会社名

株式会社SmartHR

会社概要

株式会社SmartHRは、SaaS(ソフトウェア・アズ・ア・サービス)形式で提供する人事労務ソフト『SmartHR』の企業。 『SmartHR』は、従業員の入退社や社会保険、雇用保険の手続きを効率化するソフトをクラウドで提供する。人事情報も一元管理でき、年末調整や給与明細の発行、退職・住所変更手続きなど、労務管理業務をWeb 上でできる。 人事労務の効率化に加え、経営層や人事、経理担当者の社内業務やコミュニケーションを円滑にするサービスも拡充している。企業向け採用支援システムの子会社Looperも設立している。

ポジション

技術リスクアセスメント担当

仕事内容

募集背景
SmartHRは「well-working 労働にまつわる社会課題をなくし、誰もがその人らしく働ける社会を作る。」をミッションに、クラウド人事労務ソフト「SmartHR」を開発・提供しています。今後の方針に『マルチプロダクト戦略』を掲げ、労務管理領域・タレントマネジメント領域を中心にプロダクトを拡大・成長させ続けます。
クラウド人事労務ソフト「SmartHR」は、紙で行われていた社会保険・雇用保険の諸手続きを電子化し、効率化するサービスからスタートし、その後、年末調整や雇用契約、人事データベース、分析レポート、従業員サーベイ、と提供するサービスの幅を広げ、多くの人事・労務分野の非合理を解消してきました。
今後はタレントマネジメント・人材マネジメント領域のサービスを拡大していくとともに、アプリケーションストア構想を実現し、SmartHRの上で様々なアプリケーションが動く世界を作り上げていきます。働くすべての人を支えるプラットフォームを目指すため、いかなる規模の企業であっても安心して利用できる高いセキュリティレベルが求められるとともに、多様化する要求や変化に日々すばやく適応し続けなければなりません。
「安心できるサービス・提供企業」であり続けるために、セキュリティの維持向上が不可欠です。そして、それを実現する手段はさまざまです。たくさんのアイデアや工夫をもって上記のことを一緒に実現してくれる方を募集しています。SmartHRグループのコーポレートおよびプロダクトに関する包括的なセキュリティ管理戦略の実行、運用を担っていただく重要なポジションです。

【現状】
会社全体のセキュリティ課題
プロダクトの増加や業務の複雑化、従業員数の増加に対応できるセキュリティ体制を構築する必要がある
迅速かつ柔軟な変化ができるようにしつつ、高い基準のセキュリティを仕組みとして確保する必要がある
チームの課題
安定して業務を遂行していくために、業務プロセスを標準化する必要がある
個人に業務負担が偏らないようにチーム体制を確立する必要がある

【今後の取り組み】
プロダクトに対するリアルタイムのセキュリティ監視による予兆を含む攻撃の検知の強化
サイバーセキュリティインシデント対応体制の強化
サイバーセキュリティに係る社内規定やガイドラインの整備
業務の自動化・標準化
プロダクトライフサイクル全体に渡るセキュリティ施策（DevSecOps）の支援

【参考情報】
SmartHRの情報セキュリティ本部が向き合う課題
https://tech.smarthr.jp/entry/2024/04/23/104152
グループ全体を守るセキュリティ体制へ。SmartHRセキュリティユニットの挑戦
https://tech.smarthr.jp/entry/2023/10/05/110000
SmartHRはセキュリティにとってもwell-workingな職場でした

職務内容
【ミッション／役割】
下記の活動を通じて、技術的な観点から当社のセキュリティリスクをプロアクティブに特定・評価し、その結果を関係者にフィードバックすることで、組織全体のセキュリティレベル向上に貢献していただきます。
技術的リスクアセスメントの実行と高度化
リスクに関するフィードバック
技術アセスメント戦略の立案/推進
セキュリティ管理体制へのフィードバックと改善提案
https://tech.smarthr.jp/entry/2023/09/29/123000

【主な業務内容】
自社開発プロダクト（Webアプリケーション、モバイルアプリケーション等）、社内システム、ネットワーク機器に対する脆弱性診断の実行・実行状況管理
システムオーナーや開発/インフラ担当者向けの診断レポート作成
Attack Surface Management (ASM)の企画からツールの選定、導入、運用、および効果的な活用方法の確立・改善
外部専門企業への脆弱性診断・ペネトレーションテストの委託/実施に関する一連の社内外業務
担当領域における中長期的なセキュリティ戦略やロードマップの策定支援と実行
最新の脅威動向、攻撃手法、脆弱性情報を継続的に調査・分析し、アセスメント手法や基準へ反映
診断業務の標準化、効率化、および自動化（例: スクリプト開発による自動化）の企画・推進
セキュリティポリシー、社内規程への改善提案
ポジションの魅力
情報セキュリティグループには、個々の役割を広げて、成長していける環境があります。
アプリケーションセキュリティからクライアントセキュリティまで多岐にわたる業務を経験することができ、自身の専門性をさらに高めることができます。
また、経営陣もセキュリティの重要性を理解しており、最新の技術に挑戦することもできます。

業務内容変更範囲
会社の定める業務

求める経験・スキル

応募資格（必須）
Webアプリケーション脆弱性診断（3年以上の実務経験）
ネットワーク脆弱性診断、ASM（Attack Surface Management）、またはペネトレーションテストに関する基本的な知識と実務経験
セキュリティ課題解決に向けたプロジェクト推進実績

応募資格（歓迎）
AWS、GCPなどのクラウド環境を用いたシステムの構築・運用経験
NIST CSFやOWASPなどサイバーセキュリティ領域のフレームワークに関する知識と適用経験
情報セキュリティに関連する資格（CISSP、情報処理安全確保支援士など）※取得補助制度あり
システム開発経験

求める人物像
複数部門のステークホルダーを巻き込んで行動できる方
未整備な状況をストレスと捉えず、楽しみながら環境を整備・改善していける方
目標達成に向けて、状況に応じて優先順位を判断し、計画的かつ効率的に業務を進められる方
業務に必要な情報を主体的に収集・学習できる方
未経験の業務や未知の問題に対しても、自ら学習し、自らの頭で考え、臨機応変に対応ができる方
ご自身の経験や考えを持ちつつも、それに固執せず、他者の意見や新しい情報、変化する状況を柔軟に受け入れられる方