サイバーセキュリティの転職求人

Department overview：

Our company is looking for a Business Manager to join the IT Chief Information Security Office organization. This group is responsible for Security Strategy, Security Operations, Security Architecture, Identity and Access Management and Technology Risk. The candidate will be part of the IT CISO organization and work closely with the CISO office, Global Business Managers, our Business Management Shared Services, across all regions.

当社では、情報セキュリティ統括部門のビジネスマネージャーを募集しています。このグループは、セキュリティ戦略、セキュリティ運用、セキュリティアーキテクチャ、IDおよびアクセス管理、およびテクノロジーリスクを担当します。候補者は、IT CISOに属し、CISO、グローバルビジネスマネージャー、ビジネスマネジメントシェアードサービス、すべてのリージョンに渡って密接に連携します。


Role Overview / Responsibilities：

・Maintain monthly financial and headcount forecast, including coordination and creation of annual budget
・Produce monthly financial reports for department heads including explains for all variances and tracking of capitalisation / P&L to plan
・Review month end accurals, prepayments and postings to ensure accurate monthly financials
・Review purchase / spend requests for adherence to budget
・Review and create project allocation keys to facilitate accurate cost dispersments, ensuring appropriate review and sign off with the business
・Contribute to regional budget and cost reviews as required
・Monitor hiring pipeline in compliance with headcount targets
・Manage hiring, onboarding and offboarding process for employees and vendors, including completion of administration of joiner/leaver process, coordination with HR and updating forecasts and headcount records
・Oversee sourcing process and flag issues where sourcing delays are impacting delivery against commitments
・Maintain organizational information including org charts, occupancy plans and HR Systems as required
・Ensure group compliance for mandatory training, appraisals, timesheets, etc
・Prepare reports and presentations for CISO BU Leads, Global CISO head and regional department heads
・Assist CISO Technology staff of all levels with ad hoc / day-to-day requests
・Identify opportunities for process optimization within the team
・Liaise with regional technology teams as required

・年間予算の調整と作成を含む月次財務および人員数の予測
・部門長向けの月次財務レポートの作成（計画に対する資産計上/損益の追跡、予実差の説明などを含む）
・月次財務の正確性維持/管理：月末の実績、前払、転記の確認
・予算に沿った購入/支出リクエストのレビュー
・プロジェクト配賦キーを確認・作成し、適切なレビューを実施、コスト分配の正確性確保、ビジネス側のサインオフを得る
・必要に応じて、地域の予算とコストのレビューを実施
・人数目標に沿った採用パイプラインの監視
・従業員とベンダーの採用、オンボーディング、オフボーディングのプロセスの管理（入社/退職プロセスの管理の完了、人事との調整、予測と人数レコードの更新を含む）
・調達プロセスの監督（調達の遅延がコミットメントに反して提供に影響を与える問題にフラグを設定）
・組織図、占有計画、人事システムなどの組織情報を適宜最新化
・必須のトレーニング、評価、タイムシートなどのグループコンプライアンスの確保
・CISO BUリーダー、グローバルCISOヘッド、および地域の部門長向けレポートとプレゼンテーションの準備
・すべてのレベルのCISOテクノロジースタッフが臨時/日常的な要求に対応できるよう支援
・チーム内におけるプロセス最適化機会の特定
・地域のテクノロジーチームと適宜連携

【ポジションについて】
本ポジションでは、AWS・Azure・Google Cloudの3大クラウドに加え、SelesforceやGoogle Workspaece・Microsoft 365を対象に、利用状況におけるセキュリティ上の問題がないかを確認する「クラウド診断」を実施しています。

IaaS/PaaSからサーバレス（FaaS）、コンテナ（CaaS）までお客様の利用形態に合わせたプランを提供しており、サービスが多岐にわたるため、クラウドに関する知識を自らキャッチアップいただける方を歓迎しております。

【業務内容】
・クラウド環境のセキュリティ設定に対する診断
・営業商談に同行し、課題のヒアリング及び技術的側面での支援
・診断結果報告書作成
・診断結果報告会の実施 etc
（業務の変更の範囲：会社の定める業務）

【社内の雰囲気・社風】　
Webアプリケーション診断やペネトレーションテスト（侵入テスト）、リバースエンジニアリングの分野で高い技術力を有するセキュリティエンジニアが複数名在籍していますので、圧倒的なスキルアップを目指すことが可能です。
スキルを磨くための自主研究やCTFへの参加を推奨し、DEFCONやCODEBLUEなどのカンファレンスにも積極的に参加しています。

また、「セキュリティエンジニアが日本一働きやすい」環境を目指しており、
フルフレックスやリモートワークなど、物理的・時間的制約を受けない自由な働き方を推奨しています。

【教育体制】
OJTにより先輩社員と同じ案件に入っていただいたり、より高度な脆弱性や診断手法についてその分野のエキスパートがスポット的な研修を定期的に実施しています。

・グループ全体に対するセキュリティシステム安定運用に向けた各種取り組み（全端末/サーバーシステムへのCyber製品の運用・活用、不具合対応、サービスレベル管理等）
・導入Cyber製品運用におけるNIST、ISMSアセスメント準拠・維持
・グローバルと連携して日本国内へのセキュリティ施策導入支援
・製品導入前評価（Poc)・導入計画・システム設計・運用設計・テスト計画および実施に向けてのサイバーセキュリティグループ内および他グループチームとのコミュニケーション

●想定キャリアパス
サイバーセキュリティグループ部門のチームリーダー、グループリーダー、CISO

●アピールポイント
エンジニアリング担当として、当社グループにおけるサイバーセキュリティ施策の新規導入支援やその維持管理を通じてセキュリティレベル向上に向けて幅広くご活躍いただけます。特にITインフラやITヘルプデスクの経験をお持ちで、セキュリティに対する意欲や英語を使ったミュニケーションへの興味があればぜひご応募ください。
会社として、近年、職員のスキルアップにも力を入れており、誰もが利用できるeラーニングツール（セルフラーニング）やオンライン上での集合研修制度もあり、コンテンツは定期的に更新されていますので最新スキルや業務上不足しているスキルを学んだり、また改めて学びなおしする機会を得ることができます。

●英語の使用頻度
・導入済セキュリティ製品の運用上の問い合わせや相談（機能確認や障害対応など）（メール・チャット）
・新規セキュリティシステムの導入や製品入れ替え、大幅な機能更新時の当社グローバルオフィスもしくはアジア・パシフィック地区との情報交換（メール・チャット・会議)

【担当業務】
サイバーセキュリティ担当として、CSIRTの運営（平時・有事対応）、セキュリティバイデザインの実施、アクティブディフェンスの構築、統括管理業務（委員会運営、規程類整備、教育研修等）などに従事いただきます。

<月平均残業>20時間程度
<在宅勤務>週2回程度
<使用ツール>Teams等一般的なMicrosoftのツール

<業務上期待すること>ルーティン業務の着実な遂行は最低ラインとして、リスクの識別や実効性ある施策推進などによる、当行グループ全体のリスク削減・リターン向上への貢献

サイバーセキュリティに関するソリューション開発および、コンサルティング〜CSIRTの運用支援まで、幅広い活動推進できる方を募集しています。
セキュリティの領域をコアスキルとしながらもその他の領域（クラウド、ネットワーク等）の各種活動への参画も可能です。

＜業務例＞
・セキュリティリスクアセスメントおよび対策ロードマップ策定業務
・お客様CSIRT構築支援、運用支援業務
・マルウェア対策、ネットワークセキュリティ対策などの提案、構築業務
・アライアンスパートナーとの共同商品開発、販売支援業務
上記に限らず、お客様のニーズをキャッチアップし、新たな企画や提案を積極的に実施いただける方を歓迎いたします。

＜業務の魅力＞
当社では、サイバーセキュリティの脅威よりお客様のIT資産を守るため、各種対策ソリューションを開発し提供しており、アプリケーションからインフラ領域まで広くカバーしたビジネスを推進しています。
また、我々のお客様へシステムの提供にあたっては、上流工程から保守運用までスコープとしております。
特に上流工程においてのセキュリティコンサルティングでは、お客様経営陣〜社員スタッフまでを網羅したセキュリティロードマップ立案の要求にこたえております。
実装においては、お客様ニーズやお客様の気が付かないところをセキュリティ対策全般と幅広い領域で、新ソリューションの発案、企画など自身のキャリアと熱望を生かした新ビジネスの展開に携わる機会があります。
さらにアライアンス活動として、提携パートナ他社を体制に組み込み、統合ソリューションとして新しいソリューション立上げをすることが可能です。

