株式会社SmartHR 山本 達也様 インタビュー

登録セキスペインタビュー

Q SmartHR のセキュリティ監視・運用チームとして、どのような役割を担っているのか教えてください。

私は SmartHR のサイバーセキュリティユニットで、主にセキュリティオペレーションを担当しています。ひと言で表すと、SmartHR の事業や社員をサイバー攻撃から守るため、日々 “異常の兆し” を捉え、的確に対応する役割を担っています。

守る対象は大きく 3 つあります。
社内端末・アカウント、クラウド基盤、そして従業員が利用する SaaS です。これらのログを収集・分析し、当社に向けられるさまざまな攻撃や不審な挙動を監視し、必要に応じて初動対応から封じ込め、復旧支援まで行っています。
加えて、監視に必要な仕組みづくりや、セキュリティ製品の選定・導入・運用も、現場目線で一貫して担当しています。
また、ガバナンスを担う社内のセキュリティ統括ユニットや、プロダクト側のセキュリティを担う PSIRT、各部門のステークホルダーとも連携し、会社全体としてセキュアな環境を構築するための取り組みを検討・推進することも重要な役割のひとつです。

Q 日々のセキュリティ業務で、特に難しいと感じるポイントや、SmartHRならではの特徴はありますか？

特に難しさを感じるのは、会社の成長や変化に合わせて、常に検知体制を進化させ続けなければならない点です。
SmartHR では従業員数が増え、既存事業だけでなく新しい取り組みも次々と立ち上がっています。その変化に伴う新たなリスクに対応するため、社内では多様なセキュリティ対策が日々アップデートされ続けています。
こうした変化に追従しながら、SmartHR が持つ多面的なアタックサーフェスを網羅的に捉えた検知体制を整えるためには、柔軟でありながら高度な仕組みが求められます。
そのため SmartHR では、検知ルールが陳腐化しないよう、関係部署と密に連携しつつ、AI を活用して“素早くかつ高度な”検知体制の構築を進めています。

Q 最新の攻撃手法に備えるために、どのように「検知体制のアップデート」や「調査分析」を行っていますか？

最新の攻撃手法に備えるうえで、私たちが最も重要だと考えているのは、チームでの徹底した議論です。
組織をサイバー攻撃の脅威から守るためには、今この瞬間は認識できていない「未知の脆弱性や見落とし」を炙り出す必要があります。そのためには、肩書きにとらわれずメンバーが率直に意見を交わし、多角的な視点からリスクを検証するプロセスが欠かせません。

たとえば MITRE ATT&CK に分類されている攻撃テクニックは、すでに識別可能な“既知の脅威”です。EDR などのセキュリティ製品を導入することで、ある程度の対策は可能です。しかし、本当に警戒すべきなのは 「まだ認識されていない脅威」 です。
実際、EDR を導入していても、運用プロセスの不備や設定の甘さが残っていれば、攻撃者の行動を止められないことがあります。その場合、防御側が気付く前に攻撃者が目的を達成してしまう可能性があります。このような “対策できているつもり” に潜むリスクを見抜くには、製品仕様だけでなく、攻撃者の心理やシステム全体の構造まで深く理解している必要があります。

こうした議論を深めるためには、専門的な知識を共通言語として扱える登録セキスペの存在が不可欠です。抽象的なリスクを具体的な技術論へ即座に落とし込み、「この設定不備はどのように悪用され得るのか」を、専門知識を共有しながらスピーディに議論できるからです。
私たちのサイバーセキュリティユニットには、ゼロトラストアーキテクチャの実装や技術リスクアセスメントなど、オペレーション以外の領域を担うスペシャリストも在籍しています。それぞれ異なる専門性を持ちながら、納得できるまで議論を重ねる文化が根付いています。
この“議論し尽くす土壌”を維持・発展させることこそが、結果的に最新の攻撃手法への最も効果的な防御策になる—私たちはそう考えています。

Q 実際のインシデントレスポンスや不審挙動対応で、「これは大きな学びだった」事例を教えてください。

印象に残っているのは、定期的なログ分析の中で、一見すると単発で小さな違和感に過ぎないログイン試行の痕跡を発見したケースです。
周辺ログを丁寧に追っていくと、過去の経験から「攻撃で悪用されやすい経路に近い特徴」が見られ、OSINT 調査の結果、不正なログイン試行である可能性が高いと判断しました。

