【新卒OJT】情報システム部門での研修振り返り
はじめに
お疲れ様です。あきとです。
半袖で廊下に出ると寒いが、部屋の中はPCの発熱でちょうどいい温度。着る服に迷う今日この頃。
今回、新卒OJTとして、クラスメソッドグループの全社情報システム担当チームの一次窓口を担うTier1ユニット(T1U)で研修を受けました。本記事では、研修を通じて学んだことや感じたことを振り返ります。
研修の目的:
- 社内システムの仕組みを深く理解する
- 情シス業務の幅広さと多様性を知る
情報システム部門は、社内のIT基盤を支える「縁の下の力持ち」です。ID管理、端末管理、ネットワーク、セキュリティ、そして日々の問い合わせ対応まで、非常に幅広い業務を担っています。
1. 情シスの体制とゼロトラストセキュリティの全体像
T1U/T2Uの二段階体制
情シスチームは、Tier1ユニット(T1U) と Tier2ユニット(T2U) の二段階体制で運用されています。
- T1U(一次対応): 社内からの問い合わせに最初に対応し、切り分けを行う窓口
- T2U(二次対応): より難易度の高い案件や、特別な権限が必要な作業を担当
T1Uでは、 5W1H(When・Where・Who・What・Why・How) に基づくヒアリングを徹底しています。「一問一答で確実に詰める」という姿勢は、情シス業務だけでなく、他の業務にも活用できる重要なスキルだと感じました。
ゼロトラストセキュリティとは
研修を通じて、ゼロトラストセキュリティという考え方を学びました。これは「社内ネットワークだから安全」という従来の境界型セキュリティではなく、「全てのアクセスを信頼しない」ことを前提とした設計思想です。
クラスメソッドグループでは、以下の4つの要素を組み合わせてゼロトラストを実現しています。
- ID基盤(Entra ID): ユーザー認証と権限管理
- 端末管理(Jamf/Intune): デバイスの状態を常に監視し、準拠していない端末はアクセス拒否
- ネットワーク境界(Cloudflare): 通信経路の制御とコンテンツフィルタリング
- エンドポイント防御(SentinelOne): 端末上での脅威検知と対応
これらが連携することで、ID・端末・ネットワーク・検知対応の各層で守りを固めています。
2. ID管理とアクセス制御
Entra IDによる統合ID管理
Entra ID(旧Azure Active Directory)は、社内のID基盤の中心です。全てのユーザーとグループがEntra IDで管理されており、ここで認証・認可が行われます。
主な機能:
- ユーザー/グループ管理: 社員の入退社に合わせてアカウントを作成・削除
- 認証: MFAを活用した強固な認証
- 条件付きアクセス: デバイスの準拠状態や場所に応じてアクセスを制御
Entra IDで認証することで、様々なSaaS(Slack、Google Workspace等)にシングルサインオン(SSO)できます。これにより、ユーザーは複数のパスワードを覚える必要がなく、管理者もアカウント管理が一元化できます。
SAML連携とシングルサインオン
SAML(Security Assertion Markup Language)は、異なるシステム間で認証情報を安全にやり取りする仕組みです。
- IdP(Identity Provider): 認証を提供する側(Entra ID)
- SP(Service Provider): サービスを提供する側(Slack、Google Workspace等)
IdPとSPを連携することで、一度Entra IDで認証すれば、他のサービスにも自動的にログインできます。
運用のポイント:
- SAML連携には証明書が必要で、年次更新が運用ルール化されている
- 証明書の更新を忘れると、全社員がサービスにアクセスできなくなる可能性があるため、慎重な管理が必要
1Passwordでの資格情報管理
重要な認証情報(管理者パスワード、APIキー等)は、1Passwordで集中管理されています。これにより、パスワードを個人で管理するリスクを減らし、チーム全体で安全に共有できます。
3. PCセットアップ研修 - 端末管理の仕組み
研修内容
PCセットアップ研修では、WindowsとMacのセットアップを実際に体験しました。使用したツールは以下の通りです。
- Windows: Intune(Microsoft)
- Mac: Jamf(Appleデバイスを主としたMDMツール)
MDM(Mobile Device Management) とは、企業がデバイスを遠隔で管理・制御する仕組みです。設定の配布、アプリのインストール、セキュリティポリシーの適用などを一元的に行えます。
JamfとIntuneの役割分担
クラスメソッドグループでは、OSによって使い分けています。
| ツール | 主な対象OS | 強み |
|---|---|---|
| Jamf | macOS、iOS | 遠隔ロック、リモートデスクトップ、詳細なポリシー配布 |
| Intune | Windows、Android | Windowsとの親和性が高い。macOS/iOSも管理可能だが機能は限定的 |
ABM(Apple Business Manager) という法人向けのAppleのデバイス管理などが可能なサービスを利用して、Jamfと連携可能です。
研修の流れ
1. 正常なセットアップの習得
まずは、何度もPCを初期化してセットアップを繰り返し、標準的な手順を体で覚えました。セットアップ中に、JamfやIntuneの管理画面でPCの状態がどのように変化するのかを確認しながら進めることで、各段階でシステムがどう動いているのかを理解できました。
2. 失敗ケースの実験