＜入社後の役割＞
サイバーセキュリティ対策全般での事業計画／プロジェクトのコンサルタントやPMや責任者をになっていただきます。

サイバーセキュリティに関するソリューション開発および、コンサルティング〜CSIRTの運用支援まで、幅広い活動推進できる方を募集しています。
セキュリティの領域をコアスキルとしながらもその他の領域（クラウド、ネットワーク等）の各種活動への参画も可能です。

＜業務例＞
・セキュリティリスクアセスメントおよび対策ロードマップ策定業務
・お客様CSIRT構築支援、運用支援業務
・マルウェア対策、ネットワークセキュリティ対策などの提案、構築業務
・アライアンスパートナーとの共同商品開発、販売支援業務
上記に限らず、お客様のニーズをキャッチアップし、新たな企画や提案を積極的に実施いただける方を歓迎いたします。

＜業務の魅力＞
当社では、サイバーセキュリティの脅威よりお客様のIT資産を守るため、各種対策ソリューションを開発し提供しており、アプリケーションからインフラ領域まで広くカバーしたビジネスを推進しています。
また、我々のお客様へシステムの提供にあたっては、上流工程から保守運用までスコープとしております。
特に上流工程においてのセキュリティコンサルティングでは、お客様経営陣〜社員スタッフまでを網羅したセキュリティロードマップ立案の要求にこたえております。
実装においては、お客様ニーズやお客様の気が付かないところをセキュリティ対策全般と幅広い領域で、新ソリューションの発案、企画など自身のキャリアと熱望を生かした新ビジネスの展開に携わる機会があります。
さらにアライアンス活動として、提携パートナ他社を体制に組み込み、統合ソリューションとして新しいソリューション立上げをすることが可能です。

＜入社後の役割＞
サイバーセキュリティ対策全般での事業計画／プロジェクトのコンサルタントやPMや責任者をになっていただきます。

サイバーセキュリティに関するソリューション開発および、コンサルティング〜CSIRTの運用支援まで、幅広い活動推進できる方を募集しています。
セキュリティの領域をコアスキルとしながらもその他の領域（クラウド、ネットワーク等）の各種活動への参画も可能です。

＜業務例＞
・セキュリティリスクアセスメントおよび対策ロードマップ策定業務
・お客様CSIRT構築支援、運用支援業務
・マルウェア対策、ネットワークセキュリティ対策などの提案、構築業務
・アライアンスパートナーとの共同商品開発、販売支援業務
上記に限らず、お客様のニーズをキャッチアップし、新たな企画や提案を積極的に実施いただける方を歓迎いたします。

＜業務の魅力＞
当社では、サイバーセキュリティの脅威よりお客様のIT資産を守るため、各種対策ソリューションを開発し提供しており、アプリケーションからインフラ領域まで広くカバーしたビジネスを推進しています。
また、我々のお客様へシステムの提供にあたっては、上流工程から保守運用までスコープとしております。
特に上流工程においてのセキュリティコンサルティングでは、お客様経営陣〜社員スタッフまでを網羅したセキュリティロードマップ立案の要求にこたえております。
実装においては、お客様ニーズやお客様の気が付かないところをセキュリティ対策全般と幅広い領域で、新ソリューションの発案、企画など自身のキャリアと熱望を生かした新ビジネスの展開に携わる機会があります。
さらにアライアンス活動として、提携パートナ他社を体制に組み込み、統合ソリューションとして新しいソリューション立上げをすることが可能です。

＜入社後の役割＞
サイバーセキュリティ対策全般での事業計画／プロジェクトのコンサルタントやPMや責任者をになっていただきます。

・システム、ネットワーク、エンドポイント等のセキュリティの分析評価・実装・運用を立案、実行
・セキュリティ規程策定、教育、訓練等のセキュリティ管理の立案、実行
・セキュリティ製品ベンター、運用サービスベンダーのマネジメント
・セキュリティインシデントが発生した場合の対応
・最新のテクノロジーやセキュリティに関するトレンドの把握

弊社全体のセキュリティに関わる推進部分を担うことをミッションとして、社内のセキュリティポリシーの策定や、規定整備、強化プロセスの確定、新しいセキュリティ機器の導入などを行っています。

【仕事内容】
・全社のセキュリティ強化に向けた仕組みづくり、または組織づくり
・中長期的なセキュリティ強化とパブリッククラウドでのシステム基盤をベースとするIT戦略構想の実現
・メンバー3名程度のマネジメント及びセキュリティのロードマップの策定、セキュリティ強化に向けた仕組みづくり

【働く魅力】
・セキュリティ部は2022年に発足した部で、まだできたばかりの組織のため、年齢、社歴関係なく、自分たちでより良いやり方を考えて実行できる、裁量権の広い点が魅力です
・更に上流のロードマップの策定や仕組みづくりに主体的に関わることができる点もまたマネージャークラス求人だからこその魅力です

本ポジションではエンジニアリングマネージャーとしてシステムの運用の効率化、セキュリティ強化などを通して、全社の信頼性を向上させる全般的な業務をお任せします。
当コンテンツをより魅力的なプロダクトにするべくエンジニアリング組織はじめ、全社横断的にコミュニケーションを図り業務を遂行していただきます。

＜業務例＞
・SREグループのテクニカルマネジメントとして技術コントロール、方針決め、自部門以外との調整など
・中長期経営計画をベースとした採用推進、目標設定、育成などのチームマネジメントの推進
・組織マネージャが担当するマネジメント全般のサポート
・チームの説明とマネジメント範囲の一例
　・Observability チーム：NewRelicモニタリングからの、各チームとの改修推進、課題、インシデント管理など
　・DevOps チーム：サービス（自作を含む）を活用した運用効率化、改善の提案、構築、CI/CD改善
　・SysOpsチーム：AWS,GCP等の各種利用クラウドサービスの管理、運用（権限管理など）、各サービス利用におけるコスト分析及び最適化提案
　・Securityチーム：プロダクトセキュリティにおける予防策設計/インフラ実装・運用、脆弱性診断など

DX化の進む昨今において、情報セキュリティは全ての企業にとって喫緊の課題となっています。

そのような社会環境の中で、今回のポジションでは情報セキュリティ管理の最前線にて大手製造会社の生産設備におけるセキュリティを企画・立案から導入・運用支援に至るまで広範にご支援していくことになります。

クライアントのセキュリティ的な脅威に対しては、計画された施策が正しく実行されるように日々関係各所への働きかけを通して運用を推し進めていく必要があります。

加えて、当社がコンサルティング会社だからこそ蓄積されているノウハウや経験を生かし、企画や提案までをワンストップで提供していく事もまたクライアントへの重要な価値提供となっています。



＜担当業務＞

・設備へのセキュリティ対策窓口運用、対策導入推進

・セキュリティ対策導入に伴うユーザからのメールや電話での問い合わせ対応

・各部門への依頼や進捗管理など設備向けセキュリティルールに基づく対策導入推進

・推進に伴う運用設計

求める役割
・セキュリティ施策の推進 （決定された施策を正しく理解し、運用計画を立案したうえでお客様を巻き込みながら推進）

・企画チームやネットワークチームなどの関係各所との連携

・日々の業務を正確に行いつつも、上流工程の企画提案があるとなお良い

入社直後は、設備関連のセキュリティ施策に関して、施策状況の調査や施策に関する対応などをしながら、お客様の環境やルールを覚えていただきます。また、スキルによってはお客様内のサーバリプレースや、各種管理システムの維持運用、それに伴うスクリプトファイルの作成などをお願いします。

業務を理解していただいた後は、各施策に対してお客様のルールを把握しつつ、運用設計を行ったり、セキュリティに関する課題感や意向をクライアントからヒアリングし、それを元にしたセキュリティ施策の企画立案から提案、設計までを一気通貫で担って貰ったりと上流工程を対応いただくことを期待しています。

その後については、一部門のセキュリティに留まらず、企業全体のセキュリティ管理への挑戦も見込める他、クライアントにより近い立場で課題解決に取り組むことが出来るITコンサルタントを目指していく事も可能であり、多様なパスがあります。

