【メーカー】ITをコストから投資へ 自分と組織のために前に進む

こちらこそ！クラウドネイティブさんに出会えてよかったです。コンサルティングをご依頼するときは、「なんとかして！」よりも、「なんとかするしかないから力を貸してください！」という気持ちでした。

マキタでは、船舶用のエンジンを製造しており、敷地内に事務所と工場が併設されています。自社の情報システムはこれまでオンプレミスが主流でしたが、ここ数年でクラウドサービスやモバイル端末の利用が増え、境界型のネットワーク構成では機器やセキュリティにいつか限界がくると感じていました。

とはいえ製造業という業態上、工場のオンプレ機器を完全に廃止するのはまだ難しい。既存資産を活かしつつ、場所を選ばずインターネットもオンプレミスのシステムも快適で安全に利用できる環境を目指したいと考えていました。

ネットワークだけでなく、アカウント、デバイス、ファイルサーバーなど他にも細かい課題が山積みで、このままでは5年後拙いぞと、中で仕事をしている人間だからこそ抱く危機感がありました。

何とかしようとネットやブログなどで情報収集していた2019年末頃、情シスSlackやクラウドネイティブさんに出会いました。

そうですね。もしかすると、わたしが初めからIT技術者だったら、「こういうもの」と諦めていたかもしれません。でも設計部の事務員時代に経験した不便さも、総務兼情シス担当としての大変さも知っているので、この状況はどうにかすべきだと。仕方ないと割り切ることはできませんでした。

クラウドネイティブさんには、そのための設計やロードマップを中心にコンサルティングしていただきました。

ありがとうございます。

「ITを活用していかなければならない」という会社の共通認識は以前からありましたが、受け身な部門も多かった。それが、ここ数年のシステム導入による業務方式の変化と経営環境の変化により、経営層から「ITに投資」という言葉が聞こえてくるようになりました。確実に組織が変わってきたと感じます。

IT費をお話しするにあたり、製造業では原価への感覚が重要なので少し触れさせてください。製造原価には原材料や経費だけでなく、工場勤務者の労務費も含まれます。設計や試験部門などの間接的な労務費も加算されます。つまり製造原価にしっかり人件費も入るわけです。

製造原価への目はシビアです。工作機械の導入と同じで、ITについても、今までかかっていた業務がどれだけ効率化され、労務や経費のコストが圧縮できるのか、またはどれだけの利益を生むのか説明する必要があります。

面倒そうに思われる方もいらっしゃるかもしれませんが、逆に言えば、合理性があれば採用されます。ITが「コスト」から「投資」へと変わる瞬間ですね。

もちろん、金額だけでは正確に測れないこともありますが、まずはコスト面を突破口として進めていくのがわたしたちには合っていたのだと思います。

製造業はカイゼンが得意です。ただ、ITなど目に見えないものになった途端にカイゼンがうまくいかなくなってしまうことが多いように思います。目に見える数字に置き換えた上で、口だけにならないよう責任を持って推進していけば、ITは投資だという信頼関係を得られるとわたしは考えています。

業務にメールを一切使わない現場ユーザーもいますので、議論になりました。ただ、Boxもそうですが、一人一人にアカウントがある前提のサービスが主流になりつつあります。すべての従業員に安全で簡単な組織のサービスを提供することがわたしたちの目指したい姿です。全員が利用できなければシステム導入効果は限定的になってしまいます。例えば最近では、全員にアカウントを作り認証などID管理を整備していたことで、人事系SaaSの全社導入が実現しました。

昔、PCが、メールが、電話が、全社で一つだったのが共有になり、個人支給へと変わってきたように、アカウントも現場含め従業員一人に一つが当たり前になる、個人単位の必須支給物へ認識が変化していくだろうと考えています。

SaaS導入ではアカウント展開が最初の難関だと思いますが、個人アカウント＆IDaaSによって素早く安全に展開できるので、導入部署は設計や運用に集中できます。ハードルが下がったことで、各部署はもっと気軽にサービス検討を進めてくれたらいいなと思います。コストの元も取らなければいけませんし（笑）

ありがとうございます。クラウドネイティブさんにはBoxのフォルダ設計や設定、運用についてコンサルティングいただきました。最初の設計がしっかりしていたので、ほとんど手直しせず運用できています。

