こんにちは!SmartHRの情報セキュリティマネージャーの@Oyamatoです。SmartHRの情報セキュリティマネージャーとしてジョインして約半年が経ちました。入社して何に驚いたかって、セキュリティもちゃんとSmartHRのミッション「well-working」なんですよ!
SmartHRでの情報セキュリティマネージャーの業務内容は、情報セキュリティの戦略やルールの策定や運用支援、社内外からのセキュリティに関する質問への回答やその支援、ISMS活動やSOC2の監査対応など様々です。SOC2 Type2は持ってるところがまだ少なく少し珍しいのですが、他の会社さまとそう変わらない業務内容だと思います。そう変わらない業務内容だからこそ、SmartHRの業務の楽しさや、仕事のしやすさをお伝えすることでSmartHRの情報セキュリティマネージャーに興味を持っていただける人が増えないかなという下心を持って書いています。下心が大きすぎてちょっと長文の気配ありです。
このページを開いている情報セキュリティマネージャーのみなさん、あなたに向けて書いています!読んでね!
お仕事楽しいです。
一般的に(一般的にですよ)情報セキュリティマネージャーはストレスの多い業種だと言われています。社外からの攻撃に備える緊張状態、社内から「仕事をやりずらくする人」とみられるストレス。胃をキリキリさせて働いている方も多いのではないでしょうか? そのストレス減るかもしれません。そう、SmartHRならね。
セキュリティに感度の高い社内
SmartHRの社員の特徴としてセキュリティに対する理解や感度が高いことがあげられます。当社の提供する製品の特性上、いかにお客様が当社に高いセキュリティ水準を求めているかを自覚していると言い換えてもいいかもしれません。
ニュースで情報漏洩事故の話題があれば、様々なグループで「当社では大丈夫なのか?」と議論している様子が伺えます。社内から当社の防御策について教えてほしいとセキュリティに関する情報を積極的に求める声も上がっていました。
情報がオープンであることとズレ埋め文化
ここまではお客様の要望を察知できるセールス/サポートパーソンであれば一般的なことと思われるかもしれませんが、このセキュリティへの感度とSmartHRのカルチャー・バリューである「情報がオープンであること」「認識のズレを自ら埋めよう(社内では「ズレ埋め」と略されます)」を掛け合わせると、なんということでしょう、セキュリティ業務がしやすいミラクルな職場に変わるのです。
SmartHRではできる限り情報をオープンにやり取りすることを心がけており、Slackでのやり取りも基本的にオープン。オープンにやり取りをすることで私たちが一人に答えたセキュリティの回答がすぐに様々なグループに共有されていきます。それもマネージャーなどの職位の上の方からだけではなく、メンバーのみんなの自律駆動的な動きもあり凄まじい伝達スピードです。最初はちょっと驚きましたw
また、社員のみんなが、セキュリティは脅威と対策が日夜変化していくものだと理解し、質問してくれます。 そのため、過去に回答があっても時間の経った回答であれば「この件の対策、今も変更なしですか?」だったり「この時、こう回答されてますがこんな場合ならどうですか?」というようなコンテキストを理解した深い質問をしてくれます。同じ質問に同じように返す手間を省きつつ、確認もいただけるので非常に回答しやすいです。その結果、空いた時間でよりお客様に親身になった回答や追加の補足情報を丁寧にできるので誰もがWin-Winになるカルチャーだと思います。
ズレ埋めカルチャーもまた、セキュリティの業務をめちゃくちゃ楽にしてくれています。セキュリティに関する専門用語をついつい出してしまった時も「この理解であってますか?」と理解度を教えてくれますし、セキュリティの質問の背景も自ら詳しく教えてくれます。その結果、セキュリティにとって、現場にフィットして守られやすいセキュリティルールを考えやすい環境になっています。
私はSOC2 Type2の対応を担当していて、様々な形で社員のみんなに協力を仰ぐことがあるのですが、どの部署もとても丁寧に対応してくれています。入社まもない私のズレ埋めにも根気深く付き合ってくれました。その節は大変お世話になりました。
HRT(謙虚・尊敬・信頼)を感じるカルチャー
私がSmartHRに入社して、最も驚いたことはHRT(謙虚・尊敬・信頼)の原則が社員一人一人に真の意味で根付いていることです。個人的にはSmartHRのセキュリティ業務でやりやすさや喜びを感じることができるのは、HRTのカルチャーによるところが最も大きいかもしれません。