この経験から強く実感したのは、従来よくある
「一定回数を超えるログイン試行」
「同一 IP から多数のアカウントに試す」
といった“わかりやすい異常”だけでは不十分だという点です。近年増えている 「1 回だけ試してすぐ引く」タイプの攻撃 は、そのような明確なパターンでは捉えにくく、取りこぼしやすいのです。

そのため、検知ルールを磨くことに加えて、定期的にログ全体を俯瞰し、「普段と違う挙動」を棚卸しし続けることが欠かせません。観測方法や運用をアップデートし続ける重要性を改めて実感した事例でした。

Q セキュリティ製品やクラウド基盤運用で、「SmartHR流の工夫」を教えてください。

SmartHR らしい工夫として、まず クラウドの監査ログや権限まわりの情報を、後から検証できる粒度で残すことを重要視しています。
たとえば「誰が」「いつ」「何を変更したのか」が追える状態になっていれば、インシデント時の調査が“当て推量”に頼らずに済みます。
次に、アラートは「多ければ安心」という考え方ではなく、運用に耐えうる基準に継続的にチューニングすることを重視しています。誤検知や重複アラートを減らし、本当に注視すべき兆候が埋もれない状態を保つ。こうした基盤が整うことで担当者の負荷は減り、結果として対応品質も向上します。
最後に、インシデント対応は属人化しやすいため、初動手順や切り分け観点を定期的に見直し、演習や簡単な自動化を通じて“実際に動く形”に整えることを意識しています。ツールと運用をセットで育てることで、いざ何かあっても慌てず、関係者との連携も含めてスムーズに動けるようになります。

Q. ご自身の業務の範囲で、登録セキスペとしてこの 5 年間で変化を感じていることはありますか？

私が最も強く感じているのは、「直面している脅威がこの数年で大きく変化している」という点です。
5年前であれば、マルウェア感染を狙った比較的単純な攻撃や、Webアプリケーションの脆弱性を突く攻撃が中心でした。
しかし、この1〜2年の動向を見ると状況は大きく変わっています。セキュリティ製品の精度が向上したことで、攻撃者も手法を変化させ、より巧妙かつ複雑な攻撃が増えていると感じます。具体的には、サプライチェーンを悪用した攻撃 などが典型です。

そのため、これまでと同じ感覚で業務にあたっていると、攻撃者の変化に追いつけず、対策が後手に回ってしまいます。攻撃手法の進化に遅れを取らないよう、引き続き警戒し、変化に敏感であり続けることが重要だと考えています。
さらに、登録セキスペの 3 年に 1 度の実践講習で得た学びも、こうした変化に対応するうえで大いに役立っています。

Q 今後強化したい監視・検知・分析の取り組みや、登録セキスペとして実現したいことはありますか？

• まず 1 つ目は、検知ルールの継続的なアップデートです。攻撃手法も社内環境も日々変化するため、「一度つくれば安心」ということは決してありません。常に新しい脅威にアンテナを張り、「今の設定で本当に最新の攻撃を防げるのか？」という視点で、誤検知や取りこぼしを振り返り、精度を高めるサイクルを継続的に回していきたいと考えています。
• 2 つ目は、監視基盤の統合と自動化です。端末、クラウド、アカウントといった領域を横断した調査が増える中、情報が分散していると判断が遅れる原因になります。登録セキスペには、ネットワークからアプリケーションまで幅広い知識が求められますが、その横断的な知見を活かし、定型作業を自動化して、プロフェッショナルとして「より深く考えるべき対応」に時間を集中できる環境を整えることが目標です。
• 3 つ目が、AI・LLM の活用です。アラートの要約、ログの整理、手順書の更新など、AI に任せられる作業は数多くあります。ただし、最終的に「これは本当にリスクなのか？」を判断するのは人間です。AI を適切に使いこなしつつ、人間が正しい最終判断を下す—人と AI の最適な協働を実現していきたいと考えています。

また、登録セキスペとして私が最も実現したいのは、自分ひとりが強くなることではなく、チームや組織としての“再現性”を高めることです。
特定の誰かに依存した“職人芸のセキュリティ”ではなく、判断基準を言語化してドキュメントに落とし込み、教育を通じてチーム内の共通言語を増やす。そうすることで、誰が担当しても一定のクオリティで運用できる状態をつくりたいと考えています。