【募集職種の期待役割】
サイバーセキュリティに関連する、国内外の脅威動向や法規制動向、技術動向についての情報収集・分析・情報発信を行い、お客様のセキュリティ戦略策定支援への提言や、官公庁等への政策提言、社会提言等の活動をリードいただきます。
リサーチ対象としては主に脅威、法規制、先端技術の3つの領域があるため、ご志向や強みに応じて核となる領域の情報収集・分析技術を身に着けて、プロフェッショナルを目指したい、という思いを持つ方の活躍を期待しています。

【具体的な職務内容】
サイバーセキュリティに関連する脅威動向や、規制動向、技術動向等の最新動向についてリサーチし、分析結果をもとに、当社事業や顧客課題の解決提案・推進のために、以下の業務を一部、もしくは全般を担当いただきます。

●リサーチ業務
・セキュリティに関連する脅威・規制・技術のいずれか（または複数）の領域の最新動向について調査・分析
・情報収集/分析プラットフォーム・ツールの作成等

●社会提言・対外発信
・分析結果を踏まえた社会提言・対外発信活動

●事業部門の支援
・事業部門と連携し、サービス拡大・新規事業創発に必要な分析活動の支援

【携わるビジネス・サービス・テーマ】
特に経済安全保障やAI、デジタルクライム等の既存事業との対応を強化しています。

●業務内容
本ポジションでは、急成長するサービスに対し、全社におけるサイバーセキュリティに関する戦略の検討を行い、各部門の担当者と連携を取りながら、サービスの信頼性の向上に取り組んでいただきます。
また、今後当社のセキュリティ体制を強化していくにあたり、セキュリティエンジニアの育成やOSSを活用しながらコミュニティへの貢献をしていただきます。

入社後は、プロダクトセキュリティ（主に当社が提供するインターネットサービス類）を中心としたサイバーセキュリティ統括として、各サービスにおける環境の把握やリスクアセスメント、また、アセスメント結果に対するセキュアなアーキテクチャの提案、セキュリティ対策関連のマネジメント、脆弱性対策状況の把握や対応指示、インシデントレスポンスのための基盤整備等を行っていただきます。

※（雇入れ直後）プロダクトセキュリティ戦略マネージャー（変更の範囲）当社業務に関わる全般

＜業務内容例＞
・プロダクト（主に当社が提供するインターネットサービス類）に関するサイバーセキュリティ統括
・サイバーセキュリティ戦略方針決定、マネジメント
・プロダクトに関するセキュリティ、クラウドセキュリティのインシデント予防策提案・マネジメント
・セキュリティインシデント発生時の対応（CSIRT）
・従業員（役職者含む）のサイバーセキュリティ教育・訓練等の啓蒙活動
・外部ベンダーや各種ステークホルダーとの調整

・サイバーセキュリティ企画・運用

金融機関でも国内有数のサイバーセキュリティ態勢を有する当社グループの一員として、日々増加・高度化しているサイバー攻撃の脅威への対応や、デジタルトランスフォーメーション（DX）のセキュリティ対策を支える、ITセキュリティに関する要員を募集。

【業務】
・CSIRT（Computer Security Incident Response Team）の一員としての、セキュリティ・オペレーション・センター（SOC）におけるセキュリティ監視の企画・運用
・各種システムに対する脆弱性管理・診断の企画・運用
・サイバーセキュリティ対策製品の企画・導入、及び運用
・情報セキュリティ関連のポリシー・スタンダードの策定
・システム設計・運用に関するセキュリティレビュー
・新技術や新サービスに関する各種セキュリティ・コンサルテーション
・国内外拠点・子会社に対するITガバナンス

当社サービスを構成するシステム群に対するセキュリティガバナンスもしくはCISRT業務

・電気通信サービスを構成するシステム群に対するセキュリティ設計コンサル・審査（Security by Designの推進）、セキュリティ検査、脆弱性管理
・有事統制（インシデントレスポンス）、訓練/演習企画、セキュリティ対策運用整理　等
・人材育成、社内外組織とのセキュリティ業務連携、社内コミュニティ運営、研修・イベント企画　等
・当社グループセキュリティ方針等に基づいた、電気通信サービスのセキュリティ対策基準・マニュアルの策定、社内への浸透

金融持株会社である当社のIT統括部にて、下記業務に携わっていただきます。
※その他、ご志向・ご経験に合わせて他領域の業務に拡大していく可能性もあります。

ご経験・ご要望に応じて、以下のような業務をご担当頂きます。
●グループベースの重要セキュリティ施策の企画立案、推進、運営管理
グループ全体の情報セキュリティ／サイバーセキュリティに関する管理態勢強化にむけて、グループベースでの重要セキュリティ施策の企画立案、推進、運営管理等の業務を担当して頂きます。
＜具体的な業務の例＞
・目標設定／現状把握／ギャップ分析
・戦略策定／ロードマップ開発
・個別施策の企画立案、推進、運営管理
・ルール／プロセス類の整備
・関連するセキュリティソリューションの導入、導入支援
・実施状況モニタリング／改善計画策定・実行
・関連ステークホルダー（※）との目的、成果、実現方法、役割分担、スコープ、スケジュール、コスト等の調整及び合意形成
（※）Cレベルの経営幹部を含む

●グループベースのセキュリティ・ガバナンスに関する態勢整備
グループ全体の情報セキュリティ／サイバーセキュリティに関する管理態勢強化にむけて、グループベースでのセキュリティ・ガバナンスの各領域の制度設計や運営管理等の業務を担当して頂きます。
＜具体的な業務の例＞
・ガバナンス事務局の運営
・グループ共通の社規則・ガイドライン等の制定・改廃、グループ各社の遵守状況の点検と遵守の支援
・当グループのサイバーセキュリティ関連の取組に関する成熟度評価
・当グループの新規事業等の大規模IT-PJTのセキュリティリスクレビューやシステムリスク評価
・当グループのセキュリティ・インシデント対応の統括
・当グループのデジタル金融サービスの不正利用対策推進
・当グループの脅威・脆弱性管理の統括
・セキュリティソリューションの導入、導入支援、運用管理

当社の情報資産を守ることはもちろん、当社のサービスを利用しているお客様に対して、安心してサービスを利用していただけるように、経営層や各事業・エンジニアと協力し情報セキュリティを推進していきます。
またリスクを減らすというセキュリティの問題解決だけにとらわれず、事業が成長するのを止めない前提で、改善であったり対策のバランスを考え実行してもらいます。
将来的にはグローバルでのセキュリティに携われたり、セキュリティ以外の領域（例えばインフラ部門やBPR部門など）への役割の拡張なども可能です。

＜具体的な業務内容＞
・国内、国外の情報セキュリティ戦略の策定
・領域における情報セキュリティ対策の推進
　・Web領域
　　-アプリケーション（サービスのサイト）における脆弱性対策の推進
　　-サービスのサイトに紐づくIaaSなどのインフラ（OS・ミドルウェア）の脆弱性対策の推進
　　-開発エンジニアの教育
　・事業領域
　　-CRMや各事業で必要なツール等自体のセキュリティ向上
　　-情報の流れと事業を理解したうえでの適切なシステム構築に向けた提案や、業務プロセスの改善
　　-各種ツールの運用見直しや、ツール自体の標準化の対応
　・社内IT領域
　　-ゼロトラストネットワークの構築
　　-シャドーITの可視化と是正対応、基準の作成
　　-内部監査のための仕組み検討と構築
・従業員に対する情報セキュリティの教育
・インシデント対応

＜この仕事のやりがい／キャリアアップ＞
・経営層や事業に近い立場で当事者意識をもって幅広い業務に携わることができます。
・IT・セキュリティの知識、業務改善の経験・能力を生かして主体的に行動し、成果を出すことで当社全体の情報セキュリティや社内ITの戦略策定や実行などを担う責任者へのキャリアアップを目指すことができます。
・海外子会社の情報セキュリティの戦略策定や推進・実行を担う役割へ拡張ができます。
・社内IT部門や業務改善等を行うBPR部門への役割拡張ができます。

グループAM会社のITセキュリティに関する様々な活動をリードする経験豊富なITセキュリティ専門人材を募集します。
グループAM会社は東京に本社を置き、国内および海外拠点のITインフラストラクチャ―および IT セキュリティ全般を統括管理しています。 本ポジションでは、IT セキュリティの原則、テクノロジー、ベストプラクティスに関する深い理解と経験が求められます。
本ポジションでは、複雑化し変化の激しいサイバーセキュリティ問題に対処するために、ビジネスのあらゆるレベル、国内外の拠点とコミュニケーションをとる事ができ、サイバーセキュリティの専門知識を生かした信頼できるアドバイザーおよびプロジェクトマネジャーとして機能する事が期待されます。

