「経営レイヤーと現場との乖離があるのはもうしょうがないので、そこで情シスが果たすべき役割というのは2つあります。」(株式会社ユーザベース 王 佳一さん)
株式会社ソフトクリエイトが公開した情報システムの現状とIT システム活用実態アンケート 2022から、各社の情シスの現状が浮き彫りになりました。
DXという言葉だけが先行し、経営レイヤーと情シスとの間でギャップが発生。ITリテラシーが上がらない現場社員。DXが叫ばれる時代になり、情シスが抱える悩みも新たなステージへと変化を見せているように思えます。
今回取材をしたのは、社内で600〜700ものSaaSを使用しているという「まさしくカオスな社内」と語る株式会社ユーザベースのCIOである王さんに、情シスが陥りがりな問題と対応策についてお聞きしました。(REBUILDERS編集部 木城)
王さんの情シスとしての経歴
「ひとり情シス」からキャリアをスタートした
王さん:
新卒で入社した会社で、運用保守ではなく、いきなり情シスの管理者というポジションになりました(笑)というのも、そのときちょうど前任の情シスが退職するタイミングで、しかも後任がいない状況でした。そこで当時の新卒20人の中から、私が抜擢されたという経緯でした。
本来であれば現場エンジニアとしてクライアントに出向する流れだったのですが、上記の経緯から情シスの担当者になり、かつ「ひとり情シス」という形で業務をしていました。PCやアカウントの管理からスタートし、ヘルプデスクや社内のインフラ管理まで、新卒の頃に一通り経験しました。
情シスの業務は落ち着く時期があるので、そのタイミングで受託案件を手伝ったり、人が足りないプロジェクトにジョインさせていただいて、開発したりということをしていました。開発という点ではPHPを少し触る程度で、メインはプログラム以外の領域をずっとやっていました。
20年間、情シス一筋の自分は、世間一般のCIOとは異なります
王さん:
私は世間一般のCIO・CISOとは異なるキャリアを持っています。というのも、私のキャリアは新卒の頃からずっと情シスの領域だったからです。かれこれ20年近く、ずっと情シスの領域でやってきています。
一般的なCIOやCISOはエンジニア出身だったり、元SIer企業にいたとか、そういった経歴の方が比較的が多いのですが、私は新卒のころからずっと情シスの畑でやってきている人間という点においては結構特殊だと思っています。
「情シス出身のCIO」と「エンジニア出身のCIO」の違いについてですが、テクニカルなスキル要件に関しては、ほぼ変わりないかと思っています。ただ、情シス出身だからこその勘所であったり、業務領域の幅の広さについてはずっと情シスをやってきているCIOとエンジニア出身のCIOとでは違いがあります。私は情シスというポジションを「ITの万屋」と思っていて、まさしくそれがゆえの幅の広さなんだと思います。
会社の規模が変わるとスケールが変わってくる
王さん:
20年のキャリアにおいて複数の企業を経験してきましたが、業界に関しては8割はIT系です。前職はグロービスという教育系の大学をやっている企業でしたが、それ以前はずっとITベンチャーで、GREE、ビズリーチ、グルーポンといった具体で、ポジションはずっと情シスでした。新卒で入社した会社は300人程でしたが、従業員数が1000人を超えている企業に転職すると、スケールという点では違いが大きかったです。
人数だけではなく、例えば予算の執行や戦略の立て方など、従業員数によって全然考え方も違います。そこのスケールの違いというのはこの20年の間でかなり変化がありました。
また、従来の情シスは結構守りの領域でした。システムの安定稼働が重要視されていて、時代の経過と共にICT活用やアナログからIT化への切り替えをしようという流れになってきて、最近ではDXというキーワードも流行っています。振り返ると情シスの守備範囲は時代に合わせながら少し変化してきていると思います。しかしスコープはさほど変化はなく、一方でスケールが結構変わったという印象が強いです。
情シスがぶつかる壁、どう立ち向かえば良いのか
不可欠なのは丁寧なコミュニケーション
王さん:
情シスというポジションはテクニカルな能力要件よりも、コミュニケーション要件のほうが重要視されていると感じます。さまざまなIT戦略や、経営層とのコミュニケーションやアプローチもそうですし、決められた施策をいかに全従業員に理解してもらうのか、コミュニケーションの力が本当に不可欠だと思っています。
特にセキュリティーは強化すればするほど利便性が下がることがあるので、そこは丁寧なコミュニケーションをとることによって、セキュリティーを強化するための意義や背景、目的などをきちんと理解してもらうことが重要だと思います。
社内のセキュリティーを強化する、社員からどう理解を得るか
王さん:
一般的な企業のセキュリティーにおいては、「セキュリティー施策を実施します」という結果論で伝えることが多いと思います。それで社員は従うかもしれませんが、何のためのこうしたいのか、そうすることによってどういったリスクが低減されるのか、そこできちんと情シスが説明責任を果たせるかどうかが重要な要素です。
