーザーさんのセキュリティにもつながるっていうのもあるので、
そこを大きくまずは1本目の柱、セキュリティ。
ですね。
もう一つは、これもある程度会社に広く影響があるのかなっていうのが、
ワークフローシステムの導入もありましたよねっていうところで、
キックフローというサービスですかね。
主にジールとホームの方で導入はされてた感じなんですけれども、
この辺り、何て言うんですかね。
組織みたいなところも意識する情報システムチームでもあるので、
そういった関わり方も含めて何て言うんですかね。
導入してみて、どういった変化を感じられたのかなっていうのは、
せっかくなのでジールにもお聞きしてみたいなと。
この後ね。
じゃあ2本目の柱取り組みとしては、やっぱり社内のワークフロー整備はありそう。
これも会社としてやっぱり重要なところですよね。
権限、何か決定、レポートみたいなところって、
会社が大きくなっていくにつれてどんどん整備しなきゃいけないところで、
ようやくというかもう機運が最高潮に高まり一気に整備されたところですね。
非常にいいですね、ワークフローの整備。
僕もすごい使いやすくて、分かりやすくて。
今までスラックのワークフロー使ってましたからね。
じゃあまずセキュリティの話とかからしてみます。
なんか最近の、これ8月に撮ってるんですけど、時事ネタとしてはね、
某経営者さんのノクトリ事件とかあったり、
某セキュリティソフトのブルースクリーン問題とかあったり。
それに関してはセキュリティを対策してるがゆえに起きてることでもあるから、悩ましいと思うんですけど。
セキュリティ、企業のセキュリティって結構ホットな話題ではあると。
やっぱ年々ね、こういうのちゃんと経営として重要性を認識して、
しっかり投資してやっていこうっていう話は認識が高まってると思いますけど、
やっぱり私たちみたいな会社ってめちゃくちゃユーザーさんもいらっしゃるわけなので、
さっきね、スティーブが言ってたみたいに、
自分たちのセキュリティ環境をちゃんと整えることがユーザーさんのセキュリティになっていくので、
さっきの端末の管理みたいなところが結構基本の基本みたいに言われたりしますけど、
そこからちゃんとセキュリティが担保される環境で業務できてるか、そうじゃないときは、
ちょっと情報、きわどい重要な情報とかにはアクセスしない形にしていこうとかね。
そこまではちょっとまだできてないところもありますが、
安心して業務に当たれる環境っていうんですかね、
みたいなところにつなげていかないとねっていうのを、
しくしくと、どんどんやっていってるっていう状況ですよね。
業務の利便性と課題
ジール・コバラがそういうようなことを進めていく上で、
何か出てきている課題とか、どんなことがあるんですか。
どうですか、コバラ。
そうですね、例えば脆弱性の対策をしますみたいな時に、
セキュリティパッチをやっぱりできるだけ早く当てたい。
界隈の言葉で言えばゼロデイ攻撃みたいなものもあると思うので、
脆弱性情報が発表されたことによって、
そこに脆弱性があるんだって分かっちゃうので、
対策を早くしなければいけない。
けれどもパソコンを使う、
ジャンプとかインチューンで強制的にアップデートをかけますみたいな時に、
例えばグラウザでGoogle Chromeを使っているとしたら、
セキュリティを当てるためには1回アプリを落とさなければいけなかったりしますよね。
そういう時に強制的に落とすという手段もあるんですけど、
じゃあMeetを使っている間にいきなり落ちちゃったら困るよねとか、
ユーザビリティみたいなことですかね、
業務のしやすさとのバランスとかは考えていかなければいけないなという時の
判断の仕方は難しいなというのがやっぱりあったりはしますね。
…
課題、課題ね。
本当にコアラは?
僕が分野が違いすぎて、
全然コアラの話題についていけないっていうところはあるんですか?
セキュリティに関しては、さっきコアラが言ってくれたみたいに、
守るべきところは守らなければいけないが、
それをやろうとしすぎると利便性を落としちゃうっていう話があるので、
非常にその辺はちゃんと情報を集めて、こうするとこうなるみたいなこととかを
丁寧に検証したりとか挙動を確認したりとかしながら進めているので、
そこはどうしても時間はかかるっていうところはあるかなと思う。
あとはその端末関係って、
本当に一人一人の端末にちゃんと適用していくみたいなことが必要になるんですけど、
うまくいかないとか普通にあるんで、
一人一人にちゃんとサポートを入れてあげないとうまく適用までいかないみたいなこととかがあったりする。
そうすると物理的に一人一人にコミュニケーションしてやっていかなきゃいけなかったりもするので、
時間はやっぱりかかるっていう感じであって、
端末管理とか本当にそういう物理リソースで結構手間がかかるみたいなのは割と多いなって感じがします。
タイムツリーならではのやっぱり難しさというか挑戦しどころとしては、
管理がちがちにしすぎると利便性が落ちるっていうトレードオフをどうデザインするかですよね。
利便性っていうのは、もちろん社員の働き方の自由度に合わせた管理のところですよね。
自由と管理のトレードオフ
だからすごい極端にやると、例えばもう19時になったらPCシャットダウンして使えないみたいな、
もちろんそういった分会社さんもあると思うんですけど、タイムツリーでそれをやると、
やっぱり自分の好きなというか、一番パフォーマンスが上がるタイミングで仕事をして、
パフォーマンスを最大化させるっていうようなところに邪魔したりとか、
あとは使うソフトウェアも超限定するとかっていうのもできると思うんですけど、
でもそうすると特にエンジニアの皆さんとかね、いろいろ試してみたいとか、
それはもちろんタイムツリーってサービスをより良くするためにっていう前提のもと、
いろいろソフトウェアも試してみたいっていうのはあると思うんですけど、
そこの自由度を狭めてしまうのどうなのとかね、難しいですよね。
そうですね、まさに本当にそういう狭めてしまうというトレードオフがあるものっていうのは、
やっぱり想定を本当にしなければいけないかみたいなこととかもすごく考えるし、
他の選択肢ってないんだっけっていうのをやっぱり考えるっていうのはすごく、
みんなにとっても大事なことだと思う。
それは説明する上でも必要かなと思うことだから、
そこには特に時間をかけているから、
一旦解決できるのはこれだからこれだねみたいな考え方はそんなしていなくて、
すごく慎重に進めてるとこありますよね。
だからこれ自由と管理って今どっちに倒そうと思ってるんですか?
