情報セキュリティ（自社向け）の転職求人

● Department overview
当社には強力なグローバル情報セキュリティ部門があり、当社を脅威から守り、デジタル資産のセキュリティを確保しています。日本、米州、インド、日本を除くアジア (AeJ)、EMEAのすべての主要地域にメンバーが配置されており、進化するリスクを常に先取りするために情報セキュリティの専門家で構成されています。
ロンドンの情報セキュリティガバナンスと最適化のグローバルヘッドに直属します。ただし、日本にあるグループ最高情報セキュリティ責任者 (CISO) には点線で連絡することになります。また、日本CISOが率いる国内外のセキュリティ専門家で構成される地域CISOチームの一員となります。

●Responsibilities：
プロジェクトの推進を管理するチームの一員として、当社グループの各IT関連部門と調整しながら、Japan CISOチームのプロジェクト推進を実施いたします。
プロジェクトの推進においては、当社グループのグローバル標準（セキュリティやアーキテクチャ）を考慮し、プロジェクトに最良なガバナンスを用いて推進することが求められます。
また、プロジェクトマネージャーとして、スコープ、スケジュール、品質を維持するための方法、必要なリソースの管理、プロジェクト費用の予実管理、リスク管理、全体のコミュニケーション管理等PMBOKに定めるプロジェクト管理方法に則り、プロジェクトの目的を達成する役割を担い、目標を達成するためにさまざまなマネジメント業務を行うことが求められます。また、プロジェクトチームメンバーだけではなく、ステークホルダー（利害関係者）との信頼関係や協力関係を結ぶ役割も求められます。
取り巻く環境の変化により、柔軟なスコープの変更管理、運用モデルの変更に伴う、組織モデルの変更、様々なソフトウェアの開発技法（ウォーターフォール、アジャイル等）を理解した、プロジェクト管理が求められます。

【部署の業務内容】
セキュリティのプロフェッショナルとして、CTO直下でコーポレートインフラ、プロダクトのセキュリティレベル向上を目指し、施策の検討や実行をリードします。

【主に担当する業務内容】
・コーポレートセキュリティ
セキュリティガバナンスの強化/ISMS運用
情報システムのセキュリティ企画/監視
情報資産管理
全社に跨るセキュリティ教育の企画と実施
ゼロトラストの強化/運用
情報セキュリティインシデントのハンドリング
・プロダクトセキュリティ
開発チームのセキュア開発支援およびトレーニング
脅威モデリングおよびセキュリティレビューの実施
脆弱性診断の実施や自動化検討
脆弱性情報の収集／脆弱性ハンドリング
レッドチームの立ち上げ

【特徴・魅力】
・幅広い業務範囲とリーダーシップ機会
セキュリティ向上のための仕組み作りから運用業務まで、広範な守備範囲があり、自身でリードし業務を推進できる環境があります。
・高い要求レベルでの経験
非常に高いセキュリティ水準が求められる「映像」という個人情報を扱うサービスのため、高い要求レベルでの業務経験を積むことができます。
・大規模な業務経験
数十万台のカメラを扱うサービスを展開しているため、スケールの大きな業務を行うことができます。また、様々な部署と連携して業務を遂行するため、セキュリティを軸とした会社運営に関わる様々なセキュリティ課題に対して経験を積むことが可能です。
・広範なセキュリティ領域の経験
コーポレートセキュリティとプロダクトセキュリティの双方を管掌しているため、セキュリティ領域としての幅広い経験を積むことができます。
・チームとしての成長環境
個人に依存せず、チームとして成長できる環境が整っています。お互いの専門領域を持ちつつ、クロスファンクショナルなセキュリティチームを目指しています。

【部署の今後の目標・現在の課題】
・私たちのセキュリティ戦略
私たちセキュリティチームは「バランスの取れた本当の意味での高セキュリティの実現」を目指しています。
バランスとは生産性と安全性の両立です。セキュリティはあくまでも事業価値の向上のための施策であって、事業スピードを落とすことなく、社員が安心して思いっきり仕事ができるそういう環境を作り、事業の成長を支えます。
そのために、コーポレートとプロダクト両面で戦略実現のための「型」を作り、一つ一つ確実に施策を進めていっています。
・チームの紹介と課題
セキュリティチームはコーポレートおよびプロダクトの垣根なく、お互いの専門領域や強みを活かしつつ、対話を通して、仕事を進めていくことを大切にしています。
当社におけるセキュリティは非常に広範な領域であり、必要な専門知識も多岐にわたります。一方で、事業成長スピードも速く、安心して働ける環境・安心して使っていただけるプロダクトを実現するためには、先手先手でセキュリティ施策を実施していく必要があります。
そのためセキュリティという広い領域で異なる専門知識や強みを持つメンバーを増やし、お互いに支援しながら、事業成長スピードに追従できるチームを作り上げることが急務となっています。
・セキュリティ以外の経験も重要ですので、新たにセキュリティ領域に挑戦したい方も歓迎です。もちろんセキュリティとしての知識や経験の幅を広げたい方も含めて、ぜひご応募ください。一緒にセキュリティの未来を築き上げましょう！

従事すべき業務の変更の範囲
＜雇入れ直後＞システムの設計・開発・デザイン、その他これらに付随する一切の業務
＜変更の範囲＞ 会社の定める業務

●担当業務と役割
・主な担当業務は、社内の個人情報を含む情報セキュリティ管理の運用　(個人情報を含むISO27001をベースとしたISMS取り組みの統括業務）
・社内情報セキュリティ啓発・教育
・IT事業会社の現場としては、本部・事業部が様々なITソリューション・サービスを開発・運営していますので、それらIT業務／SE業務を理解した上で、現場とのコミュニケーション力を発揮して、上記のミッションを果たしていくことが求められます。
※グループの本社側で決定に関して、理想の姿と現場視点での課題とをしっかり整合させていくことが必要となりますので、これまでの経験と共に、ビジネスに関する見識があると、より業務が進めやすくなります。

●業務概要：
ISM業務を中心に、社内の情報セキュリティ強化活動を推進する。
(1)社内情報セキュリティルール運用の策定(ISO27001対応等）
(2)社内情報セキュリティ啓発・教育(.個人情報保護法対応等）
(3)情報セキュリティ内部監査、ISO27001外部審査対応
(4)ゼロトラスト・セキュリティの推進：クラウド活用の本格化対応（IaaS、SaaS、PaaS)、IT資産（サーバ、パソコン等）への強化対策、在宅勤務環境でのセキュリティ確保

●組織構成：
配属予定の情報セキュリティ室は、ISM活動とITセキュリティ活動を融合し推進しています。

●業務の特徴：
【ステークホルダの多い環境】
社内の事業部（現場）とのやり取りはもちろん、グループ全体のルールとも照らし合わせたセキュリティ対応が必要なため、グループ中核会社の情報セキュリティ部門等とも日々連携が必要です。
【ミッション性の高さ】
同社は大手電機メーカーグループのIT会社として、内販・外販ともに事業展開しております。様々なサービス、特に直近はクラウド化も進んでいるため、セキュリティ対策は事業成長していく上でも必須の課題となっています。その課題の先頭に立ち、会社としての方向性を示していけるやりがいがあります。

