教育・医療・Biz iOS導入事例

セキュリティと機動力を両立させる、マネーフォワードのシステム運用術

個人向け家計簿アプリ「マネーフォワード ME」をはじめ、法人や金融機関向けのサービスも提供する株式会社マネーフォワード。機密情報を扱うゆえに最高レベルのセキュリティを確保しつつ、同時に従業員が利用するデバイスの自由度も高いのが特徴だ。なぜ、同社では高度なセキュリティと従業員の自由度を両立できるのか。デバイス導入に携わる担当者2名に話を伺った。

 

 

複数の対策で機微情報を守る

2012年に創業した株式会社マネーフォワードは、銀行口座やクレジットカードなどの利用情報を自動でまとめて資産管理できる、個人向け家計簿サービス「マネーフォワード ME」で知られるフィンテック企業。近年は、経理や人事労務における面倒な作業を効率化する法人向けバックオフィスSaaS（Software as a Service）の「マネーフォワード クラウド」が事業の柱になるなどサービスの幅を広げている。

同社のような金融系Webサービスでは機微情報を扱うため、一般的な企業より遥かに高いセキュリティ水準が要求される。セキュリティの仕組みについて開示すること自体が攻撃者に情報を与えることになるため、同社でのセキュリティ対策の詳細を伺うことはできなかったが、同社のコーポレートインフラ部のリーダーであるムガール優人氏はこう話してくれた。

「あくまでも一般論ですが、近年では『多層防御』の考え方を取り入れる企業が増えています。金融に携わる企業のほかにも、一般企業でも導入している場合も多いです」

セキュリティ対策における「多層防御」とは、セキュリティ対策を組み合わせて階層（レイヤー）を築くことで、ひとつの対策が破られても次やまたその次の対策が攻撃を抑止し、重要部への侵入前に攻撃を検知して対応できるようにする、リスクベースの総合的なセキュリティアプローチを指す（引用元：https://www.ipa.go.jp/files/000055601.pdf）。もちろん、ただツールを増やすだけでは意味がなく、構成をデザインすることがセキュリティエンジニアの重要な業務のひとつである。

同社の場合は約190のSaaSを利用しており、多くの業務で活用されている。それらには独自のセキュリティ対策が行われているほか、社内デバイスを管理するセキュリティシステムをうまく組み合わせることで、非常に高いレベルのセキュリティを実現できるそうだ。

 

多くの業種でMacを利用

同社では、業務デバイスのCYOD（Choose Your Own Device＝従業員選択性）を導入している。現在使われているデバイスの割合は、ウインドウズPCが3割、MacBookエア3割、MacBookプロ4割という割合で、MacBookプロはエンジニアやデザイナー職の従業員が使う場合が多いそうだ。

「Mシリーズチップ搭載モデルが登場して、アプリのビルド、動画編集などの負荷が掛かる作業も十分こなせるようになりました。そうであれば、デバイスの重量が軽いほうがよいと感じているようで、最近はエンジニアやデザイナーでもMacBookエアを希望する人が増えています」（ムガール）

2021年頃までは、社内でのウインドウズとMacの貸与比率は半々だったが、近年の半導体不足をきっかけにMacの比率が急上昇した。Macも納期が2カ月ほどになった時期があるが、ウインドウズは出荷が半年以上も先になる例があるためだ。

また、Mシリーズチップの搭載以降は以前より故障しにくい場合が多く、パフォーマンス能力も抜群に高くなったことからデバイスのライフサイクルが伸びている。同社ではかつて3年でのデバイス交換を目安にしていたが、現在はそこにこだわらず、本人の申し出により交換していく方針に改めた。その結果、平均の交換期間は4年と伸びているそう。Mシリーズチップ搭載デバイスが今後より進化すれば、交換までの期間はさらに伸びていくことが予想される。

 

創業当時の文化を残す

同社ではCYODが基本だが、一部でBYOD（Bring Your Own Device＝デバイス持ち込み制）を認めることで業務環境の自由度を高めている。たとえばエアポッズ・プロ（AirPods Pro）の場合、ノイズキャンセリング機能を使ってオフィスの環境音をカットする、ビデオ会議に利用するなどの使い方ができるほか、iPadでサイドカー（Sidecar）機能を使えばiPadをMacの外付けディスプレイとして利用できる。いずれもセキュリティには影響を与えない音声や映像の共有に留まるため、個人所有デバイスの利用を可能にしているそうだ。

そもそも同社の創業当時は、BYODを活用して業務の自由度を確保していた。サービスが本格運用するとともにセキュリティ水準を高めたが、BYODを一律で廃止することはせず、企業が作ってきた文化も大切に育てている。

また、コーポレートIT部はオフィス環境の改善業務も担っている。たとえば同社には多い月で80名ほどの社員が入社することもあったため、会議室の不足が問題になっていた。会議室はグーグルカレンダーを使って事前予約する運用を基本としているが、予約しても結局使わないケースもあったという。そこで、会議室の前にキオスク端末としてiPadを設置した。会議室の使用時にiPadを使ってチェックインすることで、会議室を実際に使っているかがわかるようになり、一定時間チェックインされない場合は自動的に予約がキャンセルされる。また、会議室予約用カレンダーを確認せずとも、会議室の前でキオスク端末を見れば空き状況がわかり、空いていればチェックインして利用できるようにした。

社外ツールや大掛かりなデバイスを導入せずとも自社で社内の課題を解決できるのが同社、そして同部署の強みである。同部署に所属する石塚大地氏によると「弊社ではコミュニケーションツールとしてスラック（Slack）を使っていて、社内コミュニケーションを可視化しています。そこから従業員の生の声に基づいて課題を拾い、オフィス環境の改善の具体策に結びつけています」ということだ。

 

両立に必要な3つのステップ

このように同社では、非常に高い水準のセキュリティを確保しながら同時に従業員の業務環境の自由度も確保している。

「セキュリティと利便性のバランスを取るのはとても難しいと思います。しかし、最近はマネージドサービスなどのモダンITが一般的になり始めていて、セキュリティを高めながら従業員の自由度も高められる時代になってきています。ほかの企業でも、当社のような運営を行うことは十分可能だと思います」（ムガール）

企業のシステム担当者にとって勇気づけられる言葉だが、セキュリティと自由度の両立を図るためには実際になにが重要なのか。これに対して、ムガール氏は3つのポイントを挙げてくれた。

1つ目は、守るべき情報と保管場所を定義することだ。守るべき情報はローカルとクラウドどちらに保存するのか整理し、ローカルならローカル、クラウドならクラウドを守る手段を探す必要がある。

2つ目は、守るべき情報が万が一漏洩した場合のインパクトを算定することだ。これにより、セキュリティにかけるべき予算規模が自動的に決まってくるだろう。

3つ目は、5年後、10年後の中～長期に事業がどこまで成長するか、従業員数がどうなっているかを算定し、それに見合ったセキュリティシステムを今すぐに導入するのか、あるいは中期計画を立てて導入するのか考えることだ。

「企業の事業やフェーズによっても、セキュリティと自由度を両立するレベル感やするべきことは変化します。システムを一度導入して終わりにするのではなく、先を見据えて持続性のある取り組みにつなげていくことがもっとも重要だと考えています。私たちの場合は、最速で事業を拡大するために必要な施策を取ることをミッションとしています」（ムガール）

セキュリティと業務の自由度がトレードオフの関係にあった時代から、私たちは一歩先に踏み出そうとしている。マネーフォワードのように高いレベルのセキュリティを担保している企業でも、自由度の高い業務環境を実現できるのだ。