見出し画像

30,000社のデータを護る!セキュリティエンジニアを知ってほしい #オシゴト大百科|SmartHRオープン社内報

こんにちは!オープン社内報編集部のharuhana(はるはな)です!

毎月新しいメンバーが増えていくSmartHR ですが、なんと10月1日入社の8名を迎えて、ついに社員数300名も目前です!🎉
そういうぼくも、7月中旬に入社したばかりなのですが・・・まだまだ各部署の組織構成やどんなメンバーが、どんな業務をしているのかわからない部分もあります。

組織が大きくなってきたこともあって、社内でも「他の部署が最近どのような仕事に携わっていて、どんな状況なのか知りたい!」といった声も増えてきています。
ということで、各グループ毎にインタビューをして理解を深めていこう!という企画をスタートします。
その名も「オシゴト大百科」

第1回目はセキュリティエンジニア編です!!

- 岩田(@tiwata) さん、お願いします!

セキュリティグループの岩田(@tiwata)です。
セキュリティエンジニアの仕事は、お客様から預かった大事な情報を全力で護る事だと思っています。
業務外ですと、最近はコロナの影響で参加できていないですが、『部活_とん活』や『部活_遠い世界の食卓部』などの、おいしい部活に参加してます。

- 最近はどんなお仕事をしていますか?

SmartHR のサービスをより安全にするための仕組みの導入や運用、攻撃や不審な兆候を検知した際の調査と対応、社内のセキュリティポリシーの整備、お客様への SmartHR のセキュリティ対応状況の周知社内のセキュリティ教育など、セキュリティに関わる様々な業務をしています。

直近だとメールの差出人のなりすましを防ぐ DMARC の仕組みの導入や、WAF で検知した Web アプリケーションへの攻撃の調査と対応、また当社にも多数届いている Emotet というウイルスの影響調査なども行いました。

画像2

▲DMARCの設定

画像3

▲WAFのログ

- チームの構成は?

セキュリティグループの中でセキュリティエンジニアは現在私1人だけです。
技術面で一緒にセキュリティを高めてくれるセキュリティエンジニアと、
ポリシーやプロセス面での強化をしてくれる情報セキュリティマネジメント担当を鋭意募集中です!
良い人がいたらぜひご紹介を!

- どのチームと一緒に仕事を進めることが多いですか?

SmartHR のサービスについて、技術面でのセキュリティ対策、例えば後述の脆弱性検査の仕組みなどについては開発チーム、特に基盤を担当しているメンバーと、こちらから提案した対策に対してセキュリティ面だけでなく実際に運用が可能かという観点も含めて相談しながら導入していきました。
また、お客様へセキュリティ対応状況を周知する業務では、セールスや CSのみなさんがお客様から受けた質問に回答する形で関わることが多いです。

- ここ1,2ヶ月で「いい仕事したなぁ…… or この仕事すきだなぁ」と思ったのはどんな時ですか?

昨年末から進めていた、SmartHR の本番サーバーに対して定期的な脆弱性検査を自動で実行する仕組みを、全てのサーバーに導入できた時です。Amazon Inspector と Security Hub、Lambda を組み合わせて、定期的な検査で見つかった脆弱性のうち、新たに見つかった対応が必要な物だけをSlackに通知するようにしました。
脆弱性は日々新しいものが見つかるので、自動化により効率的かつ効果的にリスクを可視化して対応できるようになったのは、
地味ですが確実に SmartHR のセキュリティレベルを向上できていると思っています。

画像1

▲システム構成図

- 最近困っていること・悩んでいることは?

セキュリティ専任のメンバーは自分1人だけのため、できることが限られてしまい、少しずつしか進められていないのが悩みどころです。
幸いな事にお客様も増えており、SmartHR のサービスも拡大しているので、お客様により安心して SmartHR をご利用いただけるように、セキュリティ対策の観点で将来を見据えた先手を打っていきたいなぁと思っています。

例えば、プロダクト開発ライフサイクルの中にセキュリティを組み込んで新しい機能やサービスを安全にリリースできるような対策や、様々なログを集約・分析して不審な動きをなるべく早く検知できるようにして、できれば一次対応は自動で行うようにしていきたいと思っています。以前行なったバグバウンティの開催もまたやりたいですね。

インタビューを終えて

岩田(@tiwata)さん、ありがとうございました!
お客様からお預かりした情報を護る、まさに SmartHR の土台を担う大切な存在だと改めて感じました!
これからも多くのお客様に SmartHR をもっと安心して使っていただけるように、セキュリティエンジニア情報セキュリティマネジメント担当を絶賛募集中です!
「この人は!」という方が周りにいらっしゃったら、ぜひお声がけしてみてください!

この記事が参加している募集

オープン社内報