グローバル大手や行政・公的機関から選ばれる高レベルの情報セキュリティ

sonar ATSには他の企業には珍しいセキュリティリードというポジションがあります。コーポレートからプロダクトにいたるまで、情報セキュリティの管理運用にあたる専任のスタッフです。「安全性の確保がお客様の利益につながる」という信念のもと、常に新しい対策が求められるセキュリティ分野で、日々改善に取り組んでいるのです。そうした姿勢が評価され、sonar ATSでは高レベルの安全性が要求されるグローバル企業や官公庁、行政機関のお客様のご利用も増えています。なぜ専任のポジションを置いてまで、セキュリティを重視するのか。
今回は、セキュリティリードである渡邉と執行役員の佐藤が、sonar ATSの安全性の追求について語ります。

ーサイバー攻撃や情報漏洩など情報セキュリティに対するリスクは年々高まっています。情報セキュリティに対するsonar ATSとしての認識を教えてください。

渡邉情報セキュリティへの社会的な要求は年々強まっている印象を受けます。情報漏洩を起こした企業には、世間から厳しい目が向けられますし、そのリスクは大きいものです。sonar ATSではお客様から個人情報や採用ノウハウといったさまざまな情報をお預かりしています。そのため私たちから情報が漏れることは、直接お客様への多大な損失につながります。

そうした背景からお客様と契約する際に交わすセキュリティチェックの内容も年々ハードルが高くなっており、お客様側でも情報を守ることへの意識も高まっています。こうしたなかで社会的な要求に先回りしてセキュリティ対策に取り組むことが、サービスを継続するうえで非常に重要だと考えています。

ー情報セキュリティへの対応はどのように整備されているのでしょうか。

渡邉sonar ATSの開発と販売に携わるイグナイトアイとインフォデックスの2社が経営統合した2021年から、その対応方針を大きく変更しています。それまで統合された2社はそれぞれプライバシーマーク（Pマーク）を取得していました。ですが重要な個人情報を扱う採用管理システムのセキュリティ環境として、プライバシーマークだけでは不十分だとして、情報セキュリティマネジメントシステム（ISMS）に関する国際規格に基づく認証規格「ISO/IEC 27001」を取得を目指し、規格に対応する形で情報セキュリティ管理体制づくりに取り組みました。

また、私たちがクラウドサービスベンダーであることから、クラウドセキュリティに特化した認証である「ISO/IEC 27017」も合わせて取得。さらに個人情報保護に対する認証として、EU一般データ保護規則（GDPR）を基礎としたセキュリティ認証「ISO/IEC 27701」も、2022年に取得しました。ATSで国際標準のセキュリティ認証を取得している事例は少なく、とくにプライバシー情報マネジメントシステム認証（ISMS-PIMS認証）では、私たちは当時業界初、国内企業でも6番目のタイミングで取得しています。

ー国際標準の認証規格を他に先駆けて取得されていますが、それはなぜなのでしょうか。

佐藤正直に言えば、私たちにとってこういった動きはやや過剰投資気味で、先行投資に近いのが実情です。認証については、「お客様に言われたから取得する」のではなく、プロとしてサービスを提供する以上、お客様にご認識いただくだけでなく、第三者に審査・証明してもらうことが必要だった、というのが背景です。

sonar ATSはおかげさまでトヨタ自動車様や日産自動車様といったグローバルに展開するお客様にご利用いただいています。そうしたなかで、すでに法律が求める以上のセキュリティ管理運用に取り組まれているという実情がわかってきました。各業界でその分野をリードするような企業やプロバイダーも、やはりこうした認証を取得しています。

私たちも採用管理システムとしてのデファクトスタンダードを目指す以上、そこに取り組む必要性があると感じたのです。そうしたなかで、国際標準認証の取得にあたっては、文書審査だけでなく運用実態の細かな調査も入ります。そのため、より高い精度で管理運用を整えていると、第三者から証明されたことになります。

ー情報セキュリティに対して高いレベルで認識しているように感じます。それはどういった理由によるものでしょうか。

渡邉以前のキャリアで、私自身が情報漏洩による事故を経験している、ということが大きいかもしれません。その当時は情報セキュリティに対する知識も乏しく、実際に事故が起こってから大変なことになった、とわかりました。

事故はいざ身に降りかかる瞬間にはもう手遅れで、予め対策を取っておかないとすべての対処が後手に回ってしまいます。当然お客様だけでなく多方面にご迷惑をおかけしましたし、これではサービスを続けられない、と痛感する瞬間でもありました。だからこそセキュリティリードとして、情報セキュリティには人一倍こだわりますし、机上の空論ではない高い温度感を持っているのかもしれません。

ー情報漏洩やサイバー攻撃は日進月歩で、情報セキュリティへの対応は恒常的に求められるものだと思います。そうしたなか心がけていることはありますか。

渡邉新しい情報のキャッチアップは大切にしています。例えばサイバー犯罪にもトレンドがあります。以前はウイルスをばらまくような、いわば「愉快犯」的な攻撃が一般的でした。

しかし近年は、情報にロックをかけ解除のために身代金を要求する「ランサムウェア」のほか、特定の企業を狙った「標的型攻撃」など、収入を得ることを目的としたサイバー犯罪が多発しています。そのため企業を標的とした攻撃が増えているのです。

サイバー攻撃は、もはやどの企業でも他人事ではないのです。こうしたトレンドをきちんと把握しないと、対応が後手に回ってしまいます。そのため常に情報をキャッチアップし、対策に生かすように取り組んでいます。