次に、わざと設定を変更してセットアップを失敗させるという実験を行いました。失敗した状態のPCを管理画面で観察し、「なぜ失敗したのか」を推測しました。
この研修により、成功パターンだけでなく、失敗パターンも体験できたことで、実際の問い合わせ対応時に役立つ知識を得ることができました。
4. エンドポイント防御とネットワークセキュリティ
SentinelOne(EDR)による脅威検知
SentinelOneは、EDR(Endpoint Detection and Response) と呼ばれる、エンドポイント(PC等の端末)でのセキュリティ対策ツールです。
EPPとEDRの違い:
- EPP(Endpoint Protection Platform): 既知のウイルスシグネチャをもとに事前に防御
- EDR: 端末の挙動をリアルタイムで監視し、異常な動作を検知・隔離・復旧
SentinelOneは、従来のアンチウイルスソフトでは検知できない未知の脅威にも対応できます。
運用のポイント:
- SentinelOneは誤検知することもあるため、最終判断は人が行う
- ヒアリング内容や外部の脅威情報を踏まえて、総合的に判断することが重要
Cloudflareによるネットワーク制御
Cloudflareは、SASE(Secure Access Service Edge)/ SSE(Security Service Edge) として活用されています。
主な役割:
- コンテンツフィルタリング: 監査要件(ISMS等)に対応するため、不適切なサイトへのアクセスをブロック
- アクセス経路の制御: PCとクラウドサービスの間の通信を仲介し、セキュリティ強化・高速化を実現
5. 社内SaaSの運用と管理
Google Workspace
Google Workspaceは、Gmail、Google Drive、Google Meet、Google Docsなどのツールを統合したクラウド型のビジネスツールです。社内のコミュニケーションやファイル共有、ドキュメント作成などに幅広く活用されており、業務の生産性向上に欠かせない基盤となっています。その重要性から、社内で2番目にコストがかかるSaaSです。
主な運用方針:
- 共有ドライブ: グループ単位で権限管理するのが基本
- メール保護: 誤送信対策を強化
- Gemini活用: AIツールの積極的な活用を前提
Slack(Enterprise Grid)
Slackは、チームコミュニケーションツールとして社内で広く使われており、リアルタイムのメッセージング、ファイル共有、外部サービスとの連携などを提供します。クラスメソッドグループでは、Enterprise Gridプランを採用しており、全社的なコラボレーションの中心となっています。その活用度の高さから、社内で最もコストがかかるSaaSとなっています。
運用方針:
- Slack Connect: 外部組織とのチャンネル共有。ゲストとは異なる料金・権限体系
- アプリ権限の事前承認: 意図とは違うアプリ挙動を抑制
- アカウント削除: 原則削除しない運用
6. 問い合わせ対応の見学・模擬対応 - 01-help-meチャンネル
見学した内容
クラスメソッドグループでは、Slackの #01-help-me チャンネルが、社内の困りごとを相談する窓口として機能しています。
対応の流れ:
- 30分以内に反応: 迅速な初動対応
- 5W1Hに基づくヒアリング: 情報が不足している場合は追加で質問
- 解決またはエスカレーション: T1Uで対応できない場合はT2Uへ
模擬対応
実際によくある問い合わせのケースを想定して、模擬対応を行いました。
「デバイスは準拠が必要」エラー:
このエラーは途中から表示されることが多く、#01-help-meでもよく見かける問い合わせです。
解決方法として、Mac情報送信を実施することで準拠判定が更新され、エラーが解消するケースが多いことを学びました。
S3(AWSストレージ)関連:
S3に関する問い合わせがあった際、情シス管理外のサービスであることを明確に伝え、適切な担当部署へエスカレーションする練習を行いました。境界を明確化し、適切な窓口に繋ぐことも、ヘルプデスク対応の重要な役割であることを学びました。
7. その他の学び
ドキュメント管理の工夫
課題:
- SaaSのUIは頻繁に変更されるため、画面キャプチャを多用した手順書は保守コストが高い
対策:
- 画像は最小限にとどめ、テキスト主体で記述
- 要点を図解することで、UI変更の影響を最小化
まとめ
今回のOJTを通じて、情報システム部門の業務の幅広さと奥深さを実感しました。
ゼロトラストセキュリティの全体像から、ID管理、端末管理(MDM)、ネットワーク設計、SaaS運用、そしてヘルプデスク対応まで、多岐にわたる業務を学ぶことができました。
また、技術的な知識だけでなく、5W1Hに基づくヒアリングや相手の立場に立ったコミュニケーションを通じて、情報システム部門に限らずあらゆる業務で通用する運用プロセスの重要性を実感しました。
情シスチームの皆さんから多くのことを学び、社内IT基盤がどれだけ多くの技術と工夫によって支えられているかを理解できました。このOJTでの経験を活かし、今後も成長し続けたいと思います。
アノテーション株式会社について
アノテーション株式会社は、クラスメソッド社のグループ企業として「オペレーション・エクセレンス」を担える企業を目指してチャレンジを続けています。「らしく働く、らしく生きる」のスローガンを掲げ、様々な背景をもつ多様なメンバーが自由度の高い働き方を通してお客様へサービスを提供し続けてきました。現在当社では一緒に会社を盛り上げていただけるメンバーを募集中です。少しでもご興味あれば、アノテーション株式会社WEBサイトをご覧ください。