どっちかに倒すしかないと思うんですけど。
バランスですね。
でもまず必要だと思うのは把握はいるって感じ。
なるほど、まず今ね、その状況を把握。
管理っていうのも制御をかけるかどうかっていうところにはワンクッションあると思うので、
まずどうなってるか把握する。
で、把握した上で検知できて、
何か問題が起きたときにアクションが取れるっていう状態を作るっていうのが
まず一番ベースラインでいるんですよ。
なので、MDM、さっきのJava for Intuneみたいな話とかもあったのは、
結局把握できる情報が格段違うので、
その辺りをちゃんと整えるってところがベースラインであって、
そこからどこまでやるかっていうのは、
これは本当に状況に応じてちょっとずつ変えていく部分なので、
そこは現状を見ながらやっていく部分だと思うんですけど、
まず何もわからないは一番危ないっていうこともあるんで、
どういう風にアクセスがされてるだろうとかね、
どういう風なライブラリーが入ってるだろうとか、
そういう話は抑えられるようにする。横断的に抑えられるようにすると。
そうすると、もちろんその会社で使ってる端末の情報っていうのは、
預けてもらう。僕らの管理の中に預けてもらうようなことにはなるんだけど、
それはもうちゃんと説明する必要が必要だからねっていうことで、
やっていくっていう形で進めてるかなと思います。
はいはい。その辺りが結構タイムツリーらしさというか、
コアラ、ジールのコミュニケーションらしさが出てるかなと思ってて、
結構丁寧にいろんなところとやり取りを重ねながら状況把握を、
かなり積み上げてるっていう印象、僕も外から見ててわかります。
だってやろうと思えば2人ってめちゃくちゃ強権発動できるわけじゃないですか。
強権発動できちゃいますよね。はいこれダメーみたいな。
管理者権限の設定をとぐる変えるだけでできちゃうことってあったりはするんですけど、
それももちろん何もそういうふうに横行したらよくないっていう話はあるけど、
でもそこはやっぱりそういう力を持つものは責任があるみたいな話とかありますから、
そういう考え方でちゃんと向き合った結果、必要なのでこれをやりますって説明は必要かなって感じです。
冗談で言うんですけど、強権発動したらかいみたいな感情が頭の中にはありますけど、
いやでも確かスパイダーマンの主人公のおじさんの言葉ですよね。
大いなる力には大いなる責任が伴うみたいな。
いい、いい、確かに。一作目ですよね。
それもあると思いますし、あとまず把握することっていうのは聞いててそうだなと思ったんですけど、
やっぱり何か課題を解決するっていう時の一歩目ってその状況の可視化かなと思っているので、
まずはこういう状況だよねっていうところと、
あとそのMacを管理しているJam風を入れててよかったなっていう対例とかも、
なんかXZっていうんですかね、脆弱性のあるツールが結構大きな脆弱性、緊急度の高いやつで、
でもこれをインストールされててそれがどういうバージョンなのかって、
結構Jam風みたいなものを入れてないとなかなか気づけない。
Jam風上でスクリプトを動かして情報取得するみたいな感じなんですけど、
そういうのもリアルに状況を可視化できるっていう意味で、
危ないバージョンですよってそこから従業員の方にアナウンスできたんですけど、
本当に役に立ったなっていうところなので、可視化は大事だなっていう具体でしたね、それが。
そうですよね。それがないと本当に具体的な指示ができないんで、
これ調べてね、これをやってこれをやってこういう場合はこうしてくださいみたいなアナウンスになっちゃうんですけど、
難しいですよね。みんなできない。だからベースラインが揃わないってことになっちゃって、
セキュリティってやっぱり最後の一番弱いとこでも一個つかれたらやられるみたいな世界観ではあるから、
やっぱりその最後の揃ってるかどうか、全員が対応できてるかどうかみたいなところのチェックっていうのはやっぱり必要だったりだったりするから、
セキュリティ対策の実践
ここができるようになってきたっていうのはすごい大事なことですよね。
まずはセキュリティ編でいきますか。いいですね。続編にも続く。
じゃあ今回はこんなところで今、上司チーム、コーポレートエンジニアチームが取り組んでいるセキュリティについてのお話でしたね。
続いてワークフロー編ということで。
予告ができるといいですね。
ありがとうございます。
17:15
コメント
スクロール