SmartHR Tech Blog

SmartHR 開発者ブログ

PSIRTを立ち上げました!プロダクトセキュリティを組織的に強化する仕組みづくりに向けて

PdE セキュリティ

こんにちは。テクノロジーマネジメント本部でプロダクトセキュリティエンジニアをしているsasakki-です。

2025年1月から、プロダクト全体のセキュリティ向上に責任を持つチームとして、PSIRT(Product Security Incident Response Team)を立ち上げました。 PSIRTの立ち上げ背景、目指している姿、そして具体的な取り組みについて紹介します。

立ち上げたばかりのチームですが、SmartHRのPSIRTについて知っていただけたら幸いです。

PSIRTとは

はじめに、PSIRTとは何かと、SmartHRで採用した理由を簡単に紹介します。

PSIRTとは、組織が提供する製品の脆弱性に起因するリスクに対応するための組織を指します。そのコンセプトは、セキュリティに関する国際的フォーラムであるFIRST(Forum of Incident Response and Security Teams)によってPSIRT Services Frameworkとして定義されています。SmartHRにおけるプロダクトに関するセキュリティチームの立ち上げにあたり、対外的な分かり易さや豊富なドキュメント・参考事例が利用できることを考慮した結果、PSIRTを採用しました。

PSIRT Services Frameworkでは、組織モデルを大きく2種類に分類しています。
1つ目はPSIRTに人員と機能を集約させる「集中モデル」、2つ目はPSIRTに持たせる機能を最小限にして他チームと連携して進める「分散モデル」です。SmartHRでは、セキュリティが開発プロセスから独立した機能になることでプロダクトの素早い仮説検証が阻害される可能性があると考え、各プロダクトチームのセキュリティを支援する形で進める分散モデルを採用しました。このモデルは、PSIRTが所属するテクノロジーマネジメント本部の方針である「すべてのプロダクト開発チームがより良く機能できるように適切な仕組みを提供すること」とも合致するものでした。

PSIRT立ち上げ前に感じていた課題

PSIRTを立ち上げるきっかけとなった課題を、従来の取り組みを踏まえて紹介します。

SmartHRは「労働にまつわる社会課題をなくし、 誰もがその人らしく働ける社会をつくる。」というコーポレートミッションのもと、入社から退職までのさまざまなシーンに合わせたマルチプロダクトを展開しています。その性質上、従業員に関する多様な情報を取り扱うため、高いセキュリティレベルが求められます。

そのため、これまでSmartHR社全体のセキュリティを担う情報セキュリティ本部によるセキュリティ監視や外部企業によるペネトレーションテスト、品質保証部による脆弱性診断、開発チームによる実装上の注意点をまとめたセキュリティガイドラインの運用やセキュアコーディングを行い、高いセキュリティレベルを維持するように取り組んできました。

しかし、それらの施策の担当部署が複数にわたっていたこともあり情報が一元化されていなかったこと、また、脆弱性対応方針など実運用に関わるルールは各開発チームに委ねられていたことから、プロダクト数と開発チームが増えるにつれて開発全体のリスクコントロールが「適切に行えている」と断言することが難しくなってきました。 その一方で、ITサプライチェーンのセキュリティ確保が顕著な社会課題になっており、プロダクトセキュリティを全体かつ組織的に強化する必要性は高まり続けていました。

上記の課題に組織横断的に取り組む必要があると考え、セキュリティに責任を持つ専任のチームとしてPSIRTを立ち上げることにしました。

PSIRTの目的

課題を解決するためにPSIRTに設定している目的を紹介します。

目指すべき姿は、すべてのプロダクトをお客様に一層安心してご利用いただけるようにすること、そして、プロダクトエンジニアがセキュリティに関する不安を感じることなく開発に専念できるようにすることです。 この姿を実現するために、SmartHRとして満たすべきセキュリティ基準を策定し、その可視化を通じて脆弱性を「作り込まない・入り込ませない」状態を目指すと同時に、発見時には迅速かつ適切に対処できる仕組みを整えます。 さらに、単なるルールや仕組みの整備にとどまらず、トレーニングや情報共有を通じて、各開発チームが主体的かつ継続的にセキュリティ向上へ取り組める文化を醸成することも大切な役割と考えています。

PSIRTが取り組むこと

上記の目的を達成するために、直近1年でPSIRTが取り組む主な活動について紹介します。

直近は、各プロダクトチームが自律的にセキュリティ上の課題を発見し、解決へ導ける体制を構築するために以下の活動に注力する予定です。

あるべき姿(To-Be)の定義と運用

全プロダクトで共通のセキュリティレベルを維持するために、組織としての理想像(To-Be)を策定します。開発者のセキュリティに関する負担をできるだけ軽減しつつ、策定したTo-Beを全社に普及し、必要に応じて定期的に見直します。

現状の可視化(As-Is)

To-Beに対する現状(As-Is)を正確に把握するため、メトリクスを策定します。これにより、各プロダクトチームが自分たちのセキュリティ課題を自発的に管理し、必要な対策を講じられるようにします。

支援の提供

次のような共通課題に対して支援を行い、効率的かつ効果的なセキュリティ対策を推進します。

  • セキュリティ設計
  • セキュリティガイドラインの策定・運用
  • セキュリティトレーニングの実施
  • 脆弱性対応に関する連絡窓口の整備や対応基準の策定

これらの取り組みによって、セキュリティ上のリスクを組織横断的に可視化し、早期かつ適切に対応できる体制を築くことを目指します。

最後に

本記事執筆時点では、PSIRTの立ち上げからまだ1ヶ月ほどしか経っておらず、また、メンバーも一人しかおらず、これから立ち上げていくフェーズです。一緒にこれからのプロダクトセキュリティのあり方をデザインし、セキュリティ強化に向けた仕組みづくりをしていく仲間を募集しています!

We are hiring

この記事を読んで少しでもSmartHRのPSIRTに興味をお持ちいただけた方は、是非カジュアル面談のお申し込みからよろしくお願いします。

open.talentio.com