SmartHR Tech Blog

SmartHR 開発者ブログ

グループ全体を守るセキュリティ体制へ。SmartHRセキュリティユニットの挑戦

グループ全体を守るセキュリティ体制へ。SmartHRセキュリティユニットの挑戦

近年ますます重要性が高まる情報セキュリティ。
クラウド人事労務ソフトを扱うSmartHRにとって、お客さまに選ばれ続けるためにもセキュリティ体制の強化は欠かせません。SmartHRのセキュリティマネジメントの現在地や、今だからこそ感じられるやりがいについて、2022年に入社しセキュリティユニットで働く2人に聞きました。

佐々木さん(@sasakki-)

MSS(Managed Security Service)からクラウドサービスの開発、小売業のセキュリティ担当を経て、2022年4月にセキュリティエンジニアとしてSmartHRに入社。

中西さん(@nakanishi_a.k.a_doc)

複数のIT企業にて、全社的なセキュリティ体制の構築、インシデント対応などのセキュリティマネジメント業務を経験。2022年8月、情報セキュリティマネージャーとしてSmartHRに入社。

会社全体のセキュリティ体制を再構築。少数精鋭で幅広い業務を担当

── セキュリティユニットでは、現在どんな業務を担っていますか?

佐々木:私と中西さんが所属するセキュリティユニットは、情報セキュリティマネージャー2名と、セキュリティエンジニア2名の4名体制です。その中で、セキュリティエンジニアは、サイバーセキュリティインシデントが起こりにくいようにするための脆弱性診断や脆弱性管理、またインシデントが生じた場合に早期検知し被害を最小化するためのセキュリティ監視などを行なっています。会社のサイバーセキュリティ戦略を技術的に実現するための施策を推進する役割を担っています。

中西:情報セキュリティマネージャーの主な業務は、会社のセキュリティ戦略を考え、ルールに落とし込んで運用をしていくことです。加えて、ISMS*1(情報セキュリティマネジメントシステム)認証やSOC2*2といったセキュリティ関連の認証・監査対応も担っています。また、お客さまはもちろん、社内も含めてセキュリティ全般に関する質問を受け、回答し支援していく役割もあります。

── 2人がSmartHRに入社したきっかけ、決め手を教えてください。

佐々木:私はエージェントを通じてご縁をいただいたのですが、当時、私で2人目のセキュリティエンジニアで、全社のセキュリティ体制をこれから構築していくタイミングと聞き、貴重な経験ができるのではという印象を持ちました。また、少人数だからこそ、クライアントセキュリティからアプリケーションセキュリティに至るまで、幅広く携わることが出来る点にも魅力を感じ、飛び込みました。

中西:私は前職の元同僚から声をかけてもらったことがきっかけです。当時、積極的に転職活動をしていたわけではなかったのですが、話を聞いて幅広い領域の仕事に挑戦できることや会社としてセキュリティの分野にしっかりと投資していることを魅力に感じ、入社を決めました。

── セキュリティ分野で幅広い業務に挑戦できることが魅力的だったんですね。実際に入社してみてどうでしたか?

佐々木:私が入社した時点でも高いセキュリティレベルが確保されていましたが、それらが会社の成長速度に合わせる形で走りながら構築されてきたためか、全体を見渡したときに 現在の状況にフィットしない点があるなど、最適化がされていない状況でした。この1年はそのギャップを埋めるべく取り組んできましたが、まだやりきれていないことがたくさんあります。統制に影響が出ないように既存の運用を変える必要があるため、難しさも感じていますね。

中西:私が入社した当時は、SmartHRがISMS認証を取得して6年目でしたが、まだこれから、という印象でしたね。個々のリスクに対するセキュリティ対策は充実しているものの、それをマネジメントするシステムや全体の戦略においてはやるべきことがたくさんあると感じました。
リスクマネジメントの観点では個々のリスクの対策にとどまらず、そもそもどんなリスクがあるのかという洗い出しが重要なのですが、手が回っていない部分もあったと思います。入社してからは、そもそものルールを作り直すくらいの気持ちでやっています。

一人ひとりがセキュリティを“自分ごと”化してくれる、協力的な職場

── これまでで印象に残っている仕事を教えてください。

佐々木:私は、LLMの業務利用解禁に向けて社内ガイドラインを策定したことでしょうか。SmartHR社内では、OpenAI社がChatGPTのAPIを公開した直後くらいから業務活用を求める要望が上がってきました。会社としてはリスクを把握し、適切に利用してもらう必要があるので、利用における注意点という形でガイドラインの作成に動きました。
作成は、リサーチペーパーや海外の政府機関が出しているガイドライン、注意喚起を確認しLLM*3そのもののリスクを把握したり、OpenAIの利用規約やマニュアル、ヘルプページから注意点や適切な使い方を抽出し社内のルールを踏まえてまとめるというものだったのですが、実際の業務と並行させて動いていたこともあり、利用できるようになるまで2~3週間を要しました。
この作成時間は、私の経験上社内ルールということもあり特別遅くはない認識だったのですが、作成中に各所で活用や検証準備等が進んでおり、後々ボトルネックになっていたことが判明しました。当社のバリューの一つである「早いほうがカッコイイ」を皆が実践し、速いスピードでSmartHRの事業が作られていることを実感できたという点でとても印象に残っています。

中西:私は、「これまでのISMSではダメだ」と思い切って宣言したことです。PDCAを回して少しずつ改善していくので通常のISMSの進め方ですが、基礎となる仕組みをイチから構築し直す必要性を感じ、思い切ったルールの見直しをしています。
全社のセキュリティ研修もガラッと作り変えましたね。一般的には、スライドやテキストを読んで小テストを受けて終わりというものが多いですが、会社や社員にとって真に有益となる研修とは何かを改めて考え、受講後にきちんと効果測定ができ、次に活かせるようなものに設計し直しました。ISMS認証を維持するためではなく、ISMSをきちんと回すことで会社がより良くなる、そんな仕組みを目指しています。

── SmartHRのセキュリティユニットで働くことの魅力は何でしょうか?