たしかに、セキュリティについては、経済合理性を説明するのは難しいと思います。脅すような説明はできますが、それは本当の説明ではない。どのようなリスク対策になるのかを承認の関係者ごとにアレンジして説明しました。人事であれば個人情報管理、経理であれば資産管理や対策の将来性などですね。便利になって、なおかつ安全になる部分を強調したり。

「シングルサインオン」など、横文字はできる限り使わずになんとか説明しました（笑）。

そして、もちろんセキュリティですから、リスクについての議論をすることになります。特にここでは、クラウドネイティブさんからの宿題が大活躍しました。

導入中のすべてのITサービスについてプラン・数量・料金、保有するライセンスとハードウェアを、経費だけでなく固定資産の償却額も含め自社の全てをリストアップしました。メンバー総出で1週間黙々と（笑）。

非常に根気のいる作業ですが、洗い出したのちに、セキュリティスペシャリストと今後の施策について具体的にプランニングができますよね。このシートは先々まで使える組織にとっての大切な財産になると思います。

費用の妥当性を含め、最適な構成を一緒に検討いただきました。依頼時に大まかな希望構成を提示していたのですが、実際の状況を見たうえで「残すべきもの、追加すべきもの、やめられるもの、あるとよいもの」を時系列と共に的確にご提案いただきました。頭ごなしでなくこれまでの経緯や意図も聞いてくださるのは嬉しかったです。かかった労力が無駄にならない、丁寧な議論でした。

ロードマップとTo-Be図の初版をいただいた時は「立派（な構成）になって…」と感動してしみじみ眺めました。

そうですね。なんとか対症療法でやっていたのですが、それではきりがなく、いつか行き詰まると考えていました。

はい。VPN機器を部分的に増強したり、一部の通信をバイパスしたりしてはいましたが、やはり、帯域の逼迫は大きな課題でした。ファイルのやりとりやWEB会議も快適とは言い難い環境で。

デバイスの管理も課題でした。全事務員にスマートフォンを配布する予定を立てていましたが、当時の環境では大変で無理がありました。

その対策含め、IT基盤の大幅再構築を決断したのですが、構想をメンバーに伝えた当初の反応は悪かったです。「また何か無茶言い出したぞ」みたいな。

正直あまり乗り気ではなかったです（笑）

「やるなら今しかない！私の勘だ！」で押し切りました（笑）

つづいて、第一段階をクリアした現在の構成図ですね。Azure ADはオンプレミスのActive Directoryとディレクトリ連携をすることで、クラウドもオンプレミスへもスムーズにログインできる環境を整えられました。MDMであるIntuneで漏れなくデバイスの管理ができています。

シングルサインオンは本当に便利で、従業員ユーザーはパスワードを管理していた苦労を忘れていますね（笑）。当たり前に使ってもらえる環境をユーザーに届けるのがわたしたちの仕事です。ですが…スムーズに切り替わりすぎてユーザーの反応が薄いのが少し寂しいです（笑）。

今回Active DirectoryとAzure ADとのハイブリッド構成にするにあたって、手順はすごくシンプルでしたが、アカウントの棚卸に時間がかかりました。Active Directoryは長く使っていると無駄なアカウントが増えてしまいがちです。ユーザーにヒアリングしながら整理し、グループや属性の設計を見直すことができました。

大変でしたが、今後のためにもうれしい収穫です。

劇的にキッティング作業が楽になりましたね！いやー！もう、戻れないっすよ！

吉井がAzure ADやIntuneの構築から派生して、AutoPilotを構築してくれたんですよ。超お手柄です。

以前は手動でのキッティングで、開封、起動、ユーザー設定、ネットワーク設定、インストール、そして、待機…合わせて2〜3時間かかっていたものが、今は10分ほどで終わります。

機器を箱から出してネットワークに繋ぐだけでほとんどの設定が自動完了するようにしました。完全な自動化ではない部分もありますが、作業時間の9割以上は削減できています。短期間でのスマートフォンやPC数百台の入れ替えと管理を2名体制で回すことができたのはIntuneのおかげです。