グループAM会社のITセキュリティリードは、ビジネスアプリケーションやITインフラ（サーバー、ネットワーク、通信回線など）の安全な提供と保守をサポートする責任を負う重要な役割です。 IT セキュリティ リードには、各国の関係各チームと協力して、望ましいセキュリティ体制と効率的な運用の構築を推進していただきます。そのためには、あらゆるレベルの人々と協力する必要があります。

役割には次のものが含まれます。
・サイバーセキュリティ目標の継続的な達成のためのセキュリティ標準、ポリシーガイドライン、および適切なアーキテクチャ原則の設計と実装
・グループのサイバーレジリエンス計画に沿ったサイバーセキュリティ対応方針の策定、プロジェクトの計画および推進
・グループのITセキュリティチームとの連携・協力
・ITセキュリティ製品/ベンダーの導入と管理
・CSIRTの統括・運営
　-ITセキュリティに関する情報の収集・分析
　-ITセキュリティに関する社内研修、ワークショップ、情報発信の実施
　-セキュリティインシデント時の情報の編集、分析、および報告
・ITセキュリティ機能の継続的な改善 − ITセキュリティにかかる学習および開発計画の策定及び実施（従業員教育、セキュリティチームの育成等を含む）

主に以下を含むサイバーセキュリティグループ運営業務
・サイバーセキュリティグループ全体の中期および年間活動計画策定支援とその進捗・維持管理
・サイバーリスクレポートの統括（メトリクスの定義や改善、データ収集、フォーマット化など）
・サイバーセキュリティグループ予実管理
・サイバーセキュリティグループ横断案件や特命案件対応（プロジェクトもしくはタスク）

【想定キャリアパス】
サイバーセキュリティグループ部門のチームリーダー、グループリーダー、CISO

【アピールポイント】
グループ全体のサイバーセキュリティを支えているサイバーセキュリティグループでは、組織の成長戦略に伴う増強を図ってきており、将来のCISO Office新設を目標にPMOロールを募集、サイバーセキュリティの体制や業務の全体安定化に向けて各種整備や運営支援に努めていただきます。
当ポジションは主に組織改革や安定化を目的としたポジションのため、組織やプロジェクト単位でPMOのご経験があり当グループの成長・発展に向けてチャレンジしたい方は是非ご応募ください。サイバーセキュリティ専門知識に精通していなくても、業務を通じてキャッチアップいただけます。
また、当ポジションではAsia Pacificとの業務連携があるため、海外メンバとのコミュニケーションの機会もあります。
CISOがAsia Pacificのサイバーセキュリティを統括していることもありそのサポートもいただきます。CISOサポートについては、海外・国内それぞれの対応を幅広く期待します。

・企業のサイバーセキュリティ対策を支援するコンサルタント、インシデントハンドラー
・WEBアプリケーション、プラットフォーム診断、ペネトレーションテストを支援する診断士
・セキュリティ製品の評価・検証・サポート、ネットワーク及びセキュリティ対策の設計・構築、セキュリティレポート作成
・サイバーセキュリティ商材の営業担当

【詳細】
企業のサイバーセキュリティ対策や体制構築支援、現状把握のためのアセスメントなどサイバーセキュリティに係るコンサルティングを提案、実施します。
コンサルティング実施にあたっては、企業のネットワーク構成、システム構成、規定類等をお預かりし、調査報告書を作成し、あるべき姿の提言を行います。
また、サイバーセキュリティに関する商材も取り扱っており、販売に係る営業担当も募集しています。

社内のサイバーセキュリティに関して、以下業務をお任せします。
・ITセキュリティ製品の選定、設計、運用（製品例：メールセキュリティ、EDR、ウイルス対策、振る舞い検知、URLフィルタ、 DNS対策、SIEMなど）
・ITセキュリティ製品の導入に関する企画立案
・セキュリティ・インシデント発生時の対応（簡易なログ分析、封じ込め、ユーザヒアリング、SOC連携、復旧計画など）
・ITベンダーやSOCの管理

●担当頂く案件例
・セキュリティ関連の新企画をベンダーと一緒に設計レビューからリリース前の確認まで実行します
・セキュリティ・インシデント発生時に、SOCと連携し、インシデント対応を実行します

●このポジションの魅力
・最新のセキュリティ技術に触れ、大規模な金融機関システムのサイバーセキュリティに携わることができます
・インフラの仕事もあるので、セキュリティ経験が浅くても活躍の場が多数あります
・海外拠点のIT担当者との仕事もあり、英語力を活かせます
・自身の能力開発のため、業務時間内に毎月10時間以上の学習を推奨しています。Udemy、Pluralsight等の外部ベンダー研修や英会話などの研修を受講できます
・当社のITセキュリティに対し、裁量を持った立場で活動することができます。セキュリティ製品の企画・設計、そして運用まで携わることができ、エンジニアとして成長ができます
・当部のメンバーは、全員が ITベンダー/メーカー出身のキャリア入社です。そのため入社後も馴染みやすいカルチャーをお約束します。また30歳以下の若手にはインストラクターがつきますので、安心して入社いただけます（キャリア・インストラクター制度）

●部の紹介・概要
当社の情報システム部門として、ITインフラストラクチャーに関する企画、導入、運用を行っています。
当リテール部門では以下のサービスを提供しています。
・デスクトップ、モバイル、Office製品、音声およびビデオコミュニケーションツールといったデジタル・ワークスペースをユーザへ提供
・データセンタ、営業店/本社におけるネットワーク基盤の提供
・業務アプリケーション開発部門へのサーバ基盤/クラウド環境等提供
・データセンタの運営管理
・セキュリティ対策の企画立案、実行
・マーケットデータサービス（MDS）の提供　等

大きな組織を支える、数千万〜数十億という案件規模感のITインフラストラクチャーを担当頂きます。また主導的な立場で、中長期的なロードマップの策定やアーキテクチャの検討、導入〜運用まで一貫してみることができます。

業務内容
当社内全体における、
サービスや執務環境に対してのセキュリティリスクの評価、案件の相談対応を行います。

また、新たなセキュリティ強化対策を行う際に、各組織に対して導入支援を行います。
加えてISMSやプライバシーマークなど、外部機関の対応も行います。

上記の業務を遂行するにあたり、必要に応じてソニーグループのセキュリティ組織とも連携し、
方向性を確認しながら、懸念・課題などある場合は方針検討し改善を推進します。
そのうえで、通訳はおりますが英語でのコミュニケーションも適宜発生しますので、
自ら英語を活かすことも十分にできます。

その他グループ会社に対しても、
セキュリティ施策の推進を連携していきます。

●業務を通して身につくスキル
各組織へのセキュリティ施策導入においては自社サービスへの理解が深まるとともに、関係者との協議を通じて最も有効なセキュリティソリューションを提案するなどセキュリティのコンサルティングスキルも身につけることができます。
また、グループ全体のセキュリティコミュニティへに参画してグループ全体のセキュリティ施策の立案に関わるチャンスもあります。

●本ポジションについて
将来的に会社の定める業務（出向含む）へ変更となる場合があります

CISOの直下にて、当社グループ全体のセキュリティ運用業務の統括を担当いただきます。
（面接前にカジュアル面談を設定し、方向性の確認や担当頂く業務の詳細を刷り合わせすることが可能です）

・セキュリティ関連ログの監視分析を外部ベンダーと協力し対応（SOC対応）
・セキュリティインシデント発生時のトリアージ及び関連部署との連携（CSIRT対応）
・脆弱性の情報収集と社内各部署への対処指示と支援及び進捗管理
・従業員向けリテラシー教育・啓発とインシデント対応演習の企画と実施
・日本CSIRT協議会や医療ISAC等への対外活動

＜概要＞
●お客さまの大切な資産や情報を確実に守り、金融サービスを安定的に提供するために、サイバー攻撃の脅威に対応するメンバーを募集しています。
●CISO直轄の組織にて、ご自身の志向やご経験を踏まえて、幅広くご活躍いただきます。
●自ら企画・実行までを推進できる方、積極的に社内外のコミュニケーションを行い、セキュリティ運用強化および事業の成長を多方面からサポートできる方を歓迎します。

