転職サービス「doda」などを展開するパーソルキャリアのビジネスは急拡大している。これに伴いエンジニア数も増加しているが、多様化する開発環境に対し、従来の境界型セキュリティが開発スピードの足かせとなり、エンジニアのモチベーション低下も引き起こしていた。その解決策として導入したのがCASB(Cloud Access Security Broker)の「Netskope」だ。従来、クラウドサービスの利用申請手続きに最大で2ヶ月を要していたが、ほぼ即時に完了するようになった。堅牢なセキュリティ体制のもとで、エンジニアは利用したいツールを迅速に採用できるようになった。
事業変革を支える、多様なエンジニア組織が直面した壁
パーソルキャリアは近年、テクノロジーを駆使してHR領域のビジネスを変革し続けている。これまでの人材紹介の市場では、数多くの求人と求職者を多数のスタッフが手作業でマッチングする仕組みをベースにしたビジネスが伸びてきた。これは、労働集約型のアプローチだったとも言える。しかし最近では、HRテックと呼ばれるようなAI、クラウド、ビッグデータなどの最新テクノロジーを活用して人事業務全体の効率化や最適化を実現する「労働集約ではない領域のビジネスが伸びています」とコーポレート本部/ガバナンス推進本部 執行役員 兼 CISOの松丸友生氏は話す。規模の力、集客の力だけでなく、営業やキャリアコンサルタントのスキルやノウハウをそれらとかけ合わせ、テクノロジーを活用して求人を行う企業にも求職者にも価値を提供できなければならない市場になったという。
また、コロナ禍を経て人々の働き方も変化している。リモートワークが増え、副業に対する考え方も変わってきた。「実際、副業のマーケットは伸びています」と松丸氏。そのためパーソルキャリアでは、企業が抱える課題にあわせて高度な専門スキルを持つ副業・フリーランスのプロ人材をプロジェクト単位で紹介する、HiPro(ハイプロ)サービスへの投資も増やしている。
変化する人材紹介サービスビジネスを、技術面からサポートするのがパーソルキャリアのテクノロジー本部だ。約3年前に設置され、2025年6月時点で400人を超えるエンジニア、データサイエンティスト、プロジェクトマネージャーといった専門職社員が所属する組織となっている。
デジタルテクノロジー統括部 デジタルソリューション部シニアエンジニアの柿田 一氏は、「テクノロジー本部は一般的な情報システム部門の社員とはかなり異なる人材構成です」と説明する。SI企業出身者からベンチャー企業の元社長、研究者まで、多様なバックグラウンドを持つエンジニアが所属しているのだ。彼らはそれぞれの専門性や効率性を追求する中で、多種多様なクラウドサービスやWebサービスを選択し、個々に活用する傾向があるという。
開発スピードを奪う「2ヶ月の申請待ち」と、形骸化した境界型セキュリティ
一方で、パーソルキャリアが採用していた従来のITセキュリティの仕組みは、エンジニアたちが個々に利用するさまざまなクラウドサービスに対応しきれていなかった。中でも大きな課題の一つが、パーソルキャリアにはエンジニアリング専用の環境が事実上存在せず、開発作業が転職希望者の個人情報も保持する環境で行われていたことだ。
これは、一般的な企業で用意される、個人情報を含まないテストデータで自由に開発やテストが行える「開発環境」が存在せず、開発段階から本番運用に近い厳格なセキュリティ要件が課される状況にあったことを意味する。そのため、情報漏洩やセキュリティインシデント対策が最優先となり、外部のクラウドサービスやWebサービスを利用する際には、セキュリティを担保するための膨大な手続きが求められた。この申請プロセスは、最大で2カ月近くかかることもあった。
結果として開発スピードの悪化、それによるエンジニアのモチベーション低下といったリスクも発生していた。柿田氏は、「近年のクラウドシフトにより、データとシステムの大半がクラウド上にあります。一方で、コロナ禍の影響で社員はほとんどオフィスにいない。操作する人も操作するデータも全て社外にあるため、従来の境界型セキュリティは全く無意味で何も守れないと感じていました」と振り返る。現状の環境に即したセキュリティ対策の体制を構築するのが急務だった。
エンジニアが多様なクラウドサービスを安全かつ迅速に利用するには、開発スピードとモチベーションを低下させる従来の厳格な手動承認プロセスに代わる、効率的で堅牢なセキュリティ体制が求められていた。同社はそのためのソリューションとして、クラウド利用を可視化しアクセス制御やデータ保護を可能にするCASB(Cloud Access Security Broker)の導入が不可欠だと考えたという。