●この仕事を通じて得られること
・情報セキュリティマネジメント業務全般（個人情報含む）
・インフラからアプリ、従業員教育まで幅広い対応経験
・IT事業会社でのCSIRTメンバーとしての活動スキル
・グループのサイバーセキュリティ確保に関わるという経験
・グローバルに存在する海外会社とのコミュニケーション力の発揮

●職場の雰囲気
・全員中堅クラスの社員となっています。
・リモートワークも含めて、日常業務としては、柔軟な働き方を実現している職場です。
　万一、インシデントが発生した場合においても、管理職メンバーを中心に、一致団結して対応を進めます。

●キャリアパス
・ISMスペシャリストの人材を極めていただきたいと思います。
　また、組織マネジメントも極めていただきたいと思います。
※継続して一緒に業務を実施いただける方を望んでいますが、初期配属の部署の仕事にとどまらず、様々な職務を経験いただいて、総合的なスキルを身につけられるキャリアパスがある会社です。

グループ全体およびグローバルでサイバー/情報セキュリティテストする機能を開発および実行します。これには以下が含まれますが、これらに限定されません。
　 − レッド/ブルー/パープルチーム演習
　 − インシデント/攻撃シミュレーション
　 − 経営層、IT、財務、人事、その他の専門ユーザー グループおよび一般ユーザー向けのトレーニング
　 − テストラブ/検疫ネットワーク管理
　 − 侵入テスト
　 − 攻撃経路
・セキュリティコントロールテストを戦略的に計画し、プロセスとレポートを標準化、最適化、自動化する機会を特定し、効率的でコスト効率の高いビジネス管理サービスを作成。
・包括的な分析レポートとテスト結果の傾向分析を作成。
・CTDおよびCISOの他の機能と連携して、継続的なテスト機能を提供。
・新しいテクノロジーを常に受け入れ、テストをよりよく改善。
・日本国内および世界各地でより若手社員を監督し、スタッフの指導者およびマネージャーとしての役割を果たす。
・ベンダープロセスと承認を監視し、ベンダーリスク管理フレームワークと優先サプライヤおよび製品戦略のコンプライアンスを確保する
・GCTDのリーダーシップに沿ってベンダーパフォーマンスを監視する
・タウンホール、従業員調査への回答、認識スキーム、学習と開発計画、社内外のブランド開発とプロモーションを含む、同僚のエンゲージメントとコミュニケーション戦略を構築する
・人事部と協力して、年間目標の設定、組織設計、後任計画、採用、早期キャリアなどの人事プロセスに参加する
・稟議承認を含む、経営会議やその他の役員向けプレゼンテーションの議題、内容、文書を調整する
・プロセスとレポートを標準化、最適化、自動化する機会を特定し、効率的でコスト効率の高いビジネス管理サービスを作成する

Responsibilities:

・Develop and maintain governance framework for the IAM program, aligning it with the organization’s security strategy and business goals.
・Manage and mentor a team of IAM analysts, providing inputs on IAM architecture, design, and implementation.
・Govern authentication and authorization frameworks, including Single Sign-On (SSO), Multi-Factor Authentication (MFA), Access Management (AM) and Privileged Access Management (PAM) solutions.
・Govern identity/access lifecycle management processes such as ‘joiner, transfer, leaver’, recertification processes etc.
・Manage access control processes and ensure that IAM policies are enforced consistently across various platforms, including Windows, Unix/Linux, databases, and cloud environments.
・Govern the integration of IAM solutions with key platforms such as AD, LDAP, Unix/Linux servers, databases (Oracle, MS SQL) and cloud services (AWS, Azure, GCP).
・Govern and ensure the effective use of identity governance solutions such as Saviynt, Oracle Identity Governance (OIG), or similar.
・Govern and ensure the effective use of IAM tools such as Saviynt, Okta, Azure AD, or similar and PAM tools such as CyberArk, BeyondTrust, HashiCorp or similar.
・Design and govern periodic reconciliation and recertifications for I&AM
・Drive the adoption of automated identity/access management workflows to streamline provisioning and deprovisioning.
・Oversee the integration of IAM solutions with cloud platforms, enterprise applications, and third-party systems.
・Identify and propose automated IAM processes to improve efficiency and reduce manual intervention in identity and access management tasks.
・Work closely with IT, security, HR, and business units to understand IAM requirements and ensure alignment with organizational goals across global and regional teams.

当グループは、グローバル金融サービス・グループとして、世界約30の国や地域にネットワークを有しています。日本のインフォメーション・テクノロジー部門は、25以上の国籍のメンバーが在籍する多様な環境であり、日本のリテール・ウェルスマネジメントビジネス、グローバルホールセール（グローバルマーケッツとインベストメントバンキング）において、テクニカルサポート、アプリケーション開発、システム変更などの業務に従事しています。当グループは、充実した福利厚生、トレーニングやスキルアップの機会を提供し、ダイバーシティー、エクイティとインクルージョンの推進、従業員の健康とウェルビーイングを重視しています。

東京に本社を置く当グループは、グローバルサイバースレットデフェンスチーム(CTD) のサイバー インシデント対応、復旧、調査チーム (CSIRT) のアソシエイトを募集しています。この役割は、CSIRT のグループ責任者に直属し、CSIRT はグループ CTD に直属します。CTDはグループ CISO に直属します。この役割はグローバルレベルで当社社内の他のセキュリティ部門と緊密に連携します。
この役割は主にサイバーインシデントの対応、復旧、調査の能力を強化することです。この重要な役割は、グループ全体およびグローバルな IR (インシデント対応) 機能を合理化し、グループおよびグローバル機能全体の IR プロセス全体に積極的に関与していきます。この役割は組織内の他の部門と協力して、タイムリーかつ効果的な IR を確保していきます。
この役割の候補者は、強力なインシデント管理技術を実践して、サイバーセキュリティ イベントまたは脅威の疑いに起因するインシデントに対するセキュリティ インシデントの対応を調整します。 候補者は、インシデント対応計画と活動の調整をよく理解し、他の人とうまく協力し、口頭および書面による強力なコミュニケーション スキルを持っている必要があります。これには、外交感覚、障害を予測する能力、そしてペースの速いインシデント管理の世界に対処するための意思決定スキルが含まれます。インシデント対応、インシデント管理、保管過程管理、フォレンジック、イベント分析における基礎的なスキル、および実践的なサイバーセキュリティ スキルが不可欠です。

