テクノロジーを活用した予防医療サービスを法人向けに展開する株式会社リンケージは、SaaS管理において課題に直面していました。Josysを導入することで、特に入退社に関わるアカウントの発行削除業務を平準化し、ISMSの審査においても問題なく認証を取得することができました。同社でプロジェクトを推進した情報システム担当の及川さまと家城さまにお話をお聞きしました。

‍

導入前の課題

• 入退社に関わるアカウントの発行削除業務が属人化していた
  
  • Google スプレッドシートを使用し、一部のSaaS管理を手動で行っていたため、退職者が発生すると、その都度利用していたSaaSを、部門横断で個別に確認する必要があり、非常に手間がかかっていた

• 各事業部で独自に導入しているSaaSまで管理が行き届いていなかった
  
  • 全社で導入しているSaaSについては管理情報を元に棚卸しを実施していたが、一方で、各事業部が個別に導入しているSaaSについては、アカウントの棚卸しを行うたびに各事業部への確認・ヒアリングが必要となり、工数の肥大化が課題となっていた

導入後の成果

• 従業員の退職時のアカウント削除工数を大きく低減できた
  
  • 従業員を軸に横串でSaaSアカウント管理をすることで、削除すべきSaaSの特定が容易になり、アカウントの削除作業で削除漏れなどのリスクを大きく低減できた

• ISMS認証の審査において高い評価を獲得した
  
  • Josysを用いて、SaaSやITデバイスの管理だけではなく、事業部ごとで個別管理していた資産を統合管理し、包括的な管理体制を構築した結果、ISMS認証の審査において高い評価を受けた

‍

‍

Josys導入の背景　〜Google スプレッドシート管理からの脱却〜

——— Josysを導入する以前は、どのような課題を抱えていらっしゃいましたか？

及川さま：弊社では、もともと総務などのコーポレート部門が情報システム部門の業務も兼任していました。ただ、事業部で使用しているSaaSについては、各事業部で管理を依頼していたこともあり、情報が分散して見通しの良くない状態でした。

その後、情報システム部門が設立する時に各事業部に実態をヒアリングしたのですが、担当者も把握しきれていないSaaSがあることが分かり、やはり従業員単位でどのようなSaaSを使用しているかを確認することが必要だと考えました。

‍

——— Josys導入の決め手は何だったのでしょうか？

及川さま：もともと御社のことは色々な記事を読んで知っていました。
しかし、当時の弊社の規模や状況を考えると、Josysを利用するイメージがありませんでした。管理すべき台帳がなかったので、従業員にどんなSaaSを使用しているかという棚卸しを依頼することもできませんし、キッティングを御社に依頼するほど毎月の入社数も多くなかったためです。

しかし、その後Josysの機能について御社の営業担当から詳しく話を聞いていく中で、Josys上で管理できるSaaSの増加など、SaaSの管理機能が充実していくことが分かりました。

もしかしたら、私たちが今進めるべきSaaSの管理台帳の作成や運用体制がとても簡単に構築できるのではないかと考え、Josysの導入を真剣に検討するようになりました。

‍

‍

従業員単位の管理で退職者アカウント削除漏れゼロへ

——— Josysを導入した後、業務はどのように変化しましたか？

及川さま：最も大きな変化は、退職者のアカウント削除作業のシンプル化ですね。以前はカオスマップ（SaaSの一覧）を見ながら、この人のアカウントがどのSaaSにあったのかを事業部ごとに確認していたのですが、利用実態がなかなか把握できず、確認に手間がかかっていました。

Josys導入後は、従業員単位でSaaSアカウントが可視化できるようになったため、退職者の削除すべきSaaSアカウントがすぐに分かるようになりました。例えば、「Aさんが辞めるなら、5つのSaaSを使用しているので、それらのアカウントを削除しなければならない」ということが即座に把握できるようになったのです。

‍

——— 日常的な運用面での変化はいかがでしたか？

及川さま：情報システム部門での定例ミーティングの進め方が大きく変わりました。Josysの導入以前はミーティング前に説明用の資料を準備する必要がありましたが、今はJosysを確認すれば最新の正しいデータを確認することができます。