SmartHRでは日々のセキュリティの業務で社内外から感謝の言葉をいただくことが多いです。SmartHRでは日々、お客様からセキュリティチェックシートへの回答依頼を数多くいただきます。セキュリティでは、唯一売上に貢献できる接点として、お客様に安心してプロダクトを使ってもらうための説明責任の機会として、セキュリティチェックシートへの回答業務を非常に重要視しています。
SmartHRではお客様が安心してプロダクトを使っていただけるよう、セキュリティチェックシートをできる限り丁寧に回答する方針です。 お客様の中には高いセキュリティ水準を求めるお客様もいらっしゃって、セキュリティチェックシートに細かな質問が多く大変なこともありますが、その分、回答後担当のセールスの方から受注できたと共有いただいた際は、声が出るほど嬉しいです! 何より、担当のセールスの方が私たちのセキュリティチェックシートにかける思いを理解してくれているからこその受注共有だと思うので喜びもひとしおです。
認証系の業務でもSmartHRでは社内から感謝の言葉をいただきます。認証系に携わる情報セキュリティマネージャーの苦しみの一つに社員が協力的ではなかったり、会社にとっての認証の重要性を理解されていなかったりということがあると思いますが、SmartHRでその苦しみは和らぐかもしれません。
先日、SOC2 Type2のオフィス現地視察があったのですが、告知に関しての社員のみんなの反応はこんな感じでした。
応援ありがと〜〜〜!酔ってる顔文字はなに?
祭りとして楽しんでる人もいてくれたみたいでよかった。
いつもありがとう
SmartHRのカルチャーと社員のみんなのおかげで私は毎日楽しくお仕事できています。本当にいつもありがとうございます。ありがとうってバリエーションが少ない言葉なのでこの気持ちを適切に伝わるかいつも不安になるのですがSmartHRのスタンプで言うとこのくらいの感謝量です。
このカルチャーを失わないようにセキュリティユニットも頑張りますよ~!
チー丸なセキュリティ
会社のカルチャーを守っていく上で、セキュリティの果たす役割って結構重要だと思うんですよね。例えば、HRTですがセキュリティ的にOUTが多くなってくると疑心暗鬼になっていき、その結果セキュリティと現場に溝ができてしまいます。そんな状況にならないようにセキュリティではチーム内外にHRTを持って、現場の業務で運用しやすいセキュリティを一生懸命考えています。そんなセキュリティユニットの雰囲気を少しだけ紹介します!
チームワークで守るセキュリティ
SmartHRのセキュリティユニットには情報セキュリティマネージャーとセキュリティエンジニアの2つの職種が所属しています。SmartHRでは情報セキュリティマネージャーは情報セキュリティに関して全般的に戦略を立てていく職種、セキュリティエンジニアは情報セキュリティの中で技術的に特化したスキルを使う職種としています。なお、情報セキュリティマネージャーのマネージャーとはPMM(プロダクトマーケティングマネージャー)同様、職位ではなく「マネジメントする人(担当)」の意味です。
世の中のセキュリティ組織はそれぞれが職人的に、黙々と自分の仕事にそれぞれ専念して働いているということもあるようですが、SmartHRでは、セキュリティをチームワークでやっていく方針です。セキュリティエンジニアとセキュリティマネージャーとで職種は違えどSmartHRのセキュリティを守るというミッションを大事に、同じ方向を向いてチーム一丸となって業務にあたっています。SmartHRではこれを「チー丸」と呼んでいるようですが「ー」が「チーム」の伸ばす棒なのか「一丸」の一なのか私はいまだにわからないので声に出して読まないようにしています。
SmartHRのセキュリティユニットのメンバーはみんな、セキュリティが大好きなので、セキュリティユニット内で話題のニュースなどに関して盛り上がったり、「セキュリティってこうありたいよね」みたいな話をわいわいしています。お互いの思うSmartHRのセキュリティを日常的に語り合って、目指す方向性がずれないように心がけています。
また、セキュリティユニットでは社内外から寄せられた質問やチェックシートの依頼に対して担当を割り当てて回答していくのですが、お客様や社員がどんなセキュリティの要望を持っているのか気になって自分の担当外の依頼もやり取りを見ています。お互いの回答の仕方や回答方針を学び合ったり、裏側で回答支援をしたりセキュリティマネージャーもセキュリティエンジニアもチー丸となってセキュリティに関する相談に対応しています。セキュリティエンジニアにとっても、社外のお客様の質問はお客様のセキュリティに関する要望などが読み取れていい機会になっています。
