はじめに
情報セキュリティ本部(いわゆる情報システムとセキュリティを束ねる部門)では、ほぼ全てのポジションで一緒に働いてくださる方を募集しています。
それぞれが、一体どういうチームでどんなことをやっているのかを、このブログでお伝えしたいと思います。興味をもっていただけた場合、カジュアル面談フォーム からお申し込みをお願いします!
SmartHRの従業員数
毎年、従業員数がどんどん増えています。2024年3月には、ついに1,000名を超えました。
従業員数の増加に比例するように、SmartHRの事業も成長し、プロダクト数も拡大しています。
情報セキュリティ本部の体制
情報セキュリティ本部の体制は、本部 > 部 > ユニットという階層に分かれています。2024年3月のSmartHRの全従業員数に対して、情報セキュリティ本部は、コーポレートIT / コーポレートエンジニアで15名、セキュリティエンジニア / 情報セキュリティマネージャーで4名という人数構成です。全体で見ても2%程度の人数比率なため、圧倒的に人数が足りません。
変化の激しい中でも従業員からの期待に答えられるように、課題解決ができるメンバーの増員を行いたいと考えています。
コーポレートITが向き合う課題
コーポレートITは、従業員が仕事に全力で集中できる環境づくりをIT面からサポートしています。
- オンボーディング
- 入社してすぐに仕事に着手できるように職務に最適化されたIT装備を届け、業務開始をサポートします。
- 社内ITヘルプデスク
- 業務で必要になったライセンスやデバイスの調達や、困ったときのサポートや使い方の提案をします。また、従業員がIT環境に関して欲しい情報を手に入れて自律駆動で解決できるようなナレッジ作成も行います。
- 社内ITインフラの導入・運用
- IDaaS(Identity as a Service)、オンラインストレージ、メール、ナレッジツール等、いわゆる情報系システムの導入・運用をします。
- また、MDM(Mobile Device Management)による端末管理もコーポレートITの仕事です。
- 社内では300を超える外部のクラウドサービスを利用しており、それらの導入支援や運用アドバイスも一部行います。
特徴的なのは、多様化していく従業員のリクエストに寄り添いながらも標準化を行ったり、セキュリティリスクを見極めながら柔軟なシステム設計・運用設計をするといった、相反する課題に向き合っている点です。
従業員が最高のパフォーマンスを出せるように働きやすく業務に集中できる環境をサービスすることと、中長期的にリスクや運用負荷が低くなるような設計をしてガバナンスは守るという2つの軸で価値提供を行っています。
コーポレートエンジニアが向き合う課題
コーポレートエンジニアは、コーポレートITやバックオフィスの業務プロセス改善を中心に、会社全体の業務課題の解決や改善を開発チームとして担っています。
この中で特徴的なのは、「テクノロジーを最大限に活用した業務改善」という点が挙げられます。これは、コーポレートITも含めて全従業員が、本来の仕事に全力で集中できる環境作りを、高度な技術力で実現するというものです。
「高度な技術力とは?」と思われる方もいると思います。成長企業ならではの変化に合わせて発生する業務課題に対して、ソフトウェアエンジニアとして、企画から設計、実装、それから運用ということを一気通貫で実現することを指します。
例えば、以下のことを行なっています。
- 既存システムの改修や改善
- 主に、Slackと各種SaaSのAPIと連携をした申請系などのSlack Appが多数あります。
- 長年の機能追加や改修を重ねた結果、どうしても複雑なものとなり保守性の低下が課題となっています。
- 新規システムの機能開発
- 現在、コーポレートITと共にSmartHRの人事情報と連携したPCなどの端末管理をシステム化するプロジェクトを進行しています。
- まずは端末の利用状況を把握し棚卸業務の省力化を目指していますが、将来的には機器の調達などの申請も取り込んだシステムを考えています。
自身が開発して作ったものを間近で使ってもらいフィードバックを受けられるので、作って終わりではなく継続的に改善を重ねていくことができます。
情報システムとして明確な線引は無いものの、高度な技術力を必要としないものをコーポレートIT、開発を伴う業務改善や課題解決をコーポレートエンジニアが対応するということで、日々取り組んでいます。