セキュリティーを強化しましょうと言っても、普通の社員だと「わかりました」しか言えないじゃないですか。でも本質的にこれを何のためにやっているのか、そういう点でどうしてもセキュリティー担当者と社員との間で考え方の乖離があるかと思っています。そこのギャップをどう埋めるのかというと、そこはやはりコミュニケーションだと思います。
一般的な周知では手段を目的化しがちです。「これを導入します、はい終わり。」みたいに。そうではなく「何のために、何の理由があって、何の背景があってこれを導入するのか、それを導入した後にどう変わるのか」それを説明しきれていないことが皆さん多いのではないでしょうか。そこはコミュニケーションを重ねることによって社員の理解や協力度合いも変わってくるかと思います。理想論のように聞こえるかもしれませんが、そこは情シスが尽力しないといけない不可欠なポイントだと私は考えています。
経営レイヤーと現場社員の板挟みになってしまう、どうするべきか
王さん:
経営レイヤーと現場との乖離があるのはもうしょうがないので、そこで情シスが果たすべき役割というのは2つあります。1つ目は、現場の声をきちんと受け止めて理解することです。なんで現場がこういうことを言ってきたかとか、どういう背景でこういう考えがなったのかとか、そこをちゃんと分析してあげることが必要です。
2つ目は、経営レイヤーに対して説明材料を揃えた上でコミュニケーションを取るということです。そこでは一般的な事象の報告だけではなく、きちんとこちらとして事象を踏まえた上でどういう仮説が立てられるか、その仮説によってどういう影響が出るのかなど、説明する材料が揃った状態で経営レイヤーと会話するということです。
よくありがちなのは現場からの声を、ミドル層がそのまま経営レイヤーに上げることです。それでは結局経営レイヤーは理解できませんし、質問が来ても「持ち帰って確認します」みたいに、ただの社内営業になってしまいます。それでは時間がかかりますので、情シスは現場に対する理解と、意思決定の軸を自分の中に持ち、タイムリーに判断できるかどうかが重要です。
ユーザベースの情シスとしての役目
やるべきことが沢山あるのは、むしろ魅力的
王さん:
ユーザベースは1000人程(※2023年1月1日時点の従業員数は1134名)の会社ですが、実は中が結構カオスなところが多いです。とはいえその点は個人的にはすごく好きな部分なんですけど(笑)
上流の戦略もきちんとまとめないといけないですし、現場の課題もありますし、さらに技術レイヤーではコンフィグ(※ハードウェアやソフトウェアの環境設定のこと)をどう書けば良いのかとか、本当に幅広くやらないといけないことがあるのは、ある種私にとっては非常に魅力的なところでもあると思ってます。
カルチャーを守りながら最適化を図っていく
ユーザベースがここ最近打ち出しているキーワードの一つが「多様性を尊重した上でのIT標準化(※)」というもので、ユーザベースの特化した考え方の一つです。普通、1000人程の会社で標準化しようとすると、みんな同じルールで同じツールで全部集約してやっていきましょうね、という会社が多いと思います。
(※参考)Uzabase Journal:情報を集約して社内の「標準化」を図る
しかしユーザベースの場合はM&Aをしてきた会社ということもあり、各事業部が持つカルチャーや業務のやり方があります。そこで今やろうとしていることは、それぞれのやり方を尊重するというもので、各事業部のカルチャーを維持しながらも、まとめられる部分はきちんと集約していこうというものです。部分最適化と全体最適化の両立というのが、ユーザベースにとって重要な課題の一つです。
「攻めの情シス」と「守りの情シス」との違いは、たった1つ
私はマインドが結構重要かとは思っています。攻めの情シスと守りの情シスは、実はやってることはそんなに変わらないんです。どちらかというとマインドやトップメッセージが非常に重要であって「これからこういう風にやっていく」といったビジョンが情シスにとってかなり重要です。
例えば、社内のインフラでも稼働率だったりとか、障害率だったりとか、そういうKPIを追ってる会社が多いですが、ただKPIを追うだけでは守りの情シスです。
守りの情シスが稼働率99.99%を維持するという目標を掲げている一方で、攻め情シスは何をするかというと、稼働率99.99%を維持することを前提として、残りの0.01%で何が起きるかという一歩先の予測をするというです。それも十分攻めと言えるかなと思っています。
実は守りの領域から一歩踏み出すだけでも、攻めの情シスになるんですが、なかなかそういうマインドを持っていない方が多いかと思っています。
編集部:王さん、取材協力ありがとうございました!
■ 会社概要 ■
会社名 : 株式会社ユーザベース / Uzabase, Inc.
代表者 : 稲垣 裕介、佐久間 衡
本社所在地 :東京都 千代田区 丸の内2-5-2 三菱ビル
設立 :2008年4月1日
URL : https://www.uzabase.com/jp/
■ 担当者プロフィール ■
王 佳一 (おう けいいち)
ユーザベース執行役員 CIO/CISO 兼 IT Strategy Division Leader
グロービスやビズリーチなどITベンチャー数社を経て、2022年7月にユーザベースに入社。ユーザベースでは主にコーポレートITと情報セキュリティーの2つ領域を担当し、全社的なDXや業務改善、情報セキュリティーの強化等に尽力中。