セキュリティユニットの中では上下のない関係性でフランクに意見を出し合っています。白熱した議論も時折起こっていますが、お互いにHRTがあるからこそ、その後に普通に雑談でほのぼのしていたりします。
セキュリティユニットは趣味がちょっとずつ被っていたりいなかったりなのですが、かなりマニアックな話が聞けて雑談が盛り上がりがちです。全社会議のある日はあらかじめ「今日はショートモードですよ」などの声がかかるくらいに盛り上がっております。最近はみんなで「4:33」という無音の曲をニヤニヤしながら聞きました。
SmartHRの成長スピードを追い越していきたい
そんな和やかな雰囲気のセキュリティユニットですが、割と熱い野望を持っていたりします。
SmartHRでは「早いほうがカッコイイ」というバリューに表現されているように様々な部署で日夜新たな業務が生まれたり改善されたりしています。組織の拡大スピードも急速で、当時のベストアンサーで作ったルールが今では業務の障害になっていたり、形骸化したりということが全社的に起こっています。セキュリティの方針やルールも同様で、セキュリティユニットでも様々なセキュリティ方針やルール、運用の見直しが急務になっています。
セキュリティでは先人へのリスペクトを元に、未来にも通用するようなセキュリティの方針やルールを考えていきたいと思っています。SmartHRの成長スピードに追いつくだけではなく、追い越していくセキュリティを目指して構想を練っています。
SmartHRのセキュリティはある程度完成しているように見える、というありがたいお声をいただくこともありますが、足元の課題もこれからのためにやらなくてはいけない課題もまだまだたくさんあります。
例えば、今までのSmartHRでは、セキュリティユニットメインでISMSの運用を回してきていました。そのため、全社的なセキュリティへのお悩みが吸い上げにくかったりリスク評価が不十分だったりと課題を生み出す源になりつつありました。セキュリティユニットではISMSをより実効的なものにすべく、様々な改善を行っている最中です。例えば、規格要求では年1回以上のマネジメントレビューですがSmartHRの成長スピードを考えて年2回にしてより深いセキュリティのご報告ができるようにしました。また、教育もよりセキュリティの考え方が身につくような形式での研修に変更しました。今後は情報資産やリスクの管理について各ユニットと一緒に考えていけるような台帳の整理を考えています。
また、SmartHRだけではなく、グループ会社のセキュリティに関しても考えるタイミングに来ています。ISMS認証を目指したいと言うお声をいただいたこともあり、認証取得の支援から始まったセキュリティユニットでのグループ会社のセキュリティ支援ですが、グループ会社としてそれぞれの会社のセキュリティを担当されているみなさんと一緒にグループ会社統一のセキュリティ基準に取り組んでいく構想を持っています。
セキュリティ課題への取り組みのスピードを上げるべく、セキュリティを効率化する取り組みも積極的に行っています。セキュリティエンジニア主導でSIEMの導入を検討していたり、LLMなどの新しい技術を使ったセキュリティチェックシートの業務効率化も考えています。
前述の通りセキュリティチェックシートはセキュリティユニット共通認識としてめちゃくちゃ大事に思っているのですが、とはいえ量が膨大…。と言うことでLLMハッカソンに出場してみました!LLMを使ってセキュリティチェックシートへの回答を効率化できないかと、セキュリティエンジニアとセキュリティマネージャーで協力して取り組んだプロジェクトです。ハッカソンは残念ながら入賞ならずでしたが審査員やハッカソン運営からも本運用可能なアイディアと評価いただき、今後も取り組みを続けていく予定です。いずれ運用を開始したらまたTech Blogで会いましょう!
課題はまだまだたくさんありますが、この課題を全部クリアできたらそれでOKなのか?否!私たちセキュリティユニットは、一般的なセキュリティ水準で満足するのではなく、一般以上のセキュリティを目指しています!
そんなわけでまだまだやることがたくさんあるSmartHRで一般以上のセキュリティを目指してやっていきたい情報セキュリティマネージャーのみなさん、是非ともSmartHRにご応募していただけると嬉しいです!ご応募待ってます!We are Hiring!!
カジュアル面談のお申し込みページ