セキュリティエンジニアが向き合う課題
セキュリティエンジニアはサイバーセキュリティ対策全般を担っています。
- セキュリティ品質管理
- サービスが安全な状態を維持できるように、品質部門のエンジニアと協同し脆弱性診断や脆弱性管理ツールの導入/運用、セキュリティ要件の検討支援を行います。
- 会社全体のセキュリティを確保するために、ゼロトラストモデルに基づいて設計された業務システムのセキュリティレビューや新たな対策の導入を行います。
- セキュリティ監視とセキュリティインシデント対応
- セキュリティの問題を迅速に検知/対応できるように、SIEM(Security Information and Event Management)の検知ロジック構築や検知したアラートの対応フロー設計並びにSOAR(Security Orchestration, Automation and Response)を使用した自動化を行います。
- クラウドの統制業務
- サービスの稼働基盤や業務システムで使用するクラウドが安全な状態を維持できるように、各種クラウドの運用や変更のレビュー、セキュリティ対策の導入検討を行います。
社内のセキュリティからプロダクトセキュリティ、クラウドセキュリティに至るまで幅広い活動領域があります。新しい技術の導入やアーキテクチャの変更など速いスピードで環境変化しており、スケールアップ企業ならではのチャレンジングな課題があります。
情報セキュリティマネージャーが向き合う課題
情報セキュリティマネージャーは、「社内の情報セキュリティ」を担保していく役割を担っています。以下のようなグループも含めた社内の情報セキュリティ体制の構築・運用をしています。
- 従業員向け/開発者向けセキュリティ啓発活動・研修
- セキュリティインシデント対応
- 社内からのセキュリティに関する問い合わせへの対応
- ISO/IEC27001(ISMS)、SOC2 Type2 など、セキュリティ外部認証や監査への対応
- グループ会社のセキュリティ体制構築支援
- etc...
一般的な情報セキュリティマネージャーの業務と何も変わらないように見えますが、業務遂行にあたっては成長企業ならではの対応の難しさがあります。それだけでなく、従業員全員の業務を理解した上で、業務を阻害しないように効率を考えたセキュリティ対策の企画・立案・遂行ということが求められています。
この遂行にあたって、どういう形が望ましいのか、展開はどういう形でやればベストな形にできるのか?というところで、セキュリティエンジニアと共同で行うということがあります。最近の取り組みに、クローズドで行っていたISMSのマネジメントレビューの開催形式の変更があります。このマネジメントレビューを社内への啓蒙活動を兼ねて社内オープンで実施するように変更しました。この変更は、会社のセキュリティで「何が起きているのか?」「その対策はどう進んでいるのか?」「どういう見直し指示があるのか?」を全従業員に知ってもらえるようにしたいという想いから実現しています。
情報セキュリティ本部が大事にしていること
「技術力」や「専門性」というのは、もちろん大事だと考えています。ですが、それ以上に、「従業員が成果を出せるように、職務やコンテキストを理解し高い技術力を持って柔軟にこたえていける」ようにすることを大事にしています。
また、弊社の人数規模くらいになと、ひとつひとつの課題の規模が大きく、変更における影響度も非常に高くなってしまいます。
この大きな課題に対して、一人ができることには上限があると捉えており、課題解決に対してチームで取り組んでいます。メンバー個々人だけが頑張るのでは無く、協力して解決に導いていくことを求めています。
その中で以下のようなキーワードに共感いただける方は、弊社の情報セキュリティ本部に興味を持っていただけるのでは、と考えています。
- ユーザーファースト
- 従業員への理解、柔軟性
- IT環境に対する高い技術力の提供
- 駆け込み寺的存在
- 開発を手段として課題解決を行う
最後に
会社のミッションである「労働にまつわる社会課題をなくし、誰もがその人らしく働ける社会をつくる」仲間を探しています。興味がある方は、カジュアル面談 でお話しましょう! 詳しい業務内容は求人票に記載しています。