＜業務内容＞
以下の業務から、ご自身の志向やご経験を踏まえてお任せいたします。

・サイバーセキュリティ施策の企画・導入・運用
・脆弱性情報、脅威情報の収集・分析、および必要に応じた対応
・脆弱性診断の実施、またはサードパーティベンダーと協力して診断の実施し、脆弱性への対応を支援する
・新技術や新サービスに関する各種セキュリティコンサルテーション
・SIEM等を利用したセキュリティモニタリングおよび、自動化などの改善
・セキュリティインシデント対応
・サイバー攻撃演習の企画・運営
・主にエンジニア向け、セキュリティ啓蒙活動、研修の企画実施
・セキュリティ関連のポリシー・スタンダードの策定

情報セキュリティ室は、全社のセキュリティ機能を推進するためにセキュリティ専門家として、下記のような役割を担っております。

・ICT部門や危機管理部門等と円滑にコミュニケーションを行う
・セキュリティ対策の企画、ルール策定、運用
・セキュリティリスク管理の実施、セキュリティインシデントに備えた日常的なセキュリティ活動の効率化の推進
・社内と同様に国内外グループ会社とも連携し、各社のセキュリティ施策向上を支援

これらのセキュリティ活動を組織として取り組むためのチームマネジメントを実施いただきたいと考えており、
上記の他、下記業務も含めご担当いただきたいと考えています。

・セキュリティ対策の企画・立案・制定と継続的なセキュリティ運用の推進
・情報セキュリティへの効果的で具体的なセキュリティ施策の推進
・ICT環境、クラウド環境のセキュリティ施策の提言
・セキュリティリスク管理とセキュリティインシデント対応

本社のセキュリティ対策指針/戦略構想に基づき、各事業部門やグローバル地域にフィットしたセキュアな環境提供、脆弱性を是正するアセスメントや改善へのアクションプランの立案から施策遂行、およびインシデント発生時のCSIRT機能を主体に、ITツールを活用した業務省力化や. 業務プロセスの効率化などの企画・実行を担当いただきます。
配属当初は、経験・能力に応じて業務を配分します。

【職務詳細】
●サイバーレジリエンス向上を目指すアクションプラン・チームのメンバとしての活動業務
●セキュリティ・バイ・デザイン/アセスメント実施に繋がる最新のセキュリティ技術やネットワーク技術の調査や技術導入の為のアクションプランの立案と遂行
●インシデント発生時の状況把握・分析、適切なレスポンスを提供するCSIRT領域の役務に付随する業務（脅威動向と予測/有事の為の平時の準備・整備/IT-BCP訓練）
●IT利活用による業務省力化や. 業務プロセスの効率化などに寄与するセキュアなOAインフラ環境への提供立案とアクションプランの遂行

【ポジションの魅力・やりがい・キャリアパス】
・最新のセキュリティ技術の習得やその導入遂行等を通じて、セキュリティ技術のプロフェッショナルとしてキャリア構築が可能です。
（セキュリティ技術やIT利活用による業務改革の両面で幅広い業務をご担当いただけます）
・当社全体のセキュリティ方針を理解し、事業部門及びグループ会社のリスク低減を図ります。セキュリティに関する幅広い知識・経験を習得しながら、アセスメントして対応し、本社の施策等を理解してセキュリティ推進を行って頂きます。大きな組織ならではの観点を身につけることが可能です。
・グローバル地域への対応を通じて、語学力や異文化対応のスキル向上が可能です。

クラウドセキュリティのスペシャリスト。CNAPP等最新のクラウド製品群に関してのアラート対応やトラブルシューティング・調査業務などを想定。
マルチクラウド経験はもちろん、クラウドセキュリティの知識を身に着けることができ、SOCアナリストとしてのスキルも身に着けることができる。
技術的な面での活躍を期待するポジションですが、マネジメントのキャリアを歩むことも可能。

＜具体的な業務例＞
・CNAPP,CSPM,CWPP等のクラウドセキュリティ製品群の技術対応(アラート対応、調査、トラブルシューティング、技術サポート等)
・その他新規クラウドセキュリティ製品の検証
・既存EDR製品の技術対応

以下のいずれかの職務業務をご担当頂きます。
●サイバーセキュリティに関する戦略企画
●サイバーセキュリティに関するグループ・グローバル連携の強化推進
●サイバーセキュリティに関するポリシー/プロセス/手順書等の整備管理
●国内外セキュリティ機関との連携による、インテリジェンス調査・分析

●支店営業チームと連携した地域企業へのサイバーセキュリティコンサルティング
　・大規模企業等のシステム構成／機密情報取扱い／情報システム担当や委託ベンダーの情報セキュリティに関わる
　　運用実態ヒアリングとリスクアセスメント
　　‐　NW構成やクラウドサービス／デバイス利用状況やトラフィック、アクセス権限、ID認証運用状況の洗い出し
　　‐　最新のサイバー攻撃動向やセキュリティ技術水準、同規模他企業と比較した際のリスクアセスメント
　　‐　各種セキュリティガイドラインを踏まえた企業が講じるべきセキュリティ対策／運用のプライオリティ付け
　・リスクアセスメントを踏まえたセキュリティソリューション提案
　　‐　既存のソリューションや市中商材調達を踏まえた最適なソリューションモデル構築

●新ゼロトラサービスへ求める機能要件、サービス要件等を踏まえたサービス企画の推進
　・市場ニーズや業界動向、NTT東日本が保有するアセット（SOC運用ノウハウやリソース）を活用したゼロトラサービスに対する要件反映を主導
　・ゼロトラストセキュリティサービスに関わる社内外の関係者との調整・折衝・協力体制の構築
　・ゼロトラストセキュリティサービスに必要な技術的・商材的な知見やノウハウの習得・共有・教育

業務詳細補足
※その他会社が定める業務に従事する可能性があります

〇セキュリティ運用部とは
当社に対するサイバー攻撃から情報を守ることはもちろん、情報流出などのセキュリティインシデント（情報セキュリティ上の事故や問題）が発生しないように日常的に対策を実行し、システムのセキュリティ対策を強化していく役割を担っています。

〇職務内容
セキュリティソリューション運用関連：
・セキュリティソリューションの運用、管理

IDアクセス権管理関連：
・アカウント管理の改善および推進
・アカウントおよび権限管理の運用に関する事項
・代理店向けITツールのユーザー認証の運用

サイバーセキュリティ関連：
・サイバーセキュリティに関する企画および推進
・サイバーセキュリティに関わる脆弱性情報の収集および脆弱性対応
・サイバーセキュリティに関わる脅威の監視および分析
・サイバーセキュリティソリューションの運用、管理
・サイバーセキュリティインシデント発生時の対応および再発防止策の策定
・サイバーセキュリティインシデント対策本部の設置、運営および解散
・子会社、関連会社に関わるサイバーセキュリティインシデントの事前、事後対応推進

上記の中で今回の応募領域(実際に実施いただく職務内容)は、
IDアクセス権管理関連・セキュリティソリューション運用関連を担っていただきたいと考えております。

＜当該部署の魅力3点＞
1.充実した教育体制（セキュリティ・IT関連）
2.多種多様なメンバー構成
3.様々な技術や情報に触れられる

セキュリティ人材は今注目度が高い中、しっかりとした教育を受けながら実務経験も積むことができます！

国際部門ITリスク担当として、下記をご担当いただきます。
●各国当局要請に対する本部システム対応の対応方針策定
●各地域のITリスク担当と連携し、当局対応案件の推進をサポート
●本部システムの行内ポリシーとのGap remediationをシステム横断的に管理・推進

【具体的なプロジェクト】
各国規制要件の充足にむけた案件新たなガイドラインを踏まえたテクノロジーリスク、サイバーリスク対応の高度化案件

【想定されるキャリアパス】
当部でのキャリアに加えて、各業務部門や海外拠点への異動など。

サイバーセキュリティ教育・啓蒙等を通じて、グループのサイバーセキュリティカルチャーの育成と全従業員およびサプライチェーンのセキュリティリテラシの向上と維持を図る。

○カルチャー醸成にかかるプログラムの企画・推進
○サイバーセキュリティ教育コンテンツの企画・作成
○各種セキュリティ情報のリサーチおよび分析
○定期的な教育啓蒙に関するニュースレターの企画および配信
○セキュリティ人材育成プログラムの企画・推進

