SaaSで情シスが変わる

SaaSで情シスが変わる

HENNGEでは、他社に先駆けてさまざまなSaaSを社内で利活用してきました。その成功例や失敗談など、SaaSを徹底的に使い倒すことで見えてきた効果と課題についてご紹介します。 ※2019年11月に開催された「HENNGE NOW!2019」より

HENNGEにおけるSaaSの活用状況

皆さんこんにちは。このセッションの前半はHENNGEにおけるSaaSの活用状況を川竹が、後半は"SaaSの闇"を穂坂がそれぞれお話しさせていただきます。


まず、HENNGEについての簡単なご紹介ですが、従業員数は約250人で、そのうち20%が外国籍のメンバーです。中には日本語を話せないメンバーもいますので、社内の公用語は英語となっています。本社は渋谷にあり、3フロアを完全なフリーアドレス制で使用しています。従業員の使っている端末は、WindowsとMacがほぼ半々で、一部のアルバイトはChromebookも使っています。モバイル端末は、iPhoneとAndroidが混在している状況です。社内で運用しているサーバーは少数で、主にSaaSやAWSのようなPaaSを利用しています。


SaaSについてはほとんどを私たちInternal IT(IIT)で管理していますが、現場のチームや部署で独自に導入・運用しているものもあります。ただし、導入にあたっては一定の基準を設けており、具体的にはSAMLに対応している必要があります。SAML対応のサービスであれば、HENNGE Oneのアクセスコントロール機能を使って、IIT側でシングルサインオンによる集中管理ができるからです。


次に、クラウド上にクリティカルなデータを保存する場合は、監査機能やアクセスログ機能を備えている必要があります。ISMSなどのセキュリティ認証を取得していることも基準のひとつです。あとは、当社特有の基準となりますが、公用語の関係で英語に対応していることが必須です。また、Windows、Mac、Android、iPhoneが混在しているため、マルチプラットフォームへの対応も必要となります。


SaaSを積極的に利用するようになったきっかけ

HENNGEがSaaSを積極的に利用するきっかけとなったのが、2011年の東日本大震災でした。あの日、社長の小椋はたまたま外出していたのですが、携帯電話が不通の中、当時試験運用していた社内SNSを通じて連絡をとることができたのです。


その後も、交通機関の乱れや計画停電が相次いだため、多くの従業員が在宅でリモート業務を行うことに。ここであらためてSaaSのメリットに注目が集まりました。かつては「SaaSはセキュリティ面が不安」といった懐疑的な意見もあったのですが、可用性(Availability)に優れ、BCPに役立つのだから「むしろ積極的に使っていこう」という意見が大勢を占めるようになったのです。


SaaSにはBCPの面だけでなく、さまざまなメリットがありますが、もちろん良いことばかりではありません。例えば会社の規模が大きくなり、ユーザー数が増えれば増えるほどライセンス費用がかかります。また、SaaSは運営会社のサービス規約に従わなくてはならないため、ある程度のリスクを許容しなければならないこともあるでしょう。


社名変更にともなうドメイン変更に苦心

SaaSで苦労したケースをひとつご紹介します。2019年2月、当社の社名は「HDE」から「HENNGE」に変わったのですが、その際、導入しているすべてのSaaSでドメインの変更が必要になりました。


本来であれば、現状と同規模の環境を構築し、テストを行った上で、ドメイン変更が有効になるまでの時間を測っておくべきだったのですが、それには膨大なコストがかかります。そこで、テストなしで本番の切り替えを行ったのですが、変更が有効になるまでにどの程度の時間がかかるのかまったく読めず、IITのメンバーは社名変更のパーティどころではなかったといいます。


とはいえ、準備から本番までの期間は2カ月強で済みました。これが仮にオンプレだったとすれば、とてもこれだけの短期間での変更は無理だったと思います。ここ数年、当社は社名変更に加え、社員数の倍増や、英語の公用語化、本社の増床・フリーアドレス化、海外子会社の設立と、まさに激動のさなかにありました。そうした状況へ柔軟に対応できたのも、スケールしやすいSaaSを積極的に活用していたからこそだと思っています。今後も、SaaSを活用して「変化&チャレンジ」に取り組んでいたいと思っています。


では続いて、穂坂から今後の話をさせていただきます。


"SaaSの闇"