・グローバル SOC 責任者の指導の下、確認された脅威を軽減するための措置をリアルタイムで実施するか、関連する利害関係者と直接連携して、必要な軽減措置についてアドバイスします。
・グループ全体のセキュリティインシデントの窓口として機能します。
・グローバル SOC 責任者の指示の下、SOC およびセキュリティ サービス デスクを主導および調整します。
・脅威と脆弱性の分析。
・サイバーセキュリティの問題と新たな傾向について調査、文書化、報告します。
・これまで知られていなかったハードウェアおよびソフトウェアの脆弱性を分析し、対応します。
・自動化や AI の最適化などのプロセスを継続的に改善する
・プロアクティブなインシデントとリクエストの分析を実行します。
・災害復旧の計画と実行を支援します。
・調査結果を報告し、システム チューニング要件を推奨します。
・プロアクティブな検出機能を強化し、新しい SOC モニタリングのユースケースを開発します。
・シフトを埋めるために通常の営業時間外に働きます。
・ガバナンスと管理の可視性を確保するために、SOC とセキュリティ サービス デスクの KPI を作成して報告します。 SOC およびセキュリティ サービス デスクのパフォーマンス レビューを提供する。

Responsibilities / 役割:
・プロセス化と文書化を推し進める。一貫性と拡張性のある対応業務を確保し、企業のインシデント対応計画を継続的に改善するためのプロセスを開発および文書化。グローバルIRのすべてのプレイブックとプロトコルを開発および管理・運用。インシデント対応管理プロトコルの開発と合理化を体系的かつグローバルに構築・運用
・日本時間標準労働時間以外でのサイバーインシデントへの対応作業
・さまざまなビジネスとの連絡役として機能し、他のチームメンバーや他のセキュリティチームの同僚と連絡を取る。必要に応じて、ビジネス パートナー、経営陣、ベンダー、外部関係者との関係を管理。
・他の企業インシデント管理プログラムとの統合を推進し、IT および CISO 内のチームとの一貫性と連携を確保。
・リーダーの指示に従って中小規模のプロジェクトを主導していく
・要求に応じて指標を開発し、リーダーに提供する
・すぐに使えるコミュニケーションの下書きを作成し、イベント中およびイベント後にリーダーにタイムリーな報告/最新情報を確実に提供します。
・チームの内部アクション ハンドブックとナレッジベースを所有および管理。
・他のチームメンバーと交替で時間外のインシデント対応。 (必須)
・根本原因と解決策を検証してセキュリティ インシデントを解決。
・捜査結果を分析し、事実に基づいた報告書を作成。
・改善の機会を特定して明確にし、教訓を活かした活動の促進を支援。
・口頭および書面の両方で優れたコミュニケーションスキルを活用して、さまざまなステークホルダーと連携。
・専門的な環境において誠実さと判断力を示す
・分析と査読に探究的に取り組む。
・感情的知性を活用し、プレッシャーの下でも冷静でいる。
・仕事と個人の優先順位を適切にバランスさせる。

・グループ全体およびグローバルでサイバー/情報セキュリティテストする機能を開発および実行のサポートをします。これには以下が含まれますが、これらに限定されません。
　 レッド/ブルー/パープルチーム演習
　 インシデント/攻撃シミュレーション
　 経営層、IT、財務、人事、その他の専門ユーザー グループおよび一般ユーザー向けのトレーニング
　 テストラブ/検疫ネットワーク管理
　 侵入テスト
　 攻撃経路
・セキュリティコントロールテストを戦略的に計画し、プロセスとレポートを標準化、最適化、自動化する機会を特定し、効率的でコスト効率の高いビジネス管理サービスを作成することをサポートします。

以下のタスクやプロジェクトを能動的にサポートします。
・包括的な分析レポートとテスト結果の傾向分析を作成。
・CTDおよびCISOの他の機能と連携して、継続的なテスト機能を提供。
・新しいテクノロジーを常に受け入れ、テストをよりよく改善。
・日本国内および世界各地でより若手社員を監督し、スタッフの指導者およびマネージャーとしての役割を果たす。
・ベンダープロセスと承認を監視し、ベンダーリスク管理フレームワークと優先サプライヤおよび製品戦略のコンプライアンスを確保する
・GCTDのリーダーシップに沿ってベンダーパフォーマンスを監視する
・タウンホール、従業員調査への回答、認識スキーム、学習と開発計画、社内外のブランド開発とプロモーションを含む、同僚のエンゲージメントとコミュニケーション戦略を構築する
・人事部と協力して、年間目標の設定、組織設計、後任計画、採用、早期キャリアなどの人事プロセスに参加する
・稟議承認を含む、経営会議やその他の役員向けプレゼンテーションの議題、内容、文書を調整する
・プロセスとレポートを標準化、最適化、自動化する機会を特定し、効率的でコスト効率の高いビジネス管理サービスを作成する

クレジットカードの不正被害(特に非対面取引）は年々増加しその手口も日々変化・多様化してきており、その抑止には不正検知システムでの適切な検知ルールの設定およびルールにHITした際のモニタリングによる正確な判定が重要。
体制強化を行い、安定的なカードセキュリティ態勢を構築していくための人材を募集。

・不正モニタリング
・不正モニタリング結果や各種情報に基づくセキュリティ強化ルールの検討および設定　
・VISA/Mastercard等のブランドルールに基づく、各種業務の運用

◆情報セキュリティ体制の構築
リスクマネジメント本部の総合リスク管理部（2線）において情報セキュリティ体制の構築に力を発揮していただきます。

金融分野などでは、現場の「1線」に対して牽制/支援を行う「2線」、そして1線・2線を監査する「3線」という概念が一般的です。このポジションは「2線」において情報セキュリティに関する管理職として、事業系システム、社内OAシステムなどを所管する「1線」に対して、牽制/支援する人材を募集いたします。

「1線」を牽制するだけではなく、一緒に知恵を出し（支援）、ときにはその旗振り役として様々なシステムリスク（サイバー攻撃、障害、BCPなどを含みます）に主体的に取り組める方を募集いたします。「2線」としての業務経験がなくても、「1線」での知識を活かし、新たに2線としてチャレンジして行きたいという方も大歓迎いたします。

◆業務の具体例
・金融庁/経産省ガイドライン、FISC、PCIDSS、当社グループ情報セキュリティ基準など、各種ルールへの準拠状況を「1線（外部委託先を含みます）」からの情報を元にFIT＆GAP分析し、万が一GAPが見られた場合には、速やかにその対応を1線、経営陣と協議します。
・「経済安全保障推進法」の事業者指定を控え、経産省との折衝準備、折衝等を進めていただきます。
・内部関係者が誤操作等により重要情報を漏えいさせないよう、人の眼による牽制だけではなく、システムを最大限（外部商品の選定を含みます）に活用し、これらリスクを最小化するために何ができるのかを検討します。
・外部からのアタック、フィッシング、なりすまし等について、外部の専門家の情報を踏まえ、短期/中長期の視点で、今後システム面で何をすべきかを検討します。

◆ポジションの魅力
・金融事業会社ならではの厳格な関係省庁や関連法令など各種規制・ルールへの対応をする中で、より高度な知見と対応力を習得することが出来ます。
・「経済安全保障推進法」の事業者指定を控えておりますので、経産省との折衝準備、折衝等、滅多に得られない経験を積むことが出来ます。
・上述のような経験を経ることで市場でより貴重な「情報セキュリティ人財」としてご自身の評価と価値向上に繋がります。

