【業務委託セキュリティアドバイザーの働き方事例】上場を目指すスタートアップ企業がセキュリティの専門家を求めた理由――タイミー・阿部勇一郎さん

単発アルバイトサービスのマッチングアプリ「Taimee」を提供している株式会社タイミー。

その特徴は、アプリだけで申し込みが完了することと、即金で報酬が支払われることです。 従来の派遣バイトは登録会や面接があるのが通例で、即金と銘打たれていても初回は支払いが一ヶ月先といった状況も珍しくありませんでした。それらを全て打破したのがタイミーのサービスです。

サービス開発の要となったのは、ユーザーに報酬を支払うシステム。 銀行と提携するには高度なセキュリティ要件が必要となり、これを満たすためにFLEXYから専門家の大和田さんがジョインしました。

セキュリティ案件の支援はどのようなものか、実際にご支援に入られている大和田さんとFLEXYの担当コンサルタント松川も交えて、株式会社タイミーCTO取締役の阿部さんと座談会をしていただきました。

【FLEXYからご紹介したセキュリティアドバイザーの大和田さんの業務内容】
業務内容 セキュリティ案件
詳細 銀行とのAPI連携にかかわるセキュリティ対策 社内のセキュリティ対策 社員の教育、テストの作成、勉強会の開催 Pマークの取得前の環境整備 など
稼働時間 最初の半年間 月80時間稼働
稼働時間 半年後〜 週稼働8時間→月32時間に変更
補足 ご支援が始まった最初の半年間は、社内の情シスもいなかったのでアドバイザーと実務者を兼務、資料作成もハンズオンで行う。

銀行の厳しいセキュリティ要件をクリアするため、プロ人材に依頼

――今回、FLEXYからセキュリティアドバイザーである大和田さんにジョインいただいたのは、どんな課題があってのことでしょうか?

阿部 勇一郎さん(以下、阿部):当社はサービスの性質上、バイトをしたユーザーさんに即金で報酬を支払う必要がありました。その仕組みづくりのために銀行のAPIを使うことにしたんです。

提携先が銀行ということで守らなければならないセキュリティ要件は非常に多くありました。 一方で自分たちにはほかに進めなければならない開発も抱えていましたから、ここはセキュリティ面をリードしてくれる専門家がいたほうがスピーディだろうということで、FLEXYさんにご依頼することにしたんです。

株式会社タイミー CTO取締役 阿部 勇一郎さん

――ちなみに、FLEXYはどのように知ったのでしょうか?

阿部:担当コンサルタントの松川さんが営業で電話してきてくれました。私が対応したのはたまたまだったのですが、FLEXYさんのようなサービスがあることはそこで初めて知りましたね。

FLEXY松川:タイミーさんは私が初めての担当した支援企業様だったので、非常に緊張していました(笑)。 お電話の後、一度直接お会いしてサービスについて説明をさせていただいたのですが、確かに「そういうサービスがあるのか」という雰囲気でしたね。

――大和田さんを採用された決め手はなんだったのでしょう?

FLEXY松川:最初に課題をお伺いして、人選をして、ご面談という流れになります。ご面談も、CTOの阿部さんが担当してくださいました。

阿部:うちは非常に若い会社で、平均年齢も27歳です。インターン生を含めると23、4歳くらいになるほどです。まだ経験値も浅い組織ですから大和田さんが踏んできた場数はもちろん、圧倒的な守備力の高さが決め手になりました。

――大和田さんご自身がタイミーさんを支援したいと思った部分はどこでしょう?

大和田 康博さん(以下、大和田):阿部さんのおっしゃるとおりスタートアップの若い会社ではあるのですが、ビジネスモデルが非常に面白そうでした。きっと勢いを持ってすぐに急成長するだろうと思ったので、ぜひお手伝いできればと思った次第です。

右:株式会社タイミー CTO取締役 阿部 勇一郎さん 左:FLEXYからご紹介したセキュリティコンサルタント 大和田 康博さん

開発に影響が出ないよう、スピードと業務量を適切に調整

――具体的な支援の体制や流れについて教えてください。

大和田:支援がはじまったのは2019年3月頃で、月80時間程度の稼働でした。 9月に契約を半年延長して、稼働時間は32時間に変更しています。

どの企業であっても支援は現状把握から入るものなのですが、セキュリティに関してはほとんどの企業様がゼロベースからのスタートです。セキュリティに対する知見や基盤もない中で、専門的な知識をご支援させていただくということですね。

カウンターパートは阿部さんやCPOの亀田さん、CHROの石橋さんで、タスクに応じてそれぞれの方とやりとりをしながらプロジェクトを進めていきました。

具体的な内容としては、以下になります。

・銀行から要請されているセキュリティ要件の精査や資料作成 ・Pマーク取得のための専門会社とのやりとり ・情シスの体制づくりに関するアドバイス ・社員の方へのセキュリティ教育

教育に関してはテストを作成したり勉強会を開催したりもしています。

現時点でミーティングは2週間に1回の頻度で行なっていて、進捗やスケジュールを都度確認しています。 あまりスケジュールを詰めすぎるとみなさんの本業に影響が出てしまいますから、加減を見て無理のない範囲で進めている感じです。

――上場に向けた活動も含まれているのでしょうか?

