フォースタートアップス(以下、フォースタ)では、エンジニアに特化した専門チームであるエンジニアプロデュースチームを作り、スタートアップに対してキーマンとなりうるCTO・VPoE・エンジニアのご支援をしております。
株式会社SmartHRは、あらゆる労務手続きを自動化、ペーパーレスで管理することができるクラウド人事労務ソフト『SmartHR』を提供する会社です。「社会の非合理を、ハックする。」をミッションに掲げ、これまでに多くの人事労務分野の非合理を解消してきました。働くすべての人を支えるプラットフォームを目指し、関連サービスの開発も進んでいます。2018年6月には経済産業省が推進するスタートアップ企業の育成支援プログラム“J-Startup”の対象企業として採択。2021年5月には、累計資金調達金額は212億円を突破、想定時価総額は1,700億円を超え、ユニコーン企業となるなど、社会からの期待も大きいスタートアップです。
今回は、経営陣直下でプロダクトと会社全体のセキュリティを支えている2人のスペシャリストが登場。岩田季之氏は提供サービス『SmartHR』を守るためのセキュリティ対策・運用を、桑原良二氏は、社内のセキュリティマネジメントの維持・向上やISMS認証取得など組織セキュリティを担当。テクノロジー面でプロダクトを支える岩田氏、組織統制面で会社を支える桑原氏にお話を伺いました。
岩田 季之氏(写真右)
SIerなどでWebアプリケーションの開発・設計に従事した後、トレンドマイクロ株式会社へ。アンチウイルス・IPS製品のサポート部門に約12年間所属し、多種多様な脅威や攻撃と戦ってきたセキュリティのスペシャリスト。2019年11月、SmartHRに入社。
桑原 良二氏(写真左)
大手メーカーやメーカー系列のエンジニアリング会社で汎用コンピューターの運用に携わった後、2011年、まだ80人程度の規模だった株式会社コロプラへ。社内の情報セキュリティ体制の構築・運用などを担い、急成長を支えた。2017年より株式会社鎌倉新書にて情報システムグループマネージャー、コールセンター部門長を経験。その後、スタートアップ1社を経て2021年1月、SmartHRに入社。
次々に出てくる脅威や攻撃にスピーディーに対応。大変だけどやりがいも大きい
SmartHR フォースタ エンジニア支援
まずこれまでのキャリア、特にスタートアップとの関わりが以前からあれば、そちらも教えてください。
岩田:前職は大手のセキュリティベンダーですが、その前は、SIerや失敗したスタートアップにいたこともありました。前職までは、大手かスタートアップかはあまり意識せず、その都度、おもしろそうなところを選んできました。SmartHRへの転職は、あまり規模が大きくなく、裁量があって様々な業務に関われる環境が自分には合っているかなと思い選びました。
転職をしようと思った理由は、セキュリティベンダーにいると、いろいろなお客様の環境を見ることができ、専門的に仕事ができるメリットもありますが、一方で、お客様の一面しか見られない・できる部分が限られるというジレンマもありました。1つの会社で、それも多くのユーザーを抱える会社で、セキュリティに深く関わりたいと思うようになりました。
桑原:SmartHRが7社目で、ここも含めて直近の4社がスタートアップ。2011年に、当時80人程度だったコロプラに入社し、そこからスタートアップでのキャリアが始まりました。その前は、製造業で汎用コンピューターのシステム運用などをやっていたので、スタートアップに来たときには、圧倒的なスピード感の違いを感じたことをよく覚えています。
ただ、当初は特に「スタートアップだから」という思考で選んだわけではありません。大企業の複雑な意思決定フローなどに違和感を覚えていて、そのような悩みがなさそうな環境を選んだら、たまたまスタートアップだった、という感覚です。最初は一人で社内情報システムのポジションを立ち上げましたが、その後1000人規模まで組織拡大すると、自分はほぼチームに対して指示を出す立場で、何かワクワク感が減っているなと思うようになりました。そのことがきっかけで転職をして、2社を挟み、2021年1月にSmartHRに来たという経緯です。
『SmartHR』のサービスや会社はご存じでしたか。