当社の情報セキュリティ強化の中核として、情報セキュリティ強化に係る企画立案、ISMS/ISMAPの運用全般にかかわる支援業務をご担当いただきます。

●業務詳細
ISMS/ISMAPの社内事務局として、各部署と連携しながらセキュリティレベルの維持向上を目指し、当社全体を俯瞰した幅広い業務に携わっていただきます。

・ISMS、ISMAP等の認証維持を目指した、経営陣及び社内対象部門に対するリスクアセスメント計画の推進及び支援
・社内外向けガイドライン及び規程の策定・改善、及び普及
・情報資産管理/アカウント管理/外部委託先管理などの維持・推進
・セキュリティインシデント発生時の各種対応
・社内情報セキュリティ教育や教育資料の作成
・各プロセス整備における、部内外への横断的コミュニケーション
・最新法令のキャッチアップ　など

Our company is a global financial services group with an integrated global network spanning over 30 countries. Japan IT (Information Technology) is a diverse environment with employees of over 25 nationalities, who work on technical support, application development and implementation of system changes for Japan Retail Wealth Management Business and Global Wholesale (Global Markets and Investment Banking). Our company provides competitive employee benefits, training and upskilling opportunities, and is committed to promoting diversity, equity and inclusion, employee health and well-being.

Our company has a robust global Information Security department dedicated to protecting Our company from threats and ensuring the security of our digital assets. Our team is composed of experts in information security who work tirelessly to stay ahead of evolving risks, members of which are located in all of its major regions, namely Japan, Americas, India, Asia Excluding Japan (AeJ) and EMEA. This role will report directly to the Group Head of Cyber Threat Defense (CTD).

Key objectives critical to success：
As the Global Cyber Defense Incident Response Leader, the successful candidate will be responsible for leadingOur company’s lifecycle of cybersecurity incidents and supporting cyber response program on a global scale, ensuring timely and effective responses to cyber incidents, and coordinating with various teams to mitigate risks and minimize impact. This role requires a proactive and reactive approach to identifying, assessing, and responding to various cybersecurity threats. This newly formed role will work closely with senior leadership throughout the organization.

当社のセキュリティ強化に向けて、特に情報システムの開発・運用・保守に携わる層をターゲットに以下を実施頂きます。
1.グローバルスタンダードに基づき、セキュリティ人材育成のフレームワークの改善を行う。
2.1.に基づき、育成資材を開発し、展開する。
3.2.の社内各種制度への組み込み等を通じて、セキュリティ人材育成の仕組みを構築する。
4.2.3.の実施による当社のセキュリティ向上を評価し、継続的に改善する。

幹部職を補佐し代行するリーダーとして以下を実施いただくことを期待いたします。
・グローバルスタンダードに基づいてフレームワークを改善するとともに、育成施策の立案、実行をリードする。
・ステークホルダーとの連携を通じて目標達成をリードする。
・必要な社内外の情報収集およびチーム内への展開を通じて情勢に応じた育成施策をリードする。
・他メンバの業務執行を把握・管理するとともに、メンバーへ指導および支援を行い、計画的なプロジェクト遂行をリードする。

ループグローバルのIT脆弱性対応の向上のため、アセット管理を基軸とした「アセット登録」さえ確実に行えば、管理者（人間）の意識に依存せず、自動的に脆弱性を特定し、是正対応が完了するまで機械的に追跡・督促し続けることが可能なアセット管理基盤をグローバルに展開する。アセット登録の推進、維持管理、および現場への普及活動を、各リージョンや関係組織と調整していく。

以下のミッションをリーダー・サブリーダーとして遂行する。

1.グループグローバルにおけるアセット登録の推進と、登録データの厳格化の推進
2.ITアセット管理の現場部門定着

グループのDX化の更なる推進やITアセットにおける脆弱性対応の高度化のため、「アセット情報の機械的かつ継続的な最新化」、「アセットに対する脆弱性検知のオートメーション化」、「脆弱性対応のワークフロー化」、「脆弱性リスクの可視化」などを実現するアセット管理基盤／脆弱性対応基盤を当社グループグローバルに展開する。グローバルにおけるアセット管理の要件を集約し、様々なシーンでアセット情報を利活用できるよう、各リージョンや関係組織と調整していく。

以下のミッションをプレイングマネージャとして自らメンバーを牽引して遂行する。

・当社(グローバルカンパニーを含む)のアセットを基軸とした脆弱性対応プロセスのロールモデルへの昇華
・コーポレートネットワークやクラウド上のビジネスシステムなどのセキュリティ強化のための統制モデル確立

情報システム部門にて、セキュリティ統制（構築/運用）や社内のIT ツールや
IT 環境の整備、 ならびに情報システム部門の全体の業務改善/効率化に向けた
企画と実行を担って頂くポジションです。

●お願いしたい業務
・情報セキュリティ全般（セキュリティ環境の構築、運用など）
・内部統制（IT 統制）の整備、運用
・RPA ツールによる運用業務の効率化検討
・WindowsAD / Google Workspace 環境でのアカウント管理運用の効率化
・社内ネットワークの保守と運用、検知の仕組み構築
・社内サーバーの構築/運用
・ヘルプデスクやキッティング業務の自動化/効率化と運用
など

●1 日の流れ
・09:00-10:00　朝会、各Gr 個別MTG
・10:00-18:00　情シス対応（保守/構築業務、プロジェクト推進、自動化/仕組み化）
・18:00-18:30　夕会（全体共有/Gr 個別）
・18:30-20:00　タスク整理/WBS 更新

1.情報セキュリティ全般に関する施策の企画・対応
2.情報セキュリティや個人情報に関するクライアントから依頼される調査票への回答、及び品質管理部から連携される契約内容の確認及び進言
3.グループから依頼される情報セキュリティに関する質問やリクエストへの対応
4.情報セキュリティ事故発生時の対応（含・関係各部署との連携）
5.データリスクマネジメント部門が使用する簡易ツールの開発・保守
6.チーム内の事務作業
7.IT部門をはじめとした関連部門との連携

企業のデータ保護方針に従い、データ保護対策の準備と有効性を監督
海外拠点データ保護プラットフォーム及び組織インフラ（ワーキングチーム）を構築し、データ保護を確実に実行
データ保護ソリューションおよびキャンペーンの設計と実施
データ保護日常業務（データ保護問題対応、外部監査、教育、推進、コンプライアンスチェック等）
データ保護に関する現地での第一線調査および結果管理の実施（人事、法務、IT部門と連携し、企業のデータ保護に沿った対応）
物理的セキュリティチーム（警備員）と連携し、PIPポリシーを実行
ISO27001、ISO15408などの業界標準、およびビジネス要件に基づき、情報セキュリティポリシー、プロセス、標準、およびガイドラインを実施
安全な境界のためのソリューション設計
データ保護と物理的セキュリティ強化プログラムの指導
社内組織に対して、a)情報セキュリティ上の問題、懸念事項、潜在的リスクを評価し、b)費用対効果の高いセキュリティ強化ソリューションを提供することにより、コンサルティングテーション
トレーニング・セッション、ワークショップ、プロモーション・イベントを企画・実施し、情報セキュリティ意識を向上
情報セキュリティコンプライアンスのレビューとチェックを実施
情報保護違反事件の調査及び結果管理