中西:経営層がセキュリティマネジメントの重要性をよく理解してくれていますし、会社全体としてセキュリティに対する拒絶感がない社員が多く、各部門とのコミュニケーションもスムーズです。もともとはセキュリティユニット内向けに開催する予定だった情報セキュリティマネジメントの勉強会も、Slackで呼びかけたところエンジニアをはじめセールスやコーポレート部門まで50名以上もの参加がありました。一般的には、セキュリティ担当=仕事をやりづらくする人、と思われることも多いので(笑)、驚きましたね。コミュニティづくりにも役立っており、とても意味のある取り組みになっていると感じます。

佐々木:セキュリティに対して意識が高く、“自分ごと”としてとらえてくれる社員が多いですね。セキュリティを自分ごと化しているためか、自分たちの業務がある中でもフォローをしてくれたりと、みんなでセキュリティを強化していこうという空気を感じます。こういった全社の協力体制があるからこそ、少人数のチームでも仕事をうまく回せているのだと思います。

事業の規模拡大を見据え、セキュリティの土台を再構築しながらよりスピーディな組織に

── セキュリティユニットで今後取り組んでいきたいことは何でしょうか?

中西:事業が成長を続け、この先も従業員が増えることを想定すると、グループ会社も含めてセキュリティ対策の質を担保できる仕組みが必要だと思うんです。直近では、セキュリティに関する基本方針、いわゆるガイドラインのようなものをグループ全体の方針として打ち立てたり、内部監査を充実させて課題を発見できる機会を増やしたいと考えています。こうしたことを積み重ね、お客さまにとって、セキュリティのレベルの高さが「SmartHR」を選ぶ理由でありたいですね。

佐々木:組織が拡大し複雑度が増していくことを踏まえると、これからはセールスや開発者などの各自が自律的にセキュリティに関する意思決定をできる仕組み作りが必要だと考えています。例えば、現在は新しいSaaSを導入する際に我々セキュリティグループに判断を仰ぐというフローになっているのですが、組織が拡大する中で今後も同じことを続けていると我々がボトルネックとなりスピーディーな事業運営を阻害してしまいかねません。そのため、よりスピーディかつセキュアに各自が判断できるようにするセルフチェックリストの導入や、何かあったときにはすぐに私たちがフォローできるようにするSIEMの構築です。
また、ステークホルダーが増える中で、会社としてセキュリティの統制がきちんと取れていることは社会的責任だと考えています。属人化を防ぎ、チームとしてうまく運用できる体制を整えていきたいですね。

── これから一緒に働く仲間にどんなことを期待しますか?

中西:課題をもとに施策を企画・立案するだけでなく、運用までのタスクを具体的に進めていただきたいです。チームで協力しながら会社の新しい仕組みを作り上げているところなので、周囲の力もうまく借りながら業務を進めていくスタイルが好きな人に合っていると思います。
特に情報セキュリティマネージャーは会社全体の土台となる考え方を作っていく仕事なので、会社の事業や各部門の業務にも関心を持ち、理解を深めることを大事にしていきたいですね。

佐々木:大方情報セキュリティマネージャーで期待することと同じです。クラウドセキュリティの知見がある方、施策を自分で手を動かしながら実現していくことに興味がある方は向いていると思います。また、私もまだまだですが、リスクをわかりやすく説明し、なぜやらなければならないかを言語化していくことが得意な人は求められています。

── 最後に、SmartHRでセキュリティの仕事をすることのおもしろさをぜひ教えてください!

中西:先ほどの話にもありましたが、SmartHRは全社的にセキュリティ対策への許容度が高いので、実験的にさまざまな施策を試すことができる環境があります。今年はISMS認証を取得して7年目ではありますが、その維持運用だけではなく、まだまだこれから新しい仕組みを作っていくことにやりがいを感じられる職場です。

佐々木:コンパクトなユニットなので、幅広い業務に携われることが魅力だと思います。今自分が持っている強みを活用しながらも、新しい技術にもチャレンジすることができる。SmartHRのセキュリティ組織をつくっていく楽しみがありますね。

今回は、SmartHRのセキュリティへの取り組みについてご紹介しました。インタビューにある通り、これからさらに新しい仕組みをつくっていく環境です。課題もやることも盛り沢山。少しでも興味をもっていただけた場合、ぜひざっくばらんにお話する機会をいただけると嬉しいです!

smarthr.co.jp

情報セキュリティマネージャー / 株式会社SmartHR

セキュリティエンジニア / 株式会社SmartHR

同じく情報セキュリティマネージャーとして働く@Oyamatoの記事もよければぜひご覧ください!

tech.smarthr.jp

制作協力:リスナーズ株式会社

*1:Information Security Management Systemの略。情報セキュリティのリスク管理の仕組みとして標準が規定されています。

*2:Service Organization Control Type 2の略。米国公認会計士協会が定めた高水準のデータセキュリティを保つための基準の一つです。

*3:Large Language Modelの略称=大規模言語モデル。大規模なデータセットを用いた機械学習によって精度を高めた自然言語処理モデル