大和田:銀行からのセキュリティ監査の項目を満たすことで、徐々に上場のための要件も満たされていくというイメージですね。 また、上場に際しては組織全体がルールに沿って動いているかどうかがJ-SOX、すなわち内部統制報告制度で問われることになるので、今のうちから徐々に整備を進めていこうとしています。

FLEXYからご紹介したセキュリティコンサルタント 大和田 康博さん

スタートアップ企業なら専門分野は外部のプロ人材を頼るのがオススメ

――実際、銀行からのセキュリティ監査の要項を満たすのはかなり大変なのでしょうか?

大和田:銀行業界は非常にセキュリティが強固な業界ですから、とにかく要望が多岐にわたります。 中にはそれほど難易度の高くない内容もありますが、合計60前後の項目を満たさなければなりません。 専門家がいない状態でスタートアップ企業が全てを自分たちでこなすのは相当ハードルが高いと思います。

――60前後ですか!? ちなみに、セキュリティの専門家を社内に雇い入れる方法ではなく、今回のように半年からの支援をFLEXYに依頼していただいた経緯を教えてください。

阿部:もちろん社内に常駐でセキュリティ分野の人材を雇い、継続的に担当してもらう必要があるにはあるのですが、セキュリティ領域のスペシャリストを採用すると人的コストが高くなってしまいます。それよりもコンサルタント的に薄く広くジョインしてもらうほうがいいだろうとFLEXYさんを利用しました。

大和田:セキュリティ専門の部署やチームができるのはある程度会社の規模が大きくなってからで問題ありません。 それまでは外部のプロ人材に定期的にアドバイスをしてもらうほうが、会社にとっても負担が少なく、効率が良いのではと個人的には思います。

――実際、市場にはセキュリティに関するコンサルティングを行える人材は少ないイメージですが、どうなのでしょうか?

大和田:確かに、社内に入って網羅的にセキュリティに関する対応をこなせる人材は少ないのではないでしょうか。世の中にセキュリティの専門会社は非常に多いのですが、セキュリティソリューションの販売や脆弱性診断、ペネトレーションテストなど、それぞれのセキュリティ分野に特化したスペシャリストが大半なのではないかと思います。

flexy

柔軟な働き方、柔軟な技術選定が若い会社としての強みと魅力

――今、ご支援中ですが、お互いへのメッセージがあればぜひお願いします!

阿部:結果を見るとセキュリティ面について大きな問題は生じておらず、スムーズにプロジェクトを進められています。その点はやはり入っていただいて良かった部分ですね。 大和田さんがいてくれたから会社は今の状態に至れたのだと思います。

大和田:タイミーさんは阿部さんを中心として、メンバーのみなさんがすごく楽しそうに仕事をしていて、そしてみなさんが非常に素直です。今後も若い人たちが自由に柔軟な考えで働ける会社として頑張ってほしいと思います。その中でやはりガバナンスやコンプライアンス、セキュリティはしっかり守っていく必要がありますし、私が協力できればうれしいですね。

――会社として特にPRしたいポイントはありますか?

阿部:最近のリリースで言うと「タイミートラベル」という、地方創生をコンセプトとしたワークシェアリングサービスを提供しはじめました。 「第二の故郷を見つける」がテーマになっていて、旅行する気分で地方を訪れ、現地の人とふれあいながら働けるというものです。 タイミーでご紹介する仕事はどうしても都会中心になってしまうので、人手不足で困っている地方に対してタイミーが連携できないかと考えました。

機能自体はさほど複雑ではないのですが、実はこのサービスは1名のエンジニアが1~2ヶ月ほどで全て開発しています。使っているのは、Firebaseです。若い会社ですから技術選定にもいろいろとチャレンジできるという点は、当社の面白さだと思います。

FLEXYとはABOUT FLEXY

いい才能が、集まっている。いい仕事も、集まっている。

『FLEXY』はエンジニア・デザイナー・CTO・技術顧問を中心に
週2-3日 x 自社プロダクト案件を紹介するサービスです