（変更の範囲）
会社の定める業務/全ての業務への配置転換あり

●組織のミッション
リスク対策の専門組織として、規制対応、情報管理、システムリスク管理、AML対応などを的確に行い、当社が注力する金融決済サービスの着実な発展・拡大をサポートする
お客様に安心して利便性の高いサービスをご利用いただくことを共通目標とする

●組織の業務概要
組織：
グループの金融事業におけるリスク対策（態勢の構築・運用）
チーム：
金融・決済サービスの主管部門（第1線）から独立した第2線組織として情報セキュリティ観点でのルール整備やモニタリングによるリスクマネジメントの実施

<担当業務>
金融領域における利用者情報管理に関する業務
・利用者情報管理に関する規程類・マニュアルの策定・ブラッシュアップ
　−FISC準拠、対応マニュアルの種別の追加など
・個人データ・委託先台帳の整備
・利用者情報管理に関する2線検証の実施
　ー(1)自己点検の検証、(2)証跡による検証、(3)証跡＋実査含めた検証　
・1線向け研修の実施
・審査（規程外対応、例外対応の審査実施）

<業務の魅力>
・我が国有数の顧客基盤をもつ企業で、通信事業と並んで社会的影響力があり、事業の中核となる金融・決済事業に携わることができる。
・グループとして取り扱う金融・決済サービスは、クレジットカードやQRコード決済の他、資金移動、融資、保険、投資など多岐にわたり、多様な経験を積むことができる。
・QRコード決済など、業界全体としてまだ確たる基準がないサービスにおいては、官民協力しての新規のルール作りなどにも従事できる。
・スペシャリストとして、自由な発想で自身の能力を更に伸ばし、事業の発展と共に成長することが可能。

●組織のミッション
リスク対策の専門組織として、規制対応、情報管理、システムリスク管理、AML対応などを的確に行い、当社が注力する金融決済サービスの着実な発展・拡大をサポートする
お客様に安心して利便性の高いサービスをご利用いただくことを共通目標とする

●組織の業務概要
組織：
グループの金融事業におけるリスク対策（態勢の構築・運用）
チーム：
金融・決済サービスの主管部門（第1線）から独立した第2線組織として情報セキュリティ観点でのルール整備やモニタリングによるリスクマネジメントの実施

<担当業務>
金融領域における利用者情報管理に関する業務
・利用者情報管理に関する規程類・マニュアルの策定・ブラッシュアップ
　−FISC準拠、対応マニュアルの種別の追加など
・個人データ・委託先台帳の整備
・利用者情報管理に関する2線検証の実施
　ー(1)自己点検の検証、(2)証跡による検証、(3)証跡＋実査含めた検証　
・1線向け研修の実施
・審査（規程外対応、例外対応の審査実施）

<業務の魅力>
・我が国有数の顧客基盤をもつ企業で、通信事業と並んで社会的影響力があり、事業の中核となる金融・決済事業に携わることができる。
・グループとして取り扱う金融・決済サービスは、クレジットカードやQRコード決済の他、資金移動、融資、保険、投資など多岐にわたり、多様な経験を積むことができる。
・QRコード決済など、業界全体としてまだ確たる基準がないサービスにおいては、官民協力しての新規のルール作りなどにも従事できる。
・スペシャリストとして、自由な発想で自身の能力を更に伸ばし、事業の発展と共に成長することが可能。

●組織のミッション
リスク対策の専門組織として、規制対応、情報管理、システムリスク管理、AML対応などを的確に行い、当社が注力する金融決済サービスの着実な発展・拡大をサポートする
お客様に安心して利便性の高いサービスをご利用いただくことを共通目標とする

●組織の業務概要
組織：
グループの金融事業におけるリスク対策（態勢の構築・運用）
チーム：
金融・決済サービスの主管部門（第1線）から独立した第2線組織として情報セキュリティ観点でのルール整備やモニタリングによるリスクマネジメントの実施

<担当業務>
金融領域におけるシステム・サイバーセキュリティ管理に関する業務
・システム・サイバーセキュリティに関する規程類・マニュアルの策定・ブラッシュアップ
　−FISC準拠、対応マニュアルの種別の追加など
・システム台帳の整備
・システム・サイバーセキュリティに関する2線検証の実施
　ー(1)自己点検の検証、(2)証跡による検証、(3)証跡＋実査含めた検証
・1線向け研修の実施
・情報資産管理システム化
・リスクアセスメント
　−セキュリティチェックシートによる机上評価、ASM、CSPM、ハイジーン、脆弱性診断など）
・審査（規程外対応、例外対応の審査実施）

<業務の魅力>
・我が国有数の顧客基盤をもつ企業で、通信事業と並んで社会的影響力があり、事業の中核となる金融・決済事業に携わることができる。
・グループとして取り扱う金融・決済サービスは、クレジットカードやQRコード決済の他、資金移動、融資、保険、投資など多岐にわたり、多様な経験を積むことができる。
・QRコード決済など、業界全体としてまだ確たる基準がないサービスにおいては、官民協力しての新規のルール作りなどにも従事できる。
・スペシャリストとして、自由な発想で自身の能力を更に伸ばし、事業の発展と共に成長することが可能。

●組織のミッション
リスク対策の専門組織として、規制対応、情報管理、システムリスク管理、AML対応などを的確に行い、当社が注力する金融決済サービスの着実な発展・拡大をサポートする
お客様に安心して利便性の高いサービスをご利用いただくことを共通目標とする

●組織の業務概要
組織：
グループの金融事業におけるリスク対策（態勢の構築・運用）
チーム：
金融・決済サービスの主管部門（第1線）から独立した第2線組織として情報セキュリティ観点でのルール整備やモニタリングによるリスクマネジメントの実施

<担当業務>
金融領域におけるシステム・サイバーセキュリティ管理に関する業務
・システム・サイバーセキュリティに関する規程類・マニュアルの策定・ブラッシュアップ
　−FISC準拠、対応マニュアルの種別の追加など
・システム台帳の整備
・システム・サイバーセキュリティに関する2線検証の実施
　ー(1)自己点検の検証、(2)証跡による検証、(3)証跡＋実査含めた検証
・1線向け研修の実施
・情報資産管理システム化
・リスクアセスメント
　−セキュリティチェックシートによる机上評価、ASM、CSPM、ハイジーン、脆弱性診断など）
・審査（規程外対応、例外対応の審査実施）

<業務の魅力>
・我が国有数の顧客基盤をもつ企業で、通信事業と並んで社会的影響力があり、事業の中核となる金融・決済事業に携わることができる。
・グループとして取り扱う金融・決済サービスは、クレジットカードやQRコード決済の他、資金移動、融資、保険、投資など多岐にわたり、多様な経験を積むことができる。
・QRコード決済など、業界全体としてまだ確たる基準がないサービスにおいては、官民協力しての新規のルール作りなどにも従事できる。
・スペシャリストとして、自由な発想で自身の能力を更に伸ばし、事業の発展と共に成長することが可能。