実際に週次の部門ミーティングでは、Josysの管理画面を確認しながら、次週の入社予定者や退職予定者の情報と突き合わせて、認識していないタスクがないかを確認し、必要に応じてタスクを割り振るというように、その場で具体的なアクションも決められるようになりました。

‍

——— 特に利用頻度が高い機能はどの機能でしょうか？

家城さま：SaaSやITデバイスの一覧を確認する画面やアカウントの削除機能をよく利用しています。特にJosysの導入初期に台帳を構築した後は、Josysで該当の従業員のステータスを「退職済」にすれば、削除しなければならないSaaSアカウントの対応をするようアラートが通知されるため、そのアラートに従って迅速に対応しています。

SaaSアカウントの削除業務については「溜めない」ということが非常に重要ですし、実際に弊社では日次でJosysを確認し、必要に応じて各SaaSのアカウントを削除しているため、わざわざ月次や年次で棚卸し作業を行う必要がなくなりました。

‍

‍

ISMS認証の取得を後押し

——— ISMS認証の審査での評価はいかがでしたか？

家城さま：これまでお話しした通り、SaaSやITデバイスの管理については、Josysを活用して厳格に行う体制構築を推進してきました。お陰様でそれら取り組みが認められ、SaaSアカウント管理やITデバイス管理台帳の作成と更新、管理者権限の可視化、入退社に伴う権限管理といった点で非常に高い評価をいただきました。

審査の結果、ITデバイス以外の備品を含む資産の管理やシャドーITの管理を評価いただき、初回審査では珍しく、加点をしていただきました。

‍

———加点のポイントは何だったのでしょうか。

及川さま：入館カードやセキュリティカード、弊社のヘルスケア事業で使用する白衣などもすべて資産としてJosysに登録しています。例えば、セキュリティカードを誰に貸与しているかをメンバー台帳上で簡単に確認できるようになっています。

審査員からは、「情報資産だけでなく、会社が持つ資産の管理として安全管理のための資産まで一つのサービスで管理できているのは素晴らしい。」という評価をいただきました。このように従業員一人に対してすべての情報資産を紐付けて、Josysの中で統合管理をすることで利便性が向上していると思っています。

‍

‍

今後の展望　〜CASBとの連携でさらなるセキュリティ強化へ〜

——— 情報システム部門として、今後力を入れていきたい点について教えてください。

及川さま：一つはサイバーセキュリティ対策の強化です。様々な攻撃手法が生まれている中で、それに対する評価や対策を行いつつ、トラストセンターのようなウェブページを公開して、弊社の取り組みを外部に開示していきたいと考えています。
現在は、各社から求められるセキュリティチェックシートへの回答業務が多々発生していますが、そのような作業も今後はできるだけなくしていきたいと思います。

もう一つは、弊社がハイブリッドワークを継続していく背景から、ゼロトラストネットワークアクセスで提供されているCASB機能を導入しています。そのCASBではフィルタリング機能が実装されたため、Josysともうまく併用していきたいと思っています。

それぞれの役割についてですが、まずJosysでは使用しているSaaSを包括的に可視化・管理します。
次に、可視化したSaaSの中で、使用を禁止すると決めたSaaSは、CASBでフィルタリングしてブロックする仕組みを考えています。最後にどうしても使用を許可せざるを得ない場合は、各事業部のマネージャーへ利用申請をすることで、限定的な利用を許可できるように整える予定です。

こうした流れが確立されると、「安全性と利便性」のどちらも確保した状態を作ることができると思います。

‍

——— 最後に、Josysを同業の方に薦めるとしたら、10段階でどの程度でしょうか？

及川さま：10点だと思います。すべての情シスはこれを使った方がいいと思います。

Josysを使えば情シスの業務をより効率化・高度化することができますし、自社のSaaSの利用状況について様々な発見をすることもできます。まだ導入されていない企業もJosysを利用して、ぜひ前向きに情シス業務に取り組んでいただけたらと思います。