こんにちは！Smart相談室CEOの藤田です。今日は、Smart相談室の情報セキュリティについて書いてみようと思います。立場上、会社設立時から「セキュリティ対策」と「スピード感のあるサービスリリース」のバランスに悩むことが多かったです。当然、私は情報セキュリティの専門家でもないし、具体的に対策を進めることもできなかったんですね。そんな時、力になってくれたのがエンジニアの長濱さんでした。

　今回は、その長濱さんにISMS（情報セキュリティマネジメントシステム）認証取得後の状況や、今後会社として取り組まなければならないセキュリティ対策について話を聞いていきます。

入社後、自分の判断で「２つのセキュリティ」を担当

（藤田）ISMSをはじめとしたセキュリティ関連の取り組みをリードしていただき、ありがとうございます。

（長濱さん）いえいえ、できる限りのことをさせてもらっただけです。

（藤田）謙遜してるけど、かなり重要な部分を担当してもらって、凄いスピード感で実装してくれたからね。ホントに感謝です。そもそもどういう経緯でセキュリティ担当になったんでしたっけ？

（長濱さん）ご縁あって、設立間もないSmart相談室に入社させてもらった時に、在籍しているエンジニアのスキルを確認すると、僕が一番セキュリティ担当に適任だったんですね。私もそう思いましたし、周りもそう思っていました。なので、なるべくしてなった感じですね。合理的な判断だったと思います。

ただ、当時「セキュリティ」と言えばプロダクト開発上のシステム的なセキュリティだったので、その段階では情報セキュリティまでは想定していませんでした。正直、自分がここまで情報セキュリティの領域に踏み込むとは思っていませんでしたね。

（藤田）何がきっかけで、情報セキュリティ関連も推進するようになったんでしたっけ？

（長濱さん）お客さまからお問い合わせがあったんですよ。「社内の情報セキュリティはどうなっていますか？」って。

（藤田）そうだった。サービスをリリースしてすぐに拡大し始めたので、必要に迫られて、会社として情報セキュリティの対策を万全にしたいと思って、長濱さんにお願いしたんだった。なんか、ちょっと懐かしいなぁ。

（長濱さん）そうですね。ISMSの認定をとることにはなっていたんですが、お客さまから求められるタイミングが想定よりも早かったんです。同時に、規模の大きい企業さまにもサービスを提供すると、早い段階から藤田さんが意思決定されていたので、当然ISMSは必要だという認識ではいましたね。

「設立の想い」を支えるセキュリティレベルが必要

（藤田）ISMSの作業が始まった時に、正直弊社の組織規模の割に、すっごいしっかりやるんだなぁって印象をもちました。今思えば、企業として当然の対応だったと思います。

（長濱さん）そうですね。組織規模の割には、かなりしっかりやっていると思います。

（藤田）やっぱり提供しているサービスを考えると、しっかりした方がよい、という判断ですか？

（長濱さん）もちろん、提供しているサービスによる部分もあります。でも僕が感じていたのは、藤田さんの当初の想いがあるじゃないですか。「働く人の調子が悪くなるのを防ぎたい」っていう想い。僕、創業メンバーに近いこともあり、藤田さんの想い、よくわかるんですね。

なので、せっかく相談してきてくれた相談者さまの情報や、相談することで従業員を救いたいと思っている人事・労務担当者さまの社内的な立場を考えると、情報漏えいリスクを心配するようなサービスであってはダメだと思ったんですよね。

（藤田）涙でる。ありがとうございます。

（長濱さん）規模の割にしっかりしているということについては、一番始めのゼロからイチを生み出すところの出来が不十分だと、その後の作業がないがしろになってしまうのではと考えたので、ここが踏ん張りところだと思ってやってましたね。

（藤田）でもエンジニアとしてコードを書く作業もあって、そちらの仕事を悔しい思いで我慢したんじゃないの？

（長濱さん）それはそうですよ。でも、全社的に重要ですよね。で、僕が適任者だから。

（藤田）プロフェッショナルだね。やりたいことだけやるとか、やりたくないことはやらなくていいみたいにならないところが素敵だし、高く評価してます。

（長濱さん）まぁ、まだ人数が少ない時期でしたから。社員数20人ぐらいですよ。そんな時に仕事の選り好みなんてできないという気持ちでした。だから何でもやらなきゃいけない精神で進めました。

企業文化として情報セキュリティに敏感でありたい

（藤田）長濱さんの作業で印象に残っているのは、仕組みをしっかりと整えてくれたことと、番人としてしっかりとセキュリティの大切さを社内に浸透させてくれたことですね。とりあえず情報セキュリティの仕組みだけ整えましたっていうだけの状態と違いますからね。そこをすごく感謝してます。文化としてセキュリティ管理、情報管理を強く意識しているって凄いし、その状態を作るのは難しいと思うんです。

（長濱さん）ありがとうございます。

（藤田）この状態を維持したいんですが、何かアドバイスはありますか？

（長濱さん）ポイントになってくるのは、メンバー一人ひとりの意識だと思います。一人ひとりがどう考えているか、意識高く考えているか、それが重要です。その認識をISMSの担当者も持っていて、そのための施策を考え続けていれば、今までの良い資産を受け継いでいけるでしょう。

（藤田）私に出来ることはありますか？

（長濱さん）あります。トップマネジメントとしての号令です。情報セキュリティは大切だよ、というのは当然ですが、クリーンデスクやパスワードの強度、メール誤送信防止など、具体的なアクションについては、ちょっとしたところで話題に出したり、事例として取り上げたりしていただけると、さらにメンバーはイメージが膨らみます。

　僕が担当としてスムーズに動けたのは、「会社としてISMSをやるんだ、そのリーダーを長濱さんに任せる、長濱さんを信頼している」と全社に言ってくれたからです。実際にどのように進めていくのか、何を作るのかなど、具体的な方法論や成果物については、すべて任せてくれましたよね。それも、スピードを圧倒的に上げられた理由の一つです。

プロダクトのセキュリティは経営リソースとのバランス

（藤田）情報セキュリティの話が多くなりました。プロダクトのセキュリティについても伺えますか？

（長濱さん）プロダクトのセキュリティについては、最低限のことはずっと取り組んできました。しかしエンジニアの人数が少ないなかでの取り組みだったので、「運用上、今は難しいよね」とか「ペネストレーションテスト(*1)の基準をどうしようか」と議論しながら、現実的に弊社で対応できるものにすべて取り組んできた、という感じですね。工数とのバランスを常に検討してきました。完璧にできるのであれば、確実にその方がよいので。

（藤田）入社当時から変わらない？

（長濱さん）いえ、徐々に守備範囲が広がって、どんどん実装されています。今では、セキュリティに関連する担当が3名います。ぜひ、プロダクトも情報セキュリティも、次のステージにつなげていってほしいです。

＊これまでのインタビューはこちら

◼️Smart相談室へのお問い合わせ・取材依頼は以下よりご連絡ください。
・お問い合わせフォーム：https://smart-sou.co.jp/contact
・メールアドレス：pr@smart-sou.co.jp