●組織のミッション
リスク対策の専門組織として、規制対応、情報管理、システムリスク管理、AML対応などを的確に行い、当社が注力する金融決済サービスの着実な発展・拡大をサポートする
お客様に安心して利便性の高いサービスをご利用いただくことを共通目標とする

●組織の業務概要
組織：
グループの金融事業におけるリスク対策（態勢の構築・運用）
チーム：
金融・決済サービスの主管部門（第1線）から独立した第2線組織として情報セキュリティ観点でのルール整備やモニタリングによるリスクマネジメントの実施

<担当業務>
金融領域におけるシステム・サイバーセキュリティ管理に関する業務
・システム・サイバーセキュリティに関する規程類・マニュアルの策定・ブラッシュアップ
　−FISC準拠、対応マニュアルの種別の追加など
・システム台帳の整備
・システム・サイバーセキュリティに関する2線検証の実施
　ー(1)自己点検の検証、(2)証跡による検証、(3)証跡＋実査含めた検証
・1線向け研修の実施
・情報資産管理システム化
・リスクアセスメント
　−セキュリティチェックシートによる机上評価、ASM、CSPM、ハイジーン、脆弱性診断など）
・審査（規程外対応、例外対応の審査実施）

<業務の魅力>
・我が国有数の顧客基盤をもつ企業で、通信事業と並んで社会的影響力があり、事業の中核となる金融・決済事業に携わることができる。
・グループとして取り扱う金融・決済サービスは、クレジットカードやQRコード決済の他、資金移動、融資、保険、投資など多岐にわたり、多様な経験を積むことができる。
・QRコード決済など、業界全体としてまだ確たる基準がないサービスにおいては、官民協力しての新規のルール作りなどにも従事できる。
・スペシャリストとして、自由な発想で自身の能力を更に伸ばし、事業の発展と共に成長することが可能。

●組織のミッション
リスク対策の専門組織として、規制対応、情報管理、システムリスク管理、AML対応などを的確に行い、当社が注力する金融決済サービスの着実な発展・拡大をサポートする
お客様に安心して利便性の高いサービスをご利用いただくことを共通目標とする

●組織の業務概要
組織：
グループの金融事業におけるリスク対策（態勢の構築・運用）
チーム：
金融・決済サービスの主管部門（第1線）から独立した第2線組織として情報セキュリティ観点でのルール整備やモニタリングによるリスクマネジメントの実施

<担当業務>
金融領域におけるCSIRTに関する業務
・CSIRT業務の立ち上げ
・インシデントレスポンス（サイバーセキュリティ、情報セキュリティ）
　−対応・支援実施（サービス影響把握と各サービスへのインシデント対応指示など）
　−当局・経営陣報告
・フィッシングサイト、フェイクサイトなどのテイクダウン
・情報収集・配信・情報共有体制の構築
　ー金融ISAC、各サービスに紐づく協会、Threat Intelligence（IoC、ダークWeb情報、注意喚起など）の情報活用
・外部演習、内部演習の実施
　ー金融庁主催訓練（Delta Wall）などへの参画
　ーTLPTによるレッドチーム訓練、内部での机上訓練など

<業務の魅力>
・我が国有数の顧客基盤をもつ企業で、通信事業と並んで社会的影響力があり、事業の中核となる金融・決済事業に携わることができる。
・グループとして取り扱う金融・決済サービスは、クレジットカードやQRコード決済の他、資金移動、融資、保険、投資など多岐にわたり、多様な経験を積むことができる。
・QRコード決済など、業界全体としてまだ確たる基準がないサービスにおいては、官民協力しての新規のルール作りなどにも従事できる。
・スペシャリストとして、自由な発想で自身の能力を更に伸ばし、事業の発展と共に成長することが可能。

●組織のミッション
リスク対策の専門組織として、規制対応、情報管理、システムリスク管理、AML対応などを的確に行い、当社が注力する金融決済サービスの着実な発展・拡大をサポートする
お客様に安心して利便性の高いサービスをご利用いただくことを共通目標とする

●組織の業務概要
組織：
グループの金融事業におけるリスク対策（態勢の構築・運用）
チーム：
金融・決済サービスの主管部門（第1線）から独立した第2線組織として情報セキュリティ観点でのルール整備やモニタリングによるリスクマネジメントの実施

<担当業務>
金融領域におけるCSIRTに関する業務
・CSIRT業務の立ち上げ
・インシデントレスポンス（サイバーセキュリティ、情報セキュリティ）
　−対応・支援実施（サービス影響把握と各サービスへのインシデント対応指示など）
　−当局・経営陣報告
・フィッシングサイト、フェイクサイトなどのテイクダウン
・情報収集・配信・情報共有体制の構築
　ー金融ISAC、各サービスに紐づく協会、Threat Intelligence（IoC、ダークWeb情報、注意喚起など）の情報活用
・外部演習、内部演習の実施
　ー金融庁主催訓練（Delta Wall）などへの参画
　ーTLPTによるレッドチーム訓練、内部での机上訓練など

<業務の魅力>
・我が国有数の顧客基盤をもつ企業で、通信事業と並んで社会的影響力があり、事業の中核となる金融・決済事業に携わることができる。
・グループとして取り扱う金融・決済サービスは、クレジットカードやQRコード決済の他、資金移動、融資、保険、投資など多岐にわたり、多様な経験を積むことができる。
・QRコード決済など、業界全体としてまだ確たる基準がないサービスにおいては、官民協力しての新規のルール作りなどにも従事できる。
・スペシャリストとして、自由な発想で自身の能力を更に伸ばし、事業の発展と共に成長することが可能。

●組織のミッション
リスク対策の専門組織として、規制対応、情報管理、システムリスク管理、AML対応などを的確に行い、当社が注力する金融決済サービスの着実な発展・拡大をサポートする
お客様に安心して利便性の高いサービスをご利用いただくことを共通目標とする

●組織の業務概要
組織：
グループの金融事業におけるリスク対策（態勢の構築・運用）
チーム：
金融・決済サービスの主管部門（第1線）から独立した第2線組織として情報セキュリティ観点でのルール整備やモニタリングによるリスクマネジメントの実施

<担当業務>
金融領域におけるCSIRTに関する業務
・CSIRT業務の立ち上げ
・インシデントレスポンス（サイバーセキュリティ、情報セキュリティ）
　−対応・支援実施（サービス影響把握と各サービスへのインシデント対応指示など）
　−当局・経営陣報告
・フィッシングサイト、フェイクサイトなどのテイクダウン
・情報収集・配信・情報共有体制の構築
　ー金融ISAC、各サービスに紐づく協会、Threat Intelligence（IoC、ダークWeb情報、注意喚起など）の情報活用
・外部演習、内部演習の実施
　ー金融庁主催訓練（Delta Wall）などへの参画
　ーTLPTによるレッドチーム訓練、内部での机上訓練など

