デジタル人材の育成

  1. トップページ
  2. デジタル人材の育成
  3. 情報処理安全確保支援士(登録セキスペ)
  4. 活用事例(インタビュー・動画)
  5. 活用企業・組織のインタビュー
  6. 株式会社SmartHR インタビュー
  7. 株式会社SmartHR 岡村 隆行様 インタビュー

株式会社SmartHR 岡村 隆行様 インタビュー

公開日:2026年3月19日

株式会社SmartHR 執行役員 兼 セキュリティ・リスクマネジメント統括本部 統括本部長 岡村 隆行様

  • 株式会社SmartHR 岡村 隆行様

管理者インタビュー

Q SmartHRを守るセキュリティチームの役割分担・体制を教えてください。

株式会社SmartHR 岡村 隆行様

当社のセキュリティは、コーポレートセキュリティとプロダクトセキュリティの二軸で運用しています。コーポレートセキュリティ側は、情報セキュリティ部の「セキュリティ統括」と「サイバーセキュリティ」の2ユニット体制です。

「セキュリティ統括」は、セキュリティリスクの評価を起点に、管理体制の整備・運用、従業員研修、顧客からのセキュリティチェック対応等を担います。

「サイバーセキュリティ」は、脅威情報の収集から防御、監視、検知、対応等に至るまでのオペレーションを担当します。プロダクト側は、開発組織内にPSIRTを置き、開発と運用のライフサイクルにセキュリティを組み込みながら、製品固有のリスク低減を担当します。

組織上は、コーポレートはCEOライン、プロダクトはCPOラインに属しますが、目的は一つ「SmartHRを利便性高くセキュアに運営すること」。二軸が密に連携し、リスクベースで優先順位を付けながら、SmartHR全体のセキュリティ水準を引き上げています。

Q 登録セキスペは、SmartHRの事業・プロダクト戦略でどのような価値や成果を生み出していますか?

株式会社SmartHR 岡村 隆行様

当社は、人事・労務を中心としたバックオフィス業務の効率化を支援するプロダクトを提供し、社会を “well-working” にするインフラ企業を目指しています。2030年の売上1,000億円を目標に、複数事業の立ち上げやM&A、人員拡大が進むハイグロースの最中です。現在SmartHRは登録社数が7万社を超えており、お客さまの基幹業務を狙っていることから、セキュリティは経営上の最重要テーマの一つに位置づけています。

セキュリティ実装で私たちが重視しているのは、リスクベースアプローチです。まず許容できないリスクを特定し、それを許容範囲まで低減する対策を徹底します。リスクベースには、事業とセキュリティ双方への深い理解が不可欠ですが、登録セキスペのメンバーは包括的な知識を備えており、対策の中核として機能しています。あわせて、将来の担い手にとっても、登録セキスペ資格の取得を目標に知識を体系化し、実務で活用して伸ばせる点で、育成面の効果が大きいと考えています。

また、組織としてISO/IEC 27001やSOC 2 Type IIに準拠していること、メンバーが登録セキスペ資格を中心に他のセキュリティ資格も保有していることは、お客さまに専門性と体制の確かさを示す裏付けになっており、実際に安心材料として評価いただく場面も増えています。

Q SmartHRはなぜ、セキュリティ戦略の中心にリスクベースアプローチを選んだのでしょうか?

セキュリティには、世の中にさまざまなベストプラクティスがあり、「この対策を入れるべきだ」といったコントロールベースの考え方もあります。しかし、その方法だけでは、本当に当社が向き合うべき課題に対して最適なセキュリティになっているかは計りきれないと考えています。

だからこそ私たちは、プロダクト、コーポレート、事業戦略といった“今のSmartHRが置かれている状況”を踏まえて、セキュリティ上の弱点はどこにあるのかをリスクベースで的確に見極めます。そのうえで、「どの対策を打つと、ビジネスにもセキュリティにも最も良い影響があるか」を徹底的に考え、優先順位をつけて実装することにこだわっています。
つまり、私たちは常に“リスクを起点に考える”という姿勢を徹底している、ということですね。

Q 監視や初動対応の高度化に向けて、現在どんな取り組みを進めていますか?

注力している取り組みの一つが、検知から初動対応までの強化です。脅威インテリジェンスを活用し、当社に影響し得る攻撃はプロアクティブに検知、クリティカルな攻撃についてはブロックまで自動化する対応を進めています。
昨今は受動的対策だけでは後手に回るリスクが高く、迅速な初動につながる仕組みが重要です。「サイバー攻撃は100%防げない以上、被害時の手続きが重要だ」という指摘はそのとおりですが、予防措置を軽視するつもりはありません。私たちは監視・検知から初動対応までの一連の流れを、継続的に強化していきます。

また、最近は経営者をかたるメールやチャットなど、従業員を狙う手口も確認されています。技術的対策とあわせて、従業員への啓発など人への手当も重視しています。これらの取り組みはすべてリスクベースで優先順位を定めています。これまでも同方針で進めてきましたが、今期(当社の期初は1月)は全社の状況をあらためて洗い出し、セキュリティ上の強みと弱みをセキュリティ関係者全員で共有したうえで、リスクに基づく重点化を図ります。主導する情報セキュリティ部の部長も登録セキスペで、登録セキスペのメンバーが中心となって当社のセキュリティ強化を牽引していきます。

関連リンク