ー社会的要求の高まりやサイバー犯罪の高度化が進むなかで、よりハードルの高いグローバル企業や行政機関からsonar ATSが選ばれるのはなぜでしょうか。

国際標準の認証規格を取得していることは、その理由の1つに挙げられます。ですがそれに限らず、私たちのプロダクトやビジネスプロセスが安全であることを丁寧に説明できていることが、評価いただいている大きな要因だと思います。

例えばお客様からのセキュリティチェックでは、多いところでは数百の項目について、その安全性を説明しなければなりません。こうした項目の1つひとつできちんと説明できなければ、お客様から納得していただけません。丁寧に説明して、きちんとした運用体制を整えているからこそ、お客様からの信頼につながっているのではないでしょうか。

また、セキュリティ体制に関する情報を発信することも私たちの責任であると考えています。そこでsonar ATSのサービスサイトでも、セキュリティに特化したページを設け、そのなかで毎月実施している第三者機関によるセキュリティ診断の結果を開示しています。こうした取り組みは、他社でも行われていない弊社独自の取り組みで正直大変です。それでもsonar ATSの機能開発、改善のスピードをふまえると必要な投資と考えています。

sonar ATSのセキュリティに関するページ：https://sonar-ats.jp/function/security/

ー渡邉さんはセキュリティリードという珍しいポジションを務められています。そうした役職を設けた背景について教えてください。

佐藤ご存知のようにHR Tech業界は、変化の激しい分野です。そうしたなかで事業を継続するためには、スピード感を持って利便性を追求し、サービスの開発や改善に取り組むことが重要だと考えています。しかしそれだけに注力すると、情報セキュリティは開発の足かせになってしまいます。するとどうしても業績を優先する判断をして、セキュリティは後回しになりかねません。

そういうなかでも組織として情報セキュリティを守るために、私たちは「セキュリティリード」というポジションを配置することで、組織としてのガバナンスに則ったうえで、情報セキュリティに対する意思決定に取り組んでいます。なので渡邉はセキュリティにのみ責務を負う立場として、業績や事業にとらわれず仕事をしてもらっているのです。

ーそうしたなかでお仕事をされていると事業側と対立することもあるのでしょうか。

渡邉そうですね。お互いの立場として対立することもしばしばあります。事業側の立場では、お客様に使いやすいサービスをスピード感を持って提供することが、お客様や私たちの利益につながるものという判断のもと動いています。

一方、セキュリティリードである私は、お客様のセキュリティや情報を守ることが、お客様や私たちの利益につながる、という立場のもとで判断しています。ですからその間で意見が衝突することは避けられません。ですが大切なことは、その衝突のなかでしっかりすり合わせ、適切な落とし所をお互いに探っていくことだと思います。

情報セキュリティはいわば「保険商品」です。保険はよくない事態が起きないとその価値は見えづらく、日常の何もないなかではその重要性がわかりづらい側面があります。そうしたなか保険の価値をしっかり説明して買ってもらう。私の立場はそれに近いといえるでしょう。

私は以前のキャリアで事故を経験していますが、事故を経験をすることは稀で、そうしたメンバーは少ないのです。そうした環境で現実味を持ってセキュリティの重要性を理解してもらえるように、具体的な事例を交えながら説明するなど、工夫をしながら日々取り組んでいます。

ー情報セキュリティへの対策として最近取り組んでいることを教えてください。

渡邉人間が介在する以上、ヒューマンエラーの発生は防ぎきれません。そうしたなか、少しでも人の手に触れる機会を減らす取り組みとして、とくに強化しているのは外部サービスとの連携です。sonar ATSではAPIを提供することで、システム間でデータ移行が可能です。運用者である人間が介在する箇所をシステムとして減らすことで、高い安全性と利便性を実現しています。

また私たちはプロダクトの性質上、お客様の承認のもとお客様の先にあるさまざまな情報に触れる機会があります。これまではオフィスというセキュリティが維持された空間で業務にあたることで安全性を確保してきました。しかしリモートワークの導入などにより、業務環境が大きく変化しており、安全性の担保が難しくなっています。

そこでこうした業務で秘匿すべき情報を非表示できる「秘匿モード」を実装し、より安全に業務に取り組める仕組みを整備しています。どのような環境下でもお客様の情報を守るという意思のもと、かなり工数のかかる機能だったのですが、実装に至りました。この機能には国際認証の審査員から高い評価をいただいています。

ー情報セキュリティについての今後の展望を教えてください。

渡邉クラウドサービスにおいて最も重要なことはアクセス管理と認証です。その安全な手段として近年多要素認証が普及しています。これは「知識情報」、「所持情報」、「生体情報」のうち、2つ以上の異なる情報を組み合わせて認証する仕組みで、パスワードのほかにログインアプリを用いて認証する方法が一般的です。

sonar ATSでも多要素認証を利用できますが、現状では他のサービスの多要素認証を利用する形で、該当する他のサービスを利用している必要があります。そこで他のサービスを利用せず、sonar ATS単独でも多要素認証ができる機能の実装を検討しています。

これも工数のかかる機能ですが、広く安全な認証を実現するためには必要なものだと思いますので、セキュリティを負う立場としてはその実現を目指したいところです。

佐藤いまや情報セキュリティはsonar ATSにとって予め満すべき前提満足の要素です。情報セキュリティの強化は管理運用にコストがかかるため、事業としてのスピード感が落ちる側面も否めません。ですがたとえ事業の速度を落としても、自由度と引き換えたとしても、セキュリティを優先することは、私たちの明確な意思なのです。そのため情報セキュリティへの投資は、引き続き積極的に取り組みたいと思います。