<業務の魅力>
・我が国有数の顧客基盤をもつ企業で、通信事業と並んで社会的影響力があり、事業の中核となる金融・決済事業に携わることができる。
・グループとして取り扱う金融・決済サービスは、クレジットカードやQRコード決済の他、資金移動、融資、保険、投資など多岐にわたり、多様な経験を積むことができる。
・QRコード決済など、業界全体としてまだ確たる基準がないサービスにおいては、官民協力しての新規のルール作りなどにも従事できる。
・スペシャリストとして、自由な発想で自身の能力を更に伸ばし、事業の発展と共に成長することが可能。

●組織のミッション
リスク対策の専門組織として、規制対応、情報管理、システムリスク管理、AML対応などを的確に行い、当社が注力する金融決済サービスの着実な発展・拡大をサポートする
お客様に安心して利便性の高いサービスをご利用いただくことを共通目標とする

●組織の業務概要
組織：
グループの金融事業におけるリスク対策（態勢の構築・運用）
チーム：
金融・決済サービスの主管部門（第1線）から独立した第2線組織として情報セキュリティ観点でのルール整備やモニタリングによるリスクマネジメントの実施

<担当業務>
金融領域における戦略・統括業務
・2線、1.5線、1線の業務・役割・責任の整理
　−社内の各種規程類の整理
　−社内セキュリティ関連各部との連携体制構築　など
・リスクマネジメント業務のツール整備
　−問い合わせ窓口機能、事案管理、チケット管理など
・会議体の設置・運営
・全社PT、金融・決済サービスに関する規程外対応、例外対応
・当局対応、幹部対応
　−新セキュリティガイドラインへの対応に向けた企画・展開含む
・社員向け訓練の企画・実施
　−メール訓練など訓練・教育による社員のセキュリティアウエアネス向上、演習企画（TLPTによるレッドチーム訓練、内部での机上訓練など）
・サービス企画/開発段階でのセキュリティ観点助言・審査

<業務の魅力>
・我が国有数の顧客基盤をもつ企業で、通信事業と並んで社会的影響力があり、事業の中核となる金融・決済事業に携わることができる。
・グループとして取り扱う金融・決済サービスは、クレジットカードやQRコード決済の他、資金移動、融資、保険、投資など多岐にわたり、多様な経験を積むことができる。
・QRコード決済など、業界全体としてまだ確たる基準がないサービスにおいては、官民協力しての新規のルール作りなどにも従事できる。
・スペシャリストとして、自由な発想で自身の能力を更に伸ばし、事業の発展と共に成長することが可能。

●組織のミッション
リスク対策の専門組織として、規制対応、情報管理、システムリスク管理、AML対応などを的確に行い、当社が注力する金融決済サービスの着実な発展・拡大をサポートする
お客様に安心して利便性の高いサービスをご利用いただくことを共通目標とする

●組織の業務概要
組織：
グループの金融事業におけるリスク対策（態勢の構築・運用）
チーム：
金融・決済サービスの主管部門（第1線）から独立した第2線組織として情報セキュリティ観点でのルール整備やモニタリングによるリスクマネジメントの実施

<担当業務>
金融領域における戦略・統括業務
・2線、1.5線、1線の業務・役割・責任の整理
　−社内の各種規程類の整理
　−社内セキュリティ関連各部との連携体制構築　など
・リスクマネジメント業務のツール整備
　−問い合わせ窓口機能、事案管理、チケット管理など
・会議体の設置・運営
・全社PT、金融・決済サービスに関する規程外対応、例外対応
・当局対応、幹部対応
　−新セキュリティガイドラインへの対応に向けた企画・展開含む
・社員向け訓練の企画・実施
　−メール訓練など訓練・教育による社員のセキュリティアウエアネス向上、演習企画（TLPTによるレッドチーム訓練、内部での机上訓練など）
・サービス企画/開発段階でのセキュリティ観点助言・審査

<業務の魅力>
・我が国有数の顧客基盤をもつ企業で、通信事業と並んで社会的影響力があり、事業の中核となる金融・決済事業に携わることができる。
・グループとして取り扱う金融・決済サービスは、クレジットカードやQRコード決済の他、資金移動、融資、保険、投資など多岐にわたり、多様な経験を積むことができる。
・QRコード決済など、業界全体としてまだ確たる基準がないサービスにおいては、官民協力しての新規のルール作りなどにも従事できる。
・スペシャリストとして、自由な発想で自身の能力を更に伸ばし、事業の発展と共に成長することが可能。

＜業務内容＞
●当行グループ各社間での顧客データの共同利用体制の企画・推進
●プライバシーガバナンス体制の企画・推進
●個人情報保護法等の法規制下でのデータ連携方法の企画・推進（プライバシー保護技術(Pets)の活用等）
●AIガバナンス体制の企画・推進 等

（募集背景）
・当行グループでは、”データ”を競争力の源泉となる企業資産の一つとしてとらえ、有用なデータの収集や品質の管理、また、データを分析・活用しビジネス展開する取り組みを進めています。
データマネジメント部門は、このようなデータの「分析・利活用」や「ガバナンス」を強化・推進することを主なミッションとするデータの専門部署です。
・当行グループにおいて「データ分析・利活用」における価値をお届けするためには、規制とテクノロジーの双方の観点を踏まえながら、安心・安全なデータ利活用体制を構築することが大前提になります。こうした取組みはお客さまからの信頼を確保するとともに、企業にとって社会的責任を果たすものでもあり、今後のデータ利活用を推進していく上では必要不可欠な対応となります。
・今回は、データマネジメント部門の一員として、当行グループにおけるデータ・AI利活用に向けたガバナンス・リスク管理体制を企画・推進していくポジションを募集します。

情報セキュリティのジェネラリストとして、社内外のステークホルダーと連携を取り、当社ソリューションのセキュリティガバナンスの強化や外部認証の取得などの実業務を通じて、セキュリティと利便性の両立を目指します。
本ポジションは情報セキュリティ部内でのグループマネジャー候補の募集です。

▼業務内容
情報セキュリティ／リスク管理体制の運用
情報セキュリティに関する社内規程類の制定・改定
情報セキュリティに関するプロセスの設計・構築、文書化と既存プロセスの改善
情報セキュリティに関する社内教育・啓発活動の企画および実施
セキュリティに関する内部監査の企画、実施および改善
各種セキュリティ認証取得の事務局運営、既存認証の更新や拡大
マネジメントシステムのPDCA運用や社内相談対応
最新法令、ガイドラインなどのキャッチアップ

本ポジションの魅力
▼幅広い業務領域
セキュリティ体制や規程の整備、教育啓発、ISMAP、ISMSの認証取得までセキュリティガバナンスの幅広い領域を担当することで、これまでの経験を活かすこと、また職務領域を広げることができます。

▼多くのステークホルダーとの協働
経営層から各種プロダクトのエンジニアまで多くのステークホルダーと関わりを持ちながら仕事をすることができ、会社全体が見渡せるポジションです。