岩田:実は不勉強で、フォースタさんに教えてもらって初めて知りました。SmartHRはすごく情報をオープンにしている会社で、まずその価値観に共感を覚えましたし、面接で社員の方々と話すと、一人ひとりが敬意を持って接してくれて、その文化も好印象を受けました。選考で“探り”を入れられるようなこともなく、お互い一人のプロフェッショナルとして話をしている感覚がありました。そのような文化や価値観が、最終的な決め手になりました。
セキュリティエンジニアというポジションは、あまり世の中に理解されていなくて、ほかのエージェントさんと話をした際は、セキュリティエンジニアと開発エンジニアの区別がついていないと感じるやりとりもありました。その点、フォースタさんはちゃんと理解してくれて、話も通じたので実のある活動ができたと思います。これまではリファラルで転職することもあったのですが、今回は、フォースタさんに提案してもらうことで、自分自身では検討していなかった会社に出会えて本当によかったです。
今回の転職で、SmartHRを選んだ理由は何ですか。
桑原:まず、やはりおもしろいからという理由でスタートアップを探していました。スタートアップはアクセルとブレーキだとアクセルのほうが強く、兼任で何でもやるのでどんどんやることが増え、それに対応するうちに自分の成長が深さより広さになるような感覚を持っています。
その中でSmartHRを選んだのは、このフェーズで、セキュリティマネジメント専任のポジションを作っていることが珍しく、セキュリティを大事にするという経営上の考え方が現れていると思ったことが一番大きな理由です。加えて、情報をオープンにしているので、信頼感と安心感がありました。
紹介してくれたフォースタのヒューマンキャピタリストも、とても説得力のある話をしてくれたので、信頼して相談できました。フォースタの方とお話して感じたのは、「決めさせよう」としないこと。ほかのエージェントさんは、ある時点で急に「決め」に来ていると感じることがあったのですが、フォースタさんはずっとフラットに話を聞いてくれて、フェアな印象がありました。
岩田さんが入社された後、桑原さんの採用に携わられたそうですが、面接時に好印象だったポイントなどはありますか?
岩田:SmartHRに入社するまで採用側の経験がほとんどなかったこともあり、なかなかどういうポイントで判断するべきか悩むことも多かったのですが、桑原については経験もさることながら、多くを語らずとも意思疎通ができる、コミュニケーションのしやすさが際立っていました。また、面接時に通常はこちらから会社の説明をするのですが、桑原さんは面接時点でSmartHRの情報を読み込んできていて、資料を見ながらセキュリティのみならずSmartHR全体について質問してきたことと、質問内容もとても本質的だったのが好印象でしたね。
桑原:SmartHRは情報をかなり開示しているので、読み込んだ上で記載のないことを面接の場で聞きたいと思って臨んだだけです(笑)。また、岩田さんと重なるところもあるのですが、非常に話しやすかったところと、岩田さんのセキュリティについての知見の深さですね。ここまで詳しい人はなかなかいないのではと思います。
全社のセキュリティを守るための独立組織。サービスの使いやすさと安全性のバランスも追及
セキュリティというと一般的に社内の情報セキュリティのイメージが強い印象ですが、SmartHRではプロダクト側のセキュリティも担われています。当初どのような体制だったのですか?
岩田:桑原さんが入社するまでは、私がプロダクト側のセキュリティと社内セキュリティの両方を見ていました。今はプロダクト側のセキュリティを私が、社内セキュリティを桑原さんが担当しています。社内セキュリティは専門ではなく、正直なんとかやっている、という状態でしたので、桑原さんが入社してくれて本当によかったです。
現在セキュリティ部門はコーポレート直下ですが、プロダクト側は業務の性格上CTO直下などで対応されている企業もあります。
岩田・桑原:確かに仕事上は開発サイドのメンバーとやり取りすることも多いので、そういう形もありだと思いますが、内部に入ると見えなくなるものもあります。SmartHRの考え方として、「一歩引いた独立した組織として全社のセキュリティを守る」、という方針をとっていきたい、という意味合いを込めてこの体制をとっています。企業もプロダクトも社会的な影響が非常に大きくコンプライアンスが重要なので役割の立ち位置としては監査に近いかもしれませんね。
社内セキュリティとプロダクト側のセキュリティは技術的に共通する部分はあるのでしょうか?また、岩田さんのように両方を兼ねるケースは多いのでしょうか?
