株式会社SmartHR 伊森 正太郎様 インタビュー

登録セキスペインタビュー

Q SmartHR のセキュリティ監視・運用チームとして、どのような役割を担っているのか教えてください。

私が担当しているのは、SmartHR の日々の安定稼働を守るためのセキュリティオペレーションです。
主な守備範囲は 社内端末、アカウント、クラウド基盤、SaaS といった領域で、これらのログを SIEM に集約し、セキュリティ監視・検知・初動対応を行っています。加えて、相関分析や検知ルールの整備など、検知精度を高めるための改善活動も継続的に実施しています。
また、インシデント発生時には、組織としての CSIRT／PSIRT と連携し、状況整理や初動判断のスピードを落とさないことを特に重視しています。

Q 日々の監視やインシデント対応で、難しさやSmartHR特有の点はありますか？

日々の監視業務やインシデント対応で難しいのは、「何を脅威として扱うのか」を運用として継続的に見直し、定義し続けることです。
攻撃手法は常に変化し、事業やシステム構成、働き方の変化によって、守るべきポイントも移り変わっていきます。そのため、優先的に追うべき兆候と、通常の範囲として扱う挙動を明確に言語化しておかないと、監視の観点がぶれ、対応の質やスピードに影響してしまいます。

現場では、誤検知と実際の攻撃を見分ける判断が欠かせません。しかし、「怪しい動き」の多くは正当な業務操作で起こることもあります。一方で誤検知を恐れ過ぎると、停止すべき兆候を見逃すリスクも高まります。だからこそ、単一のログだけで判断せず、前後の文脈や関連する挙動も合わせて確認できる形にして、判断の軸をチームで共有し、迷いにくい運用へ落とし込むことが重要だと考えています。

SmartHRでは、監視対象が端末・クラウド・SaaSなど多岐にわたるため、「何を優先して見るか」を明確に決めることが特に重要です。
そのため、脅威の定義と優先順位付けを起点にしながら、誤検知を減らしつつ、重要な兆候が埋もれない監視設計へと継続的にアップデートしていくサイクルを常に意識しています。

Q 誤検知なのか正常な業務の操作なのかはどのように見分けられますか？

誤検知か、正常な業務操作によるものかを判断する際には、さまざまな観点から確認を行います。
まず、過去に同様の事例や、似たアラートが発生していないかを確認します。
さらに、アラート発生時の情報、たとえば IP アドレスやドメインが、攻撃者が過去によく使用しているものとして知られていないか、脅威インテリジェンスの情報と照らし合わせてチェックします。
これらの情報をもとに、どの程度リスクがあるのかを総合的に判断します。
また、一人で判断するのではなく、難しい場合はチームメンバーの知見を借りながら、相談して最終的な判断を行うようにしています。

Q 最新の攻撃に備え、検知体制や調査分析はどう進めていますか？

検知体制のアップデートでは、IOC や脆弱性、攻撃手法といった脅威情報を継続的に収集し、それらを検知ルールへ適切に反映しています。収集した情報が本当に有用かどうかを検証したうえで実装することで、「有事の際に速やかに検知し、必要な封じ込め措置を実施できるようにしています。」
検知ルールを更新する際には、最新のルールで過去ログをスキャンする「レトロハント」も実施します。攻撃が発生した当時は未知の手法で検知が難しかった場合でも、後からレトロハントを行うことで兆候を発見でき、被害を最小限に抑えられる可能性があります。

また、SaaS 固有の攻撃（外部 API の悪用、アカウント乗っ取り、OAuth リスクなど）については、利用している SaaS において想定される具体的な攻撃経路を把握し、「どこを監視すべきか」を明確に定義することを重視しています。これにより、SaaS 利用環境に適した、実効性の高い検知体制を維持できるようにしています。

Q インシデント対応で得た大きな学びがあれば教えてください。

アラートを検知した際に機械的にクローズするのではなく、検知内容を深堀りする調査することが重要だと考えています。たとえ緊急性が高くない事象であっても「なぜ検知したのか」を改めて問いただすことで、インシデントレスポンスの制度を向上させることができるからです。

Q インシデント対応では、情報処理安全確保支援士試験勉強の経験が活きていますか？

インシデント対応では、発生した事象にどれほどのリスクがあるのか、対応が本当に必要なのかを判断し、最終的な対応策を決めていきます。
このプロセスは、限られた試験時間の中で問題を読み解き、最適な解決策を導き出す作業にとてもよく似ています。そのため、試験勉強で培った思考プロセスや判断力は、今の実務に大いに役立っていると感じています。

Q セキュリティ製品やクラウド基盤で、導入して良かった点や工夫はありますか？

SIEM 導入の最大の効果は、単にログを蓄積するだけでなく、ユーザーや端末、アクセス元などの周辺情報を事前に紐付けて整理することで、社内資産同士の相関関係を可視化できる点にあります。
クラウド環境では設定不備が主要なリスクになりやすいため、設定状況を把握できるように可視化し、運用フローの中に取り込んでいます。
さらに、定型的な作業は SOAR によって自動化し、対応にかかる工数を削減しています。これにより、セキュリティ担当者が「攻撃の背景にある意図」を考察したり、より高度な分析に時間を割ける環境を整えています。

Q 今後強化したい監視・検知・分析の取り組みや、登録セキスペとして実現したいことはありますか？

今後強化したい取り組みは、「守れる範囲を広げながら、運用負荷を軽減すること」です。
検知ルールについては、網羅性を高めつつノイズを減らし、重要なアラートに集中できるよう、継続的に最適化していきたいと考えています。さらに、検知ベースの防御に依存しすぎず、仮説をもとに能動的に脅威を探索する“脅威ハンティング”の基盤を整え、防御範囲を広げていきたいと思っています。AIについては、状況判断に必要な情報をすばやく収集し、初動対応を強化する目的で活用を進めています。

登録セキスペとして専門性を広げる取り組みとして、登録セキスペの講習で得た知見を、社内のサイバーセキュリティ強化に還元していきたいと考えています。また、同じ資格を持つ方々との交流を深め、最新動向や他組織の取り組みを積極的に取り入れていきたいと思っています。組織が大きくなるほどステークホルダーが増え、意思決定のばらつきやリスクも生じやすくなります。そのため、支援士としての専門的な立場から、共通言語や基準を整備し、関係者が同じ安全水準で動ける体制づくりに貢献していきたいと考えています。