働き方改革・業務改革の中核を担う業務システム（イノベーションツール）に必要なセキュリティを推進するポジションです。

●募集部署（A&Aシステム）
監査業務ツールのローカライズ、推進・展開、導入支援、サポート、各種監査手続き・分析ツールの導入保守、メンテナンス、新グローバル監査ツールの導入に向けた情報連携、支援などを行う部署
※本ポジションは、A&Aシステムでの募集です

●業務内容
・セキュリティ構築（50％）
　 基盤やアプリケーション、セキュリティデバイスなどのセキュリティ検討と構築
・セキュリティ維持（40％）
　 セキュリティアラートの評価と対応、デバイスのチューニング、脆弱性対応
・ITガバナンス（10％）
　 ISMSや所内のセキュリティポリシーへの準拠

※すべて社内/グループ内向けの業務です

●魅力
・グローバル共通で使用されるITツールに関する、幅広い経験を積むことが可能です
・監査業務を革新する取り組みにおいて、セキュリティ構想・企画・開発・運用に、現場に近い立場で携わることができます
・当グループの基本方針に則り、原則在宅勤務です
・業務に関連するIT領域の資格取得、研修受講等について補助があります（会社全体としての制度）

●キャリアパス
・セキュリティチームのリーダー
・部門マネジャー

・当社のプロジェクトチームメンバーとして、顧客のITガバナンスのリスク評価、ITガバナンス強化施策の立案と実行、セキュリティ規程の策定、セキュリティ教育の企画、サイバー攻撃演習の計画策定といったITガバナンス強化のための企画と実行など、多岐にわたるGRC(ガバナンス・リスク・コンプライアンス)関連業務を担当します。
・顧客のITガバナンスの強化支援業務以外にも当社の他プロジェクトとワンチームで行う総合的なプロジェクトなど、様々なプロジェクトに参画いただく可能性があります。

【将来のキャリアパス】
セキュリティコンサルタントとしてその道を極めて頂く事も可能ですし、リスク評価の経験通じてシステムオーディター(システム監査)のキャリアを築くことも可能です。
サイバーセキュリティにおける他の領域を経験し、アーキテクト、プロジェクトマネージャとしてのキャリアパスもあります。
また、将来的に他部署に移動することで、当社の提供する様々なソリューションを経験頂く事も可能です。

【ポジションの魅力】
本案件に限定せず、将来的に様々な大手グローバル企業の幅広いサイバーセキュリティプロジェクトに携わることができます。
当社のグローバルチームとワンチームになってデリバリーしますので、難しさもありますが多国籍の仲間と多様な文化に触れることもできます。
また、デジタルソリューションやグローバルのITアウトソーシングの大規模案件の一員となり、デリバリーする機会もあります。

当ポジションは、関連部署と協力し、情報セキュリティとテクノロジーリスクの専門家で構成される小規模チームを率いて、当社のセキュリティとテクノロジーリスク管理方針、プロセス、手順との整合性を確保しながらローカル戦略の方向性を設定する。
リーダーとチームは、保険会社に代わってセキュリティ運用とテクノロジーリスク管理活動を実行するセントラルチームのガバナンスと監督に注力。
当社のビジョンは、成長をサポートし、顧客やステークホルダーとの信頼関係を維持するクラス最高の情報セキュリティとテクノロジーリスク管理を構築・維持すること。
リーダーは、社内外のビジネス環境に精通し、情報システムおよび資産が、テクノロジーの運用・技術上のリスクを軽減し、法律、規制、契約上の義務に準拠した、完全に機能する安全なモードで維持されていることを保証する。

【リーダーのスキル/責任】
・協働や技術的な強みを伝達するための新しい方法を設計・構築
・チームの成熟度測定を目的とした評価や調査を実施し、アジャイルプラクティスとビジネス成果向上のためのアクションプランの実行を促進
・すべてのチームメンバーが発言し、意見を提供できるように対応
・チームに問題解決の責任を与え、さまざまなリソース間の包括的な関与を促進
・関連する実践コミュニティのスポンサーとしての役割を果たし、前向きな変化を促進するイベントを企画。ハッカソン、ラーニング・スプリントやイノベーション・デイなど、アジャイルな考え方を促進する方法を企画
・開発のための新たなスキルやテクノロジーの特定など、人材の採用と評価に深く関与
・新しい学習機会への積極的な取り組みと追求、日常業務において新しいスキルやテクノロジーを発揮、他者への助言、社内学習機会を主導、学習やイノベーションを推進、外部カンファレンスへ参加

当社および当グループのサイバーセキュリティ態勢に関する企画・開発・運用を、海外・国内の各グループ会社やベンダー等社内外のステークホルダーと共に推進する、サイバーセキュリティエンジニアのポジションです。
グループ各社の底上げのために持株会社側で複数グループ会社のセキュリティ責任者を兼任するケースもあり、ハイレイヤーの方向けの募集となります。

（1）サイバーセキュリティ戦略および施策の立案と推進を支援
（2）各グループ会社へ提供する SOC 業務（識別、予防、検知、対応など）の定常的な運用とサービス改善
（3）各グループ会社へ提供する SOC の新サービス企画と開発
（4）CSIRT 業務（予防、検知、対応、情報収集/連携など）のハンドリング
（5）各グループ会社の課題洗い出し、対応策の立案、推進への支援、および各社の経営報告

具体的には以下の業務を担当します。
大手証券グループのIT部門に組織されているグループCSIRTのメンバーとして、国内外のグループ各社のCSIRT、グループ内外のSOC、他社金融機関、セキュリティ会社等と協働し、サイバーインシデント対応やサイバーセキュリティ対策の強化を行います。
具体的には、サイバーセキュリティに関する以下の業務を担当します。

1） インテリジェス・脅威情報の収集分析
　　外部調査機関、他社金融機関、セキュリティ会社、OSINT等からのインテリジェンス情報を分析し、事前対処をしていく業務になります。

2） 技術・ソリューションの評価・検証作業
　　ネットワーク、パブリッククラウド、オンプレミスの業務システム、業務端末等のアーキテクチャをセキュリティ面から分析し、必要な技術対策の調査や要件定義を行い、システムインフラに実装するサポート等を行っていきます。システムインフラやサイバーセキュリティ等の幅広い経験と知識、実行力が求められます。

3） 中長期の戦略立案
　　上記2）に関する技術的対策の短期中期のロードマップをシステム更改等のタイミングも見据えながら立案しつつ、組織運営・監視態勢の見直しのほか、ガバナンスの見直しの計画を立案する業務になります。海外拠点の監視運営態勢を検討する際は、サイバーセキュリティの知識以外にも高いコミュニケーション能力が求められます。

4） 施策の企画・立案、導入・運用サポート（当社システム子会社と連携要）
　　一般的に小規模なグループ子会社ではサイバーセキュリティへのリソースを十分に割り当てることができないケースがあります。上記3）の戦略を実現するあるいはサイバーインシデントの対応について、本社から子会社をサポートする業務となります。システムインフラやサイバーセキュリティ等の幅広い経験と知識、実行力が求められます。

5） 国内・海外関連会社の統制管理業務
　　国内外の関連会社のサイバーセキュリティ対策状況について、推進状況をモニタリングし、必要に応じて改善策を講じていく業務になります。

6） 部署横断組織（CSIRT）の事務局業務
　　上記5）のための事務局機能のほか、サイバーインシデントが発生した場合に、グループ横断で確認し、必要に応じてインシデント対応を共同して行う業務になります。

7） 社内外の窓口業務
　　金融ISACや外部機関（監督官庁含む）との代表窓口として、外部との折衝等を行います。サイバーセキュリティの知識以外にも高いコミュニケーション能力が求められます。

1)サイバーセキュリティのリスク抑制のための行政活動(ルール作成、内部監査、教育)
2)インシデント発生時の課題解決活動
3)サイバーセキュリティに関しての顧客であるカーメーカーや、取引先である協力会社との交渉、調整。

●具体的な仕事内容
・サイバーセキュリティに関する、社内研修の企画と主催、社内ルールの整備、事業場および海外子会社の内部監査
・インシデント発生時の課題解決活動(各部門への支援と調整等)
・製品セキュリティ、情報セキュリティ、製造セキュリティへのガバナンスと支援。関連業界団体(J-AUTO ISAC等)での活動。