Intuneによって、キッティングだけではなく配布した構成がデバイスに設定されているかどうか場所を問わずいつでも確認できるようになりました。トラブルが起きたとしても、遠隔で情報を取得し制御することもできます。

管理面だけでなく、IntuneとIDaaSの連携によって、より安全な認証が可能となりました。また、オンプレミス管理だったアンチウイルス対策から、クラウドベースのアンチウイルスとEDR導入も実現できました。

現在は、全体を最適化していく上で資産管理ソフトが担っている機能をEDRやMDMで代替できないか検証しつつ、見直しを進めています。

はい。場所を問わずデバイスを安全な状態に保ち、デバイスから直接インターネットへ接続できる環境です。

VPNを部分的な利用にとどめることで、帯域の確保と攻撃面の削減に寄与できるかと。情報資産をシンプルに管理することと、ネットワークトラフィックを最適化することが大きなテーマです。

データセンターを閉塞し、IaaSへ移行します。VPNは部分的に残しつつ、社外からはSASEの機能を利用したリモートアクセスによって、オンプレミスの情報資産へアクセスします。

UTM等が担っていた通信の把握や制御については、CASBやSWGに置き換わるイメージです。

データセンターの閉塞にともなって、Active Directoryもハイブリットから完全にAzure ADへと統合させる予定です。場所を問わない理想的なIDとデバイスの管理が実現できると考えています。

長期戦の作業もありますが、これが現在のわたしたちが目指している姿です。

今はまだ過渡期です。システムの依存関係もあるので、VPNをすぐに廃止することは現実的ではないですし、クラウドシフトは検証の負担も大きいので、無理をせずわたしたちのペースで取り組んでいます。

今回のプロジェクトで自分達の手でITインフラを作り上げていく自信が付きました。検証していく中で、この構成図も今後変わっていくかもしれませんね。

また力をお借りしたい時が来ますので、その時はクラウドネイティブさん、お願いしますね！

ちょっと恥ずかしいですね（笑）。

そうですね…今でこそ「進んでいる」とか「実行力が」などと言っていただけることが増えましたが、情報収集ばかりで行動に移せない時期がありました。「地方だから」「中小企業だから」「非IT企業だから」という、「事例になるような企業とは環境が違う、うちはムリ」という後ろ向きな気持ちです。

でもある時、個人的にシンジさん（クラウドネイティブ代表）とお話する機会がありまして…

シンジ「中小だからできないっていうのは理由にならないよ。大企業には大企業なりの大変なことがたくさんある。それぞれ違う苦労があって、楽に導入できる企業なんかない。やりたいこととそれで得られるものが見えているなら、自分のためにも会社のためにもやったらいいんじゃない？」

こう…いや、実際にはもう少しズバっと（笑）言われまして。目が覚めたというか、凄くハッとしました。大企業や都会を別世界だと思うことで、やらない言い訳にしていたのかもと。

それから技術情報との接し方が変わりました。何かを変えようとするときって、デメリットや欠点とか、やらない理由を探してしまいがちなのですが、どうすれば自分のやりたいことを実現できるのか、そういう前向きな視点に立った情報収集に変わりました。

会社規模、立地、業種がどうとかいろいろな事情があるとは思いますが、勇気を持ってみなさんが前に進んでチャレンジしていけたらいいですよね。

そうですね。最初は本当にできるのか不安でしたし、大変なこともありました。でもやってみると楽しいですよ！なにより、結果的に仕事が楽になりました！

クラウドネイティブさんからご提案いただいたこと、勉強になったことがたくさんあります。その中でも一番印象的だったのは、「それはまだ早いから買っちゃダメ」と「それは必要ないから買っちゃダメ」でした（笑）。こういう忖度しない会社ってなかなかないですよね。

まだまだ道半ばですので、今後ともお付き合いさせていただきたいです。

あ！そうだ！一つだけよくないところがありました！（笑）

クラウドネイティブさんってプロ集団としてプライドと責任を持っていらっしゃいますよね。そこがいいところなのですが、悪い方に出ちゃうことがあるんですよ。

手順で詰まってしまった時に質問したら「え！？そこで詰まるの？」みたいな、悪気のないリアクションされちゃって、ちょっとあのときは傷つきましたよ（笑）

はい。こちらこそ、ありがとうございました。