桑原:なんらかの脅威に対する脆弱性の診断と対策など、大枠の考え方は共通しますが、それ以外は似て非なる領域だと思います。ですので、岩田さんのように両方を見ている、というケースはあまり一般的ではないと思います。また、岩田さんはなんとかやっていた、と話していましたが、引き渡しの時点ちゃんとやっている、という印象でした(笑)。
桑原さんはこれまでtoC、toBサービスの企業両方経験されてきていますが、セキュリティに対する考え方に違いはあるのでしょうか?
桑原:これまで見てきた中で、プロダクト側でいうと、例えばゲームであればゲームの課金アイテム周りなど、どこに力を入れるかは企業によって変わってくると思います。また、私はプロダクト側とコミュニケーションとることはあるものの、基本的に社内セキュリティを中心に担当してきましたが、社内セキュリティでいうとtoC、toBだからという考え方の違いはないですね。どちらかというとその会社のセキュリティを守りたい、と思えるかでキャリアも変わってくるのではないかと思います。
SmartHRはSaaSの中でも代表的と言われるプロダクトですが、岩田さんから見た、プロダクトのセキュリティの難しさや面白さについて教えて下さい。
岩田:使いやすさとセキュリティのバランスを考えて設計する、というところでしょうか。セキュリティベンダーにいたときも使いやすさを考えていなかったわけではないのですが、セキュリティ面しか見えていない分、提案した対策が実際の運用に耐えうるものなのか、実は極端に使い勝手を悪くしてしまったりしないかという点は知ることができませんでした。自ら考案した対策を実際に自分で実装して運用できる、というのは難しさもありますが、0→1でものを作るのが好きな人にはとても面白さを感じるところだと思います。逆に脆弱性診断などセキュリティの技術的なところに特化したい方は合わないかもしれないですね。
外部からの脅威や攻撃も日々、進化しているのではありませんか。
岩田:はい、まさにその通りで、そこは大変です。でもここに来て実感するのは、スタートアップのスピード感です。セキュリティは、次々に出てくる新しい攻撃に対してスピーディーに対応しなければいけません。その部分を、スピード感をもって進めるには、スタートアップのほうが断然いい。大きい会社だと何をするにも何段階もの承認プロセスがあり、その調整をしている間に攻撃されてしまいます。それを防げるのはスタートアップならではであり、手応えや魅力を感じる部分です。本当に攻撃との戦いは終わりがなく、大変だけどおもしろい。やりがいがありますね。
実際に入社をしてから感じている会社の魅力はどんなところにありますか。
岩田:SmartHRは、セキュリティに関する意識がとても高い会社で、それは私が入る前からそうです。何しろこの規模のスタートアップの段階で、セキュリティの専任者を、そのポジションを作ってまで採用するくらいですから。プロダクトの機能としても、シングルサインオンや2要素認証へのなど、入った時点で既によくできていました。
社員一人ひとりの意識も高くて、セキュリティに対してすごく協力的。セキュリティは、ガチガチに守ろうとすると使いにくくなり、そこはトレードオフの関係になります。ほかの会社では「セキュリティのためにこういうことをやりたい」と言うと、「面倒くさい」と反発を食らうことが往々にしてあると思いますが、SmartHRの社員はセキュリティの重要性を理解していて意識が高いので、基本的にすごく協力的で快く対応してくれます。セキュリティに携わる者としては、このように周りの協力を得やすい環境で仕事ができるのは本当に幸せなことです。
桑原:前の会社でユーザーだったので、元々『SmartHR』のサービス自体はよく知っていました。入社して実感するのは、興味を持ってくれる企業様がどんどん増えていること。というのも、どの企業様も検討段階でセキュリティチェックをしますが、私はそれに回答する立場なので、その依頼に回答して、後日「あの企業様に導入していただきました。」と教えてもらうと、もちろん私の対応が理由ではないにしろ、自身の仕事と顧客の意思決定が繋がっていて、会社としての成長が間近に感じられ、嬉しく思います。このポジションは裏方なので、なかなか事業と直接繋がる機会はありませんが、この会社ではそれを感じることができます。