●この仕事を通じて得られること
・時代が求める、サイバーセキュリティのエンタープライズリスクマネジメント能力とセキュリティ技術の知識を習得できます。
・関連する資格の取得支援制度あり。(CISSP、情報処理安全確保支援士等)
・関連する社内関連資格も充実しております。

●職場の雰囲気
・心優しいメンバーが多く、穏やかな雰囲気で働くことができます。
・テレワークと出社を組み合わせて勤務可能です。

●キャリアパス
・習得した能力で、企業のサイバーセキュリティのスペシャリストになることができます。

(100％)グループ横断サイバーセキュリティに関する、企画、開発、導入、運用、教育、啓発業務

●想定キャリアパス
エキスパートもしくは、ゼネラリスト

●働き方
ZoomやTeams、電子署名システムなどのITツールを導入し、業務上支障の無い範囲で、出社と在宅勤務を併用しています。
また、「深夜早朝メール送信配慮」として、原則20:00から翌朝8:00のメール送信を行わない。「マイ・タイム」として、第三金曜日の15:00以降には会議を設定せず、自身の担当業務、1週間のまとめ・翌週の準備等のために集中して仕事と向き合える時間帯として確保する。働き方改革の一環として、様々な状況にある方にも長期的なキャリアを築いてもらうため、「育児や介護と仕事を両立するための時短・短日勤務が可能なFWP（フレキシブル・ワーキング・プログラム）」等の諸制度の導入と取り組みをおこなっております。」等の諸制度の導入と取り組みをおこなっております。

製造・流通、素材・エネルギー、通信・メディア・ハイテク、金融、公共などあらゆる業界、業種のWebサイト／Webアプリのサイバーセキュリティに全般業務及び脆弱性診断関わる評価、改善支援を行います。

・診断対象のリストアップ及び精査
・脆弱性診断自動ツールの結果確認と精査
・手動による診断
・問題箇所の特定と分析

当社では様々なWebアプリケーション開発に加え、モバイルデバイスマネジメント（MDM）と呼ばれるモバイルデバイス向けのセキュリティ製品や、AI・IoTプラットフォームの開発・運用を行っています。
セキュリティエンジニアは、その知見を活かし当社製品に求められるセキュリティの検討やアーキテクチャのレビューなどを行っていただきます。

●主な職務内容
・セキュリティインシデント発生時のインシデントレスポンス対応
・開発エンジニアへのセキュアコーディングに関する啓蒙, 開発支援
・各種プロダクトのアーキテクチャのレビュー
・セキュリティバグやコーディングエラーを発見するためのコードレビュー
・各種プロダクトにおけるWeb、API、モバイルアプリケーションのセキュリティテストとペネトレーションテスト

・当社のシステムリスク管理・情報セキュリティ管理の所管部となるリスク管理部にて、情報セキュリティ/サイバーセキュリティ管理態勢の整備・高度化を担っていただきます。

＜具体的な業務（例）＞
●情報セキュリティポリシー・ルール類の整備・見直し
●セキュリティインシデント管理（対応フローの整備等）

・これらの業務において、企画立案、プロセス整備、運営実行および定着化等を担っていただきます。また、社内の2線部署として、事業部門から独立した立場より、牽制機能を発揮すると同時に、事業部門を支援する役割となります。

【職務概要】
製品・サービスのセキュリティを確保するための活動
1．当社製品・サービスのセキュリティ・インシデント・レスポンス（PSIRT活動）
2．グループ全体の事業部門のセキュリティに関するアセスメント
3．当社の事業におけるプライバシーデータ取り扱い時のアセスメント
4．脆弱性の早期検知のためのプラットフォームの構築・運用

【職務詳細】
●セキュリティインシデントレスポンス業務
・セキュリティ技術支援[サイバーセキュリティの高度な知見と経験をもとした、脆弱性対策(セキュリティ設計レビュー等)やインシデント対応など]
・セキュリティ脅威情報発信/情報分析
など

●セキュリティエンジニアリングデザイン業務
・システムや製品・サービスへのセキュリティ実装やセキュリティ脅威への対応の仕組み構築
・外部環境変化(モダンな開発手法・技術・規制等)に対応したセキュリティ施策や規則の再構築[DevSecOps, SBOM対応等]
・セキュリティ強化施策支援の立案、推進 など

※主として製品やサービスのセキュリティに関わる業務となります。上記以外にセキュリティアセスメント業務や脆弱性対策のためのプラットフォームの構築・運用業務などもあり、応募者の経験やスキルに合わせて、具体的な担当業務は決めさせていただきます。

【ポジションの魅力・やりがい・キャリアパス】
・当社においてセキュリティを確保するための技術的な中核を担います。
・大きな企業体である当グループで当社のセキュリティを牽引し、セキュリティに対する課題に取り組みます。
セキュリティに意欲のある方にはセキュリティ資格の取得や社内外のセキュリティに関わる研修の受講を支援します。
・セキュリティスペシャリストとしてスキル・経験を深めていただけるとともに、ご志向性や評価などによってはマネジメントとしてのキャリアパスもございます。

●職務内容
サイバーセキュリティ対策、およびシステムリスク評価に関する業務全般を担当していただきます。
・CSIRT事務局メンバーとしてセキュリティ全般に関わり、SOC機能も兼ねているためログ分析やインシデントハンドリングも自社で対応しています。
・業務としては、主にサイバーセキュリティ対策の企画立案・導入、システムリスク評価（定期的な評価、個別リスク評価）、アタックテスト／レッドチーム演習（診断はセキュリティベンダが実施）を主に担当していただきます。
●特徴・魅力
・業容拡大に伴い事業の要となるシステム開発が増加、それと連動してクラウド・サービス利用（オンプレとのハイブリッド含む）も増加しています。システム全体を含めたセキュリティ確保は必須で、当部の役割期待が高まっているため、新しいメンバーを募集します。
・システムの構想・企画段階から携わることも多いため、当社においてどのような施策が進められようとしているか全容を把握できます。
・残業時間は月30時間程度であり、働きやすい環境が整っています。30歳前後のメンバーが多く、明るくフラットなグループです。
●プロジェクト事例
クラウド活用やオープンAPIにも早い段階から積極的に取り組み、FinTech企業等を介した新たな形態でのサービス提供を推進しています。いずれも構想・企画段階から携わり、セキュリティ確保の推進を行います。新たな仕組み導入時には、必要な規則の整備もIT統括部統括グループ、および開発部署と連携し行います。
○インターネットバンキングシステムのクラウド活用（ハイブリッド）
○更新系API、参照系APIのクラウド会計ソフト／事業者への提供
○トークンアプリ（ワンタイムパスワード）
また、外部活動も活発に行っており、セキュリティに関する外部講演や金融ISAC（金融機関のサイバーセキュリティー連携組織）の活動にも力を入れています。

・新規製品・サービス創出に向けた、「脆弱性診断（セキュリティテスト）」、「リスクアセスメント（脅威分析）活動」、「新規評価技術開発」になります。
・テストサービス会社や社内専門部署とも連携しながら、セキュリティテストのテーマリーダーとして業務を推進して頂きます。
（スキルや経験に応じて、担当して頂く検証対象システムやテストチームの規模を配慮します）
・各種セキュリティ検証ツール、テスト自動化、テストマネジメントツールなど最先端のIT活用による効率的な業務推進を期待します。

●具体的な仕事内容
・年間5件前後のセキュリティ・脆弱性診断のプロジェクトをテストリーダーの立場で推進
・テストサービス会社や社内専門部署とも連携しながら、テストリーダーとしてセキュリティ・脆弱性診断業務を推進して頂きます。
・テスト対象は自社の新規製品・サービス（スマートハウス向けエネルギーマネジメントシステム（HEMS）、住宅・ビルオートメーションシステムなど）
・企画・開発段階の仕様案や設計に対するセキュリティ品質視点でのレビュー参画と改善提案
・セキュリティ検証ツールを活用した新規評価技術の開発（当部の「Software Testing Technology Laboratory」 及び リモートワーク での業務推進）

●この仕事を通じて得られること
・クライアントからの受託案件ではなく、自社の新規製品・サービス創出によりお客様の快適・便利なくらしに直接貢献できます。
・企画・開発・品質部門が連携したOne Teamにより、製品・サービスの構想段階から商用化・継続的アップデートまでの全工程に参画できます。
・スマートハウス向けエネルギーマネジメントシステム（HEMS）、電気自動車と住宅の電気エネルギー消費を最適化するV2H（ビークルトゥホーム）システム、住宅・ビルオートメーションシステムなど次世代の製品・サービス創出に携わることができます。
・セキュリティ・脆弱性診断のスペシャリストとしてスキルを研鑽することができます。

