フューチャーから登録社数4万社を超えるSmartHRを起業

神戸: 今回インタビューをさせていただくSmartHR社の内藤さんは、元フューチャーのメンバーでした。私も一緒に仕事をしたことがあります。

内藤: フューチャーには2007年に新卒入社して2013年まで在籍していました。新人研修終了後に配属された研究開発部門ではACIDな分散DBをErlangで開発するプロジェクトに参画し、先輩から技術とエンジニアとしての生き様を学びました。その後、銀行や証券などの金融系のプロジェクトに携わった後、現在のSmartHRを共同創業者として起業しました。創業からしばらくは自身がエンジニアとしてプロダクト開発をしながらセキュリティも担当していました。現在は監査等委員を務めています。

神戸: 創業されたSmartHRのサービスについて教えてください。

内藤: SmartHRはSaaS型サービスを提供しています。元々は社会保険や雇用保険の手続きを簡単にするサービスから始まりましたが、最近では守備範囲を広げて、例えば、マイナンバーや年末調整、雇用契約の管理や手続き、従業員サーベイや 従業員名簿、組織図や人事評価 といった従業員データを起点としたサービスを提供しています。現在、登録社数も4万社を超え大手のお客様の導入も増えてきたので、セキュリティに関しては専門チームを作って強化しています。

神戸: どのような体制でセキュリティを担当されているのでしょうか。

岩田: 会社組織全体と各サービスに分かれてセキュリティを見ています。私自身は元々セキュリティベンダーのエンジニアでしたが2019年にSmartHRに参画し、現在はサービス側の担当者としてFutureVulsを用いた継続的な脆弱性管理も担当しています。

最低契約台数なしのスタンダードプランでスモールスタート

神戸: FutureVulsの導入に至った経緯を教えてください。

岩田: インフラ面は一部を除いてほとんどがGCP（Google Cloud Platform）で動いているのですが、クラウド環境をGCPへ移行したことをきっかけに、サーバーの脆弱性管理が必要なくなり、その分コンテナの脆弱性管理を強化することになりました。コンテナの脆弱性スキャンはTrivyを使うことになっていたので、スキャンした結果を取り込んで脆弱性管理できるツールを探していたところ、内藤から紹介がありました。

神戸: 2021年の秋頃からスタンダードプランでスモールスタートしていただきました。

岩田: まず最初に1コンテナ1イメージで試して、そこから契約台数を増やしていきました。ツールとして良いなと思っても運用してみないと分からない事もあるので、実際に脆弱性管理をしながら運用フローを固めました。もし自分たちの運用に合わなければ、そこでストップのジャッジもできるのでフレキシブルな良いプランだと思います。

神戸: 導入時のサポートはどうでしたか？

岩田: FutureVulsを使うことになったタイミングでSlackのやり取りが始まり、色々な質問に答えていただきました。使い方に関しても直感的に分かる作りになっているので、導入に対する障壁はほとんどありませんでした。唯一ヘルプを参照したのは、Trivyの連携設定くらいでしたね。

全体を見通して本当に必要な対策だけを選び抜く

神戸: 実際にFutureVulsを使ってみていかがでしたか。

岩田: これまでも脆弱性管理はやっていましたが、 FutureVulsによって様々な角度から脆弱性を可視化できるようになり 、正しい対応を取るための強力な判断材料となりました。例えば、サーバーにインストールされているソフトウェアの一覧画面では、コンテナイメージに含まれるパッケージが確認できます。コンテナ環境はイメージに含まれるパッケージ数がホストOSに比べて少ないので安心しがちですが、一覧をチェックすることで必要最低限のパッケージしか入っていないコンテナとして理想的な状態になっているかを見直すこともできます。

神戸: SaaS系の企業はコンテナでの運用が主流になってきていますね。他にFutureVulsを導入したことでの変化はありましたか。

岩田: 毎日スキャンした結果をインポートしてFutureVuls上で確認しているのですが、とにかく全体を見通すのが容易になりました。セキュリティチームとしては会社全体で対応が必要なものが何で、それに対してどういう対応をしていて、まだ対応できていないものはどれなのかがすぐに把握できる状態でなければなりません。

神戸: 効率的な脆弱性管理に貢献できて嬉しいです。

岩田: どんなツールでも脆弱性は沢山見つかりますが、その中から本当に対応が必要なものだけをピックアップすることは困難です。FutureVulsには、重要フィルタや自動トリアージ機能があります。たとえば、「ネットワークから攻撃可能か」「権限なしで攻撃可能か」「エクスプロイトが公開されているか」など色々な条件をAND / ORの組み合わせで自分達の考えた条件を事前に定義しておいて、本当に必要なものだけを自動選別できるように活用しています。

多角的な視点から脆弱性を管理

神戸: 脆弱性の管理において大事にしていることはありますか。

岩田: 幸い今までのところクリティカルな脆弱性にヒットしたことはないですが、FutureVulsを使って思ったことは、これで充分だと思う対策を取っているつもりでも、管理してみると今まで見えていなかった気づきがあったということです。一つのやり方に拘らず多層防御のように様々な視点を取り込むことは大事だなと思います。

神戸: FutureVulsはどういった企業にお勧めでしょうか。

岩田: 脆弱性管理はどんな会社でもきちんと対策を取って対処すべきです。攻撃される原因の一つに既知の脆弱性はよくあるパターンです。スキャンして見つけるだけではなく、FutureVulsのような脆弱性を管理するツールを使って、対応すべきものをきっちり炙り出して対策を講じることが重要だと思います。こういったことの積み重ねが効果につながるところだと思っています。

内藤: FutureVulsもSmartHR同様、SaaS型のサービスで軽く始められるのが便利だと思います。私たち自身もトライアルからスタートしたように、脆弱性管理を検討していれば、まずは試して実際に運用してみることをお勧めします。