岩田さんも言っていたように、社員のセキュリティ意識の高さも素晴らしいです。立場的にどうしても「セキュリティのためにこれをやってください」とお願いすることがあるのですが、SmartHRですごく驚いたのは、その知らせに対して「ありがとう」というリアクションが返ってくるんです。言われる側は面倒で、普通は嫌だと感じかねないところなのに。このようなカルチャーが浸透していて、本当に素晴らしいと思いました。
取引企業が増える中でセキュリティチェックも増えますし、有名になるほど外部からの攻撃もされやすくなる、社員数や使っているITツールも多いかつ今後も増えていくので、やるべきことはとても多く、そこにやりがいを感じますね。
全員がスタメン選手。さまざまな分野に携わり、アイデアや考えを結果に繋げていく
スタートアップの魅力、得られるキャリアはどのようなものでしょうか。
岩田:転職の時に希望していた、「広く深くいろいろなことに携わりたい」という点は十分に満たされていますが、その裏返しとして、やらなければいけないことは本当にたくさんあります。やりがいがある反面、自分1人ではやれることが限られたり、少しずつしか進められなかったりという大変さはあります。でも、それはすごく楽しいことで、スタートアップで整備されていない部分をどんどん整備することは大変だけどやりがいも大きいと思います。
いろいろなことに携われる、かつそれをスピーディーに検証できる点は、間違いなくスタートアップの魅力の一つです。幅広くチャレンジすることで得られる深みが必ずあると思います。
積極的にチャレンジしつつ、必要なところは深めていける。そのような働き方をしたい人や、現在、決められた役割の仕事しかできておらず、違和感を覚えている人などは、スタートアップで様々なチャレンジをして、経験を広げるといいかもしれませんね。何より「いろいろやらなければいけないので大変だけど、それが楽しい」と思える人が、スタートアップに向いていると思います。
桑原:スタートアップの魅力は、やはり意思決定が近いことだと思います。自分のアイデアや考えを結果に繋げやすく、例えるなら、全員がスタメン選手。常に本番の環境に身を置いているので本番力がつき、筋肉質になるという感覚がありますね。
ポジションに関係なく、会社自体の成長や大きな変化を目の前で味わえるという実感も、とてもあります。これまでいたスタートアップの会社を振り返ってみても、会社の歴史の中に自分がいた、という思いはとても強いです。大企業では、そのような思い出はありません。自分の存在の重さ、記憶の色濃さはスタートアップならではだと思います。
最後に、今後の目標や挑戦したいことを教えてください。
桑原:多くの企業さんから、『SmartHR』のサービスに興味をいただいています。業種も規模も様々で、中にはすごく大規模な企業さんもいらっしゃいます。当然、類似の製品を比較されるはずなので、そこで「これにしよう」と思ってもらえる1点にならないといけません。そのためにも認証の取得のほか、どのようなセキュリティをどう担保しているのか、実際に実行し、かつ質問にも答えられるようにすることで、安心感を持っていただけると思います。社内体制とプロダクトの両面から整えることで、多くの企業様に安心して使ってもらえる製品にすることが、改めて自分の責務だと思っています。
岩田:桑原さんのおっしゃる通りで、セキュリティの事故を起こさないような対策を施し、実行し、それによりあらゆる企業さんからの信頼が得られように、しっかり貢献していきたいです。
加えて、「すごくセキュリティをうまくやっている会社だな」と周りから見てもらうことで、この会社でセキュリティをやりたいと思ってくれる人が増えるといいですね。実際、セキュリティに携わる身としては、本当に幸せな環境だと感じているので、一人でも多くの人に一緒に働きたいと思ってもらえると嬉しいです。
社員の皆さんが一丸となって『SmartHR』を支え、プロダクトと同様に素晴らしい会社であることがよくわかりました。ありがとうございました!!
インタビューご協力:株式会社SmartHR
for Startupsエンジニアプロデュースチーム