●職場の雰囲気
・男性育児休業(3ヶ月)を取得された社員もおり、在宅勤務なども活用しワーク・ライフ・バランスを重視した働き方を実践しています。
・20／30歳台の社員が過半数以上在籍し、年齢や役職に関係なくフラットに議論・相談を行える組織です。
・最新のセキュリティ診断技術調査・導入やアジャイル開発参画など、新しいことにチャレンジできる活気のある職場です。
・テストマネジメントツールや、評価環境とのリモート接続など、新たなIT技術の活用により効率的に業務を推進しています。
・テスト専門会社などビジネスパートナーの皆様との連携により、プロジェクト毎にテストチームを編成して業務負荷を分散しています。
・複数の中途入社メンバーなど多様なメンバーがセキュリティ・脆弱性診断のテーマリーダーとして活躍しています。
・IPA主催の情報処理安全確保支援士試験など上級レベル資格保有者も在籍しています。

●キャリアパス
・企画・開発・品質部門が連携したOne Teamによる自社新規製品・サービス創出を経験できます。
・セキュリティ・脆弱性診断のスペシャリストとしてスキルを研鑽することができます。
　当社独自の製品セキュリティ人材認定制度が構築されており、各種研修も充実しています。また、IPA主催の情報処理安全確保支援士試験など上級レベルの資格取得も支援します。
・インド・トルコなど海外拠点と連携したテスト業務にもチャレンジできます（住宅・ビルオートメーションシステムのテスト支援など）

・新規製品・サービス創出に向けた、「脆弱性診断（セキュリティテスト）」、「リスクアセスメント（脅威分析）活動」、「新規評価技術開発」になります。
・テストサービス会社や社内専門部署とも連携しながら、セキュリティテストのテーマリーダーとして業務を推進して頂きます。
（スキルや経験に応じて、担当して頂く検証対象システムやテストチームの規模を配慮します）
・各種セキュリティ検証ツール、テスト自動化、テストマネジメントツールなど最先端のIT活用による効率的な業務推進を期待します。

●具体的な仕事内容
・年間5件前後のセキュリティ・脆弱性診断のプロジェクトをテストリーダーの立場で推進
・テストサービス会社や社内専門部署とも連携しながら、テストリーダーとしてセキュリティ・脆弱性診断業務を推進して頂きます。
・テスト対象は自社の新規製品・サービス（スマートハウス向けエネルギーマネジメントシステム（HEMS）、住宅・ビルオートメーションシステムなど）
・企画・開発段階の仕様案や設計に対するセキュリティ品質視点でのレビュー参画と改善提案
・セキュリティ検証ツールを活用した新規評価技術の開発（当部の「Software Testing Technology Laboratory」 及び リモートワーク での業務推進）

●この仕事を通じて得られること
・クライアントからの受託案件ではなく、自社の新規製品・サービス創出によりお客様の快適・便利なくらしに直接貢献できます。
・企画・開発・品質部門が連携したOne Teamにより、製品・サービスの構想段階から商用化・継続的アップデートまでの全工程に参画できます。
・スマートハウス向けエネルギーマネジメントシステム（HEMS）、電気自動車と住宅の電気エネルギー消費を最適化するV2H（ビークルトゥホーム）システム、住宅・ビルオートメーションシステムなど次世代の製品・サービス創出に携わることができます。
・セキュリティ・脆弱性診断のスペシャリストとしてスキルを研鑽することができます。

●職場の雰囲気
・男性育児休業(3ヶ月)を取得された社員もおり、在宅勤務なども活用しワーク・ライフ・バランスを重視した働き方を実践しています。
・20／30歳台の社員が過半数以上在籍し、年齢や役職に関係なくフラットに議論・相談を行える組織です。
・最新のセキュリティ診断技術調査・導入やアジャイル開発参画など、新しいことにチャレンジできる活気のある職場です。
・テストマネジメントツールや、評価環境とのリモート接続など、新たなIT技術の活用により効率的に業務を推進しています。
・テスト専門会社などビジネスパートナーの皆様との連携により、プロジェクト毎にテストチームを編成して業務負荷を分散しています。
・複数の中途入社メンバーなど多様なメンバーがセキュリティ・脆弱性診断のテーマリーダーとして活躍しています。
・IPA主催の情報処理安全確保支援士試験など上級レベル資格保有者も在籍しています。

●キャリアパス
・企画・開発・品質部門が連携したOne Teamによる自社新規製品・サービス創出を経験できます。
・セキュリティ・脆弱性診断のスペシャリストとしてスキルを研鑽することができます。
　当社独自の製品セキュリティ人材認定制度が構築されており、各種研修も充実しています。また、IPA主催の情報処理安全確保支援士試験など上級レベルの資格取得も支援します。
・インド・トルコなど海外拠点と連携したテスト業務にもチャレンジできます（住宅・ビルオートメーションシステムのテスト支援など）

急速に拡大していく事業に対して、様々なセキュリティの対応を行っていかなければならないと考えており、すでに提供しているウェブサービスやこれから開発していくサービスの脆弱性診断を担っていただきます。
今回は事業部や開発エンジニアと密にコミュニケーションをとりながら脆弱性診断を行える人材を募集します。

＜おまかせしたい業務＞
脆弱性診断のみならず、幅広く技術的なセキュリティ対応に携わっていただきます。

・当社が提供しているサービスの脆弱性診断と改修支援
・インシデント検知基盤運用や発生時の対応
・セキュリティ推進室が保有しているシステムの運用
・社内外におけるセキュリティ情報の収集や情報発信

会社全体、及びプロダクトのセキュリティ向上のため以下の業務に携わっていただきます。

現在セキュリティエンジニア2名。本ポジションはプロダクト開発エンジニアを始め、SRE、コーポレートエンジニア、監査、コンプライアンスなど様々な職種の人と協力していただきます。

【具体的な仕事内容】

プロダクト及び社内システムのリスク洗い出しとセキュリティ施策の優先順位付け及び実施
PCI DSSや銀行関連のレギュレーション準拠体制の構築・維持及び監査対応
API、スマートフォンアプリケーション等のセキュリティテストの計画及び実施
脆弱性情報収集及びハンドリング
ログやトラフィック分析体制の構築
セキュリティルール作り及び啓蒙
インシデント対応

（40%）セキュリティ機器やログ監視においてセキュリティイベント・インシデントが検知された際の各種対応
例)
・イベント検知後にグローバルのSOCから指示された、検知元へのヒアリングなどの各種対応の実施や結果の報告
・社職員から不審メールやPCの挙動などについての問い合わせがあったときのヒアリング、調査分析、または対応指示
・情報持ち出しなどの内部不正の監視と検知時の対応

（30%）脆弱性が報告または検知された際の各種対応
例)
・新規脆弱性が報告された際の各種情報収集 (社内の脆弱性保有対象、修正・回避の方法)、対応優先度確認、それに基づく対応指示および結果報告
・脆弱性スキャンやペネトレーションテストの実施指示、実施状況の確認、実施結果の確認、改善依頼、および結果報告

（30%）セキュリティ運用実務 (インシデント対応・脆弱性) におけるプロセスの策定、維持、および改善活動等
例)
・新しいセキュリティ製品やプロセスの導入などの各種プロジェクトへの参加と、運用実務の検討と導入
・社内CSIRTへの参加など社内外の関係者と連携しての各種セキュリティ対応の推進
・脅威や脆弱性情報収集、必要な対策の実施状況確認、対策の追加や見直しなどの改善活動実施

●アピールポイント
グループ内におけるサイバーセキュリティオペレーションにおいて、これまでのご経験を活かしつつ幅広くご活躍いただくことができます。
・グローバルのSecurity Operation Center (SOC)や脆弱性対応のチームなどとの協業を通じて、最新の動向を反映したプロセス導入や運用の経験を身に付けていくことができます。
・国内外の関係各所と広く協業の機会があり、チームを横断したプロジェクトの推進や管理の経験を積むことができます。
・情報持ち出しなどの内部不正行為の監視や対応の経験を積むことができます

●想定されるキャリアパス
サイバーセキュリティグループにおけるチームリーダー、グループリーダー、CISO
その他 IT内でのキャリアパス