SmartHRのアプリストア「SmartHR Plus」のこれまでとこれから。

〜パートナーセキュリティマネージャー（戦略立案・実行）を募集〜

こんにちは。
SmartHRでプラットフォーム事業を担当している井関です。

この記事ではSmartHRのプラットフォーム事業についてご紹介をします。

SmartHRは大きくは労務管理、タレントマネジメントを柱とするSaaS事業とプラットフォーム事業の２つを行っています。

プラットフォーム事業とは、いわゆるアライアンス事業で、SaaSベンダーであるSmartHRの周辺を他社のSaaSパートナーさんと協力して、ユーザー企業の課題を解決することを目的とした事業です。

サービス名称は「SmartHR Plus」として2023年の12月に正式リリースしました！
SmartHR Plusは主にアプリストアの機能を提供しており、現在35の連携パートナーさんのアプリを掲載しています。
コンセプトは「SmartHRをもっと便利にするアプリストア」としてSmartHR導入企業の約半数に掲載アプリをご利用頂いています。

このアプリストアはSmartHRの管理画面とシームレスに繋がっており、SmartHRの管理アカウントによって、連携パートナーさんのアプリのトライアル接続、本接続、解除等が行えるようになっています。また、パートナーさんへ直接デモ依頼や資料請求なども行うことが可能です。

SmartHR Plusでのアプリケーション連携

現在のSmartHR Plusに掲載しているアプリの提供元は3パターンあります。一つ目は安否確認、勤怠管理、健康管理等のSaaS事業を行っているパートナーさん、2つ目はオリジナルアプリを開発頂いている開発パートナーさん、そして、3つ目はSmartHR社内のエンジニアが実験的に開発したSmartHR　Labsです。オリジナルアプリはSmartHRを熟知している開発会社さん、ユーザー企業さんがSmartHRユーザーさんの声を元に、SmartHRにこんなアプリがあったらもっと便利になるのコンセプトど真ん中のここにしかないアプリです。SmartHR LabsはSmartHRを開発している社内のエンジニアが商品化するにはまだ早いけど、こういうアプリがあるとユーザー課題を解決できそうというエンジニア発信のアプリです。

SmartHRと外部アプリケーションの連携は、主にはパートナー向け利用規約
https://www.smarthr.plus/partner-terms
とAPIレファレンスhttps://developer.smarthr.jp/
の2点によって定義されています。オリジナルアプリ開発向けにはSmartHRのデザインシステムも公開しています。これら以外にも非公開APIやSmartHRプロダクトとの連携アダプター、外部アプリケーションとの連携導線など非公開の連携機構もあり、連携内容、ユースケースによって様々な連携機構を組み合わせることで、SmartHRプロダクトと外部アプリケーションの連携を実現しています。

SaaS連携でできることへの挑戦

プラットフォーム事業の立ち上げをするにあたり、最初に考えたのは、SmartHRはインフラ、ミドルウェア、ソフトウェアのどのレイヤーまでをサービスとして提供するかという点でした。

その中で大事にしたのは、エンジニアファーストという視点でした。ミドルウェアまで提供する利点としては、SmartHRの認証基盤や開発環境、各種機能をモジュールとして開発者へ提供することができるようになる一方で、この規定の中で、開発して頂くといういわゆる"縛り”が多くできてしまうという点が懸念でした。そこはやっぱりオープンでありたい、エンジニアに自由に開発して頂ける環境を提供してこそ、私達の目指すプラットフォームの世界が実現できるという思いから、アプリケーションレイヤー同士の連携でどこまでいけるかという挑戦が始まりました。

SmartHRと外部アプリケーションの連携の一丁目一番地は、ユースケースでいうと、SmartHRに格納されている従業員データの外部アプリケーションへの移動です。SmartHRというSaaSは入社手続き、身上変更の申請を担うポジションのSaaSのため、入社する従業員の情報や身上変更があった従業員の情報が最初に登録されるシステムという特性があります。そのため、SmartHRの従業員情報を勤怠や給与などの他システムへ移動させたいというニーズが生まれます。

最初にやったことは、ではどうしたら従業員データの連携を安心、安全にユーザーが行うことができるかという点で、SmartHR内で活用しているOAuth認可機構を外部へ公開するところから始まりました。これにより、ユーザーは従来までは必要とされたアクセストークンを意識することなく、アプリケーションレイヤーでの接続を実現できるようになりました。

次にSSO、デザインシステムの公開、SmartHR内に導線メニューを追加したりと次々に連携機構のバリエーションを増やしました。このあたりからオリジナルアプリもリリースされるようになりました。

そして、現在、連携機構でいえば第３世代の連携に挑戦しています。アプリケーションレイヤー同士の連携で、かつ地続きの連携体験をどのように実現するか、ID連携の強化、導線強化、マッピングの強化などに力を入れています。

SmartHR Plusのセキュリティ

アプリストアに掲載している全てのアプリは、SmartHRの審査を通過したアプリケーションのみになっています。新規リリースのタイミングだけでなく、アップデートのタイミングにおいても審査を行っています。
現状審査の具体的な内容はセキュリティ管理の問題で公表していないのですが、主には次の2点によってセキュリティ審査のレベルを変えています。

１つ目はTierの問題です。
SmartHRの特性は全てのTierが対象である点で、そうするとセキュリティーに対する要求レベルもTierによって異なります。SmartHRはSMB向けSaaSでもなければ、エンタープライズ向けのSaaSでもなく、全Tier向けのSaaSという特徴があります。当然Tierによって要求される内容、レベルも異なります。

2つ目は連携するデータ内容の問題です。
SmartHRは入社手続き、身上変更、年末調整、評価というプロセスによって、従業員個人の基本情報、組織情報、家族情報、評価情報、その他サーベイ等による情報などを格納する人事データベースとして利用されています。つまり、氏名やメールアドレスのような基本情報もあればマイナンバーのようなよりセンシティブな情報もあります。これらの情報のうち、どの情報を外部連携するのかによって、セキュリティレベルは変わります。

主にはこの２つの掛け算によって審査レベルを設定し、そのレベルに応じた適切な審査とは何か、それはどのようにしたら実現するのか、そしてそれを継続的に管理する仕組みはどのようにして実現するのかという事が求められます。

SmartHR Plusの次のフェーズに向けて、「パートナーセキュリティマネージャー（戦略立案・実行）」を募集！

現在はまだユーザー要望にアプリ数が追いついていないのが現状です。そのため今後はSaaSベンダーさん、開発パートナーさんを増やし掲載アプリ数をもっともっと増やしていきたいと思っています。そうなると問題はセキュリティー管理です。アップデートしないアプリは存在しない以上、アプリの数が増えれば増えるほど審査対象も増えます。成長スケールに耐えうるセキュリティーをどのようにしたら担保し続けることができるかが僕たちの次の命題です。

そうした背景の中、今回プラットフォーム事業専任のセキュリティマネジャー「パートナーセキュリティマネージャー（戦略立案・実行）」を募集します。
アプリケーションセキュリティのマネジメントのご経験がある方、新しいビジネス構築に携わりたい方、そして何よりSaaSが好きな方にはうってつけのポジションです。ご興味のある方はぜひ応募してください。

募集要項：https://open.talentio.com/r/1/c/smarthr/pages/90054

カジュアル面談申込みフォーム：https://open.talentio.com/r/1/c/smarthr/pages/45042/apply