穂坂です。よろしくお願いします。前半のパートで川竹から説明があった通り、当社ではスピードを優先し現場単位でのSaaSの導入を認めていますが、後半ではその運用から見えてきた"SaaSの闇"についてご紹介します。


ショッキングなタイトルを付けてしまいましたが、「SaaSの闇」とはいわゆる「課題」のことだと思ってください。主な課題としては、「社内ルールが追いついていない」「リテラシーが追いついていない(個人差あり)」「情報資産の管理が大変」「日本と海外の差」の4つがあると思っています。


「社内ルールが追いついていない」は、せっかくSaaSを導入しても、社内ルールが足かせになって使いこなせないケースがあるということです。例えば、社内の決裁権限表や組織構造があまりにも複雑なため、SaaSが対応できないことがあります。当社でも、承認のワークフローを効率化しようと、2年に2度SaaSの変更に挑戦しましたが、結果的に元のサービスに戻しています。この反省から、現在は決裁権限表のシンプル化を目指しています。


「リテラシーが追いついていない」は、SaaSの運用を現場に任せたものの、ITがあまり得意でない人もいるということです。業務部門の人たちはSaaSの管理に慣れていませんし、当然ながら本業を回すことを優先します。それゆえ以前は、SAML対応していないサービスや英語対応していないサービスを現場の判断で導入してしまうことがありました。そこで今日ではガイドラインを策定し、それに準拠しているサービスを導入するようにしてもらっています。


「情報資産の管理が大変」は、社内でSaaSが乱立して情報が散在。管理が複雑化することです。当社では社内全体に公開する情報はGoogleドライブに保存するようにしていますが、一方でSalesforceやタスク管理ツールなどに置かれている情報もあります。もちろんIITで管理しているサービスであれば問題ないのですが、現場単位で運用しているSaaSについて完全に把握するのは困難です。そこで、すべての情報資産を可視化するため、CASB(Cloud Access Security Broker)の導入を検討しています。


「日本と海外の差」は、英語を公用語にしている当社特有の課題です。例えば、経費精算とか勤怠管理などに海外のサービスを使おうとすると、EUのみの提供であったり、日本での提供を躊躇されることが少なくありません。一方で、社内の会計チームや人事チームに相談すると「あれはできるのか、これはできるのか」と聞かれることも多く、結果的に日本のサービスから探さざるを得ない状況です。なかなか解決の難しい課題ですが、現状での対応策としては、会計チームや人事チームと話し合う機会を増やし、運用でカバーするしかないのかなと思っています。


SaaSの闇を払うために

SaaSについては、これまではスピードを優先し、導入・運用をユーザーに任せてきましたが、いったんIIT側に引き取ってもいいのではないかと考えています。これを標準化した上で再び移譲するというサイクルを回していけば、SaaSをより使いこなせるようになるのではないでしょうか。


当社の行動指針のひとつに「Track and Trust」というものがありますが、SaaSのセキュリティについてもこの指針に則っていこうと思います。具体的には「心構えの浸透」「ガイドラインの改善」「インターフェースを統一」の三つです。


「心構えの浸透」とは、SaaSを使う上での心構えを皆で共有するということです。SaaSのメリットは、簡単に試せて、すぐ止められることです。それゆえ、現行の業務をそのままサービスに載せようとしたり、ひとつのサービスで多くの機能を実現したりしようとせず、シンプルにできることはシンプルにやっていくことが大切だと思っています。例えばAPI連携を使えば、シンプルなサービスをつないで大きな仕組みを実現することも可能です。凝り固まった考え方をするのではなく、業務を見直したり、サービスに運用を合わせたりするといった柔軟な発想を浸透させていきたいと考えています。


「ガイドラインの改善」とは、サービスを選定・利用する上での注意点をより明確化していくことです。これにより、さまざまなSaaSに情報が散在することを防ぐとともに、リテラシーの向上も図れます。


「インターフェースの統一」は、足並みを揃えて全体の仕組みの統一を図るということです。ユーザーが各サービスを利用する際の入口はSlackもしくはHENNGE Oneに集約し、ユーザーが各サービスの違いを意識しないで済むようにするとともに、その裏では各サービスのログを収集して見える化したり、アカウント管理を人事マスターデータベースと連携させ、自動的に処理できるような世界を実現できればと考えています。