Netskope選定の理由は柔軟性、使いやすさ、迅速なサポート
具体的な製品選定では、親会社のパーソルホールディングスがCASBの導入を検討する中でNetskopeが候補に挙がっていたこともあり、パーソルキャリアもNetskopeに注目。複数の製品を検討した結果、対応しているクラウドサービスの多さを評価し、Netskopeを採用した。テクノロジー本部のエンジニアだけでなく、他部署の社員からもさまざまなSaaSを利用したいという要望があった。数千ものクラウドサービスに対応するNetskopeなら、将来的に全社展開した場合も、煩雑な手続きを踏むことなく、多様なクラウドサービスの利用承認プロセスを効率化できると判断したかたちだ。
もう一つの採用理由が、Netskopeの扱いやすさだ。従来のネットワークセキュリティ機器のように専門スキルを要する場合、運用担当者の育成コストや属人化の問題が生じる。対してNetskopeは「とっつきやすく、使いやすい」ため、セキュリティ運用の属人化を排除し、管理の負担を軽減できると評価した。
また、Netskopeのサポートサービスのレスポンスの速さ、課題の把握力、提案力も評価した。柿田氏は、Netskope Japanの担当者のレスポンスの速さ、メール相談に対するチャット並みの迅速な対応、相談内容を汲み取った上での要点を押さえた提案を高く評価しているという。特に、Netskopeがエンドポイントで動作する製品であるため、利用者の期待する応答が得られない場合の迅速な回避策提示が正式導入の重要なポイントとなった。
さらに、コスト面での検討も重要な判断材料となった。従来の申請プロセスにかかる工数を「外部クラウド利用申請一件にかかる申請側と承認側双方の所要工数 × 年間の利用申請総数 × 社員時間単価」という計算式で試算した結果、Netskope導入にはコスト的な優位性があることも確認できたとしている。
効果は「即時承認」、Netskopeでセキュリティ部門の意識も変革
パーソルキャリアでは、2020年7月からNetskopeの検討を開始し、8月にはPoCを実施、9月末の社内稟議を経て、Netskope導入プロジェクトが本格的に動き出した。Netskopeの導入は、パーソルキャリアの開発環境を効率化し、データの持ち出しなどを防ぐ情報漏洩対策(DLP:Data Loss Prevention)の整備を大きく進展させた。定量的な効果測定は今後本格化するとしながらも、柿田氏が特に注目すべき効果として挙げるのが、これまで2カ月を要していたクラウドサービス利用申請手続きの期間がほぼ「即時」になった点だ。従来は情報セキュリティ部門による審査待ちが発生していたが、Netskope導入後は各部内のマネージャー承認でプロセスを完了できるようになった。
さらに、各種クラウドサービスに対する情報セキュリティ部門の姿勢にも変化が現れた。現在では、情報セキュリティ部門の担当者一人ひとりがNetskopeの導入により従来の申請手続きを大幅に削減できる環境が整ったことを社内に積極的に宣伝しており、クラウドサービスの利用申請者に対しNetskopeの活用を推奨するようになったのだ。柿田氏は「こうした動きが標準化されれば、目に見える形で定量的な効果が現れるはずです」と期待を寄せる。
Netskopeは現状、主にテクノロジー本部のエンジニアやプロジェクトマネージャーが利用している。パーソルキャリアでは、利用をここで止めるつもりはない。将来的な展望として、テクノロジー本部を超え全社員にゼロトラストセキュリティを浸透させることを目指している。「今後は法改正などにより、どんな職種でも自宅などで仕事ができるようになっていくと考えられます。そういった環境や法律や規制の変化にテクノロジーが追いつかないということがあってはいけない」と柿田氏は強調する。実際、2025年4月、10月に段階的に施行される「育児・休業介護法」の改正では、育児や介護中の従業員がリモートワークを「選択できる」ことが企業の「努力義務」または「義務」となっている。今後は。特定のライフ段階や事情を持つ人だけでなく、さまざまな人が場所や時間、立場に縛られない働き方が可能になるだろう。
パーソルキャリアはパーソルグループ全体のセキュリティ強化にも貢献しようとしている。前述のとおりパーソルホールディングスでもCASB導入の検討が進む中、先行導入で得た知見を共有していくつもりだ。柿田氏は「私たちの経験を共有することで、単にCASBを導入することが目的化するのではなく、グループ全体でゼロトラストやSASE(Secure Access Service Edge)といった、より包括的なセキュリティモデルへ到達する流れを作っていきたいと考えています」と今後の目標を語る。