情報セキュリティのジェネラリストとして、社内外のステークホルダーと連携を取り、当社ソリューションのセキュリティガバナンスの強化や外部認証の取得などの実業務を通じて、セキュリティと利便性の両立を目指します。

▼業務内容
情報セキュリティ／リスク管理体制の運用および改善
情報セキュリティに関する社内規程類の制定・改定
情報セキュリティに関するプロセスの設計・構築、文書化と既存プロセスの改善
情報セキュリティに関する社内教育・啓発活動の企画および実施
各種セキュリティ認証取得の事務局運営、既存認証の更新や拡大
マネジメントシステムのPDCA運用や社内相談対応
最新法令、ガイドラインなどのキャッチアップ

本ポジションの魅力
▼幅広い業務領域
セキュリティ体制や規程の整備、教育啓発、ISMAP、ISMSの認証取得までセキュリティガバナンスの幅広い領域を担当することで、これまでの経験を活かすこと、また職務領域を広げることができます。

▼多くのステークホルダーとの協働
経営層から各種プロダクトのエンジニアまで多くのステークホルダーと関わりを持ちながら仕事をすることができ、会社全体が見渡せるポジションです。

決済サービスを下支えする社内IT環境（『社内OA』『社内システム』）の運用・管理、情報セキュリティ管理態勢の強化に取り組んでいただきます。

これまでのご経験を活かしつつ、さらに情報資産管理・情報セキュリティでの知見や経験を積み、キャリアアップをされたい方も歓迎いたします！

（ご入社直後）
【具体的な業務内容】
・Azure・MS365を中心にした社内業務基盤の設計・運用管理
・情報セキュリティの全社的な維持管理のための事務局活動
・クラウドのサービスやソリューションを活用した業務改善・課題解決への取り組み
・業務効率化・セキュリティ向上の提案〜実施

（変更の範囲）会社内のすべての業務

グループの中長期計画をふまえ、海外グループ会社を含む施策の立案~実行やリスク評価・アセスメントなどの業務を関係者とコミュニケーションを取りながら推進いただきます。

【具体的な業務内容】
・ポリシー・ルール・マニュアル類の作成・更新作業の実施、及び、利用者への周知
・対策状況の確認、及び、アセスメントの実施・分析
・リテラシ向上施策（研修・訓練など）の企画・運営
・インシデント発生時の対応、対応訓練の実施

●働き方について
毎週　金曜日　チーム会（本社出社）
現在、チームメンバーの出社は週2日程度となっております。

※入社直後は原則出社いただく予定です。

全社のセキュリティ強化に向けた仕組み作り、組織作りをおこないます。
中長期的なセキュリティ強化とパブリッククラウドでのシステム基盤をベースとするIT戦略構想の実現に向け、セキュリティエンジニアの募集を行います。

近年多発している多種多様なサイバー攻撃から会社の財産・信頼を守り、社員が安心して働ける環境を提供することが重要と考えています。
そのために必要な規程やルールの策定、セキュリティリスクを防止・軽減するための仕組みづくり等を通して活躍することができます。

●サイバーセキュリティアセスメントの実施、セキュリティ中長期ロードマップの作成
●セキュリティ監視、インシデントレスポンスなど脅威検知やその対応
●セキュリティ要件およびセキュリティレビュー
●新技術やサービスを踏まえたシステム担当者向けのセキュリティガイドラインの策定
●アプリケーション、ミドルウェア、ネットワーク機器の脆弱性診断
●セキュリティソリューションの導入、運用設計

＜サイバーセキュリティアセスメント＞
・NIST CSF などを用いたセキュリティアセスメント

＜セキュリティ推進＞
・セキュリティソリューションの選定、導入および運用

＜セキュリティ監視、防御＞
・社内SOCチームの運営、外部SOCチームとの連携
・様々なサイバー攻撃による不正侵入の監視・分析

＜脆弱性管理＞
・サーバ、ネットワーク機器脆弱性診断
・WEBアプリケーション脆弱性診断

【働く魅力】
セキュリティ面の強化およびSOC運用の建付けを今まさに実施中ですので、一から構築するといった貴重な経験をすることができます。
タスクは複数ありますので、今までの経験を活かして活躍することも自身のキャリアアップにつなげることもできるところが働く魅力です。

【セキュリティエンジニアとして期待していること】
・セキュリティ対策として必要な取り組みを能動的に実行できる
・周知・報告ができ、対策の提案・実行を積極的にしていただける

当社では、セキュリティの強化に注力しており、昨年セキュリティ部を立ち上げました。その中でセキュリティ監査グループにおいて、セキュリティ監査の対応やISMS/ISMAP取得に向けた業務をお任せします。新しい部署ですので、既存のやり方にとらわれずチャレンジできる点が魅力です。

*ISMAP（Information system Security Management and Assessment Program）は、政府が活用するクラウドサービスのセキュリティを評価する制度です。

チームとしての主な仕事内容は下記の通りですが、単に仕事をこなすのではなく、ビジネスへの貢献という意識を念頭に置いて業務に取り組む必要があります。
例えば、委託先評価ではビジネスが使いたい委託先のセキュリティ管理に問題があった場合に単に委託先は使用できませんと言うのではなく、追加的なコントロールを導入するとか、適切な使用条件を設定するなど、許容可能なレベルまでリスクを低減させるための提案を行うといったことも求められますし、アプリケーション評価では、プロジェクトチームに当社が求める高いセキュリティ水準についての教育をすることもあります。
なお、仕事内容については企業の進化するニーズに合わせて、常に進化して行きます。

・アプリケーション開発のセキュリティ評価サポート
・委託先の情報セキュリティ統制の確認およびモニタリング
・規定に準拠できない時のリスク緩和策策定支援やその例外管理
・クライアントや委託先との契約書にある情報セキュリティ条項のレビュー
・クライアントからの情報セキュリティに関する問い合わせ対応
・年次セキュリティポリシー準拠性評価
・評価プロセスの深化や効率化のための継続的改善

●当社の中期経営計画実現に向け、全社のITセキュリティ、インフラの方針/戦略の配下拠点への周知・展開、遵守点検等を一緒に進めていただきます。
●それに加え、グローバル戦略本部および配下拠点での事業ニーズや課題、地域の特性（各国個人情報保護法の対処など）を把握し、グローバル戦略本部独自の対応策や実行計画の立案・推進、全体のリソースや投資コントロール、施策の評価・効果測定などを、地域中核拠点のリーダーと協業で推進いただきます。
※応募いただく方の専門性・経験に合わせて担当いただくミッションを決定致します。

●使用ツール：セキュリティ：CrowdStrike、Zscalerなど
国内、海外基幹システム：SAPなど

●ポジション・立場：グローバル戦略本部企画部ＩＴグループ内で、セキュリティ担当として、情報セキュリティリーダーの元で、配下拠点のセキュリティガバナンス等の業務を補佐する。（社員4名、協力会社10名程度）

●仕事のやりがい：
・全社で決められた方針・戦略の展開だけでなく、自らがテーマを創出・実行していけるクリエイティブな仕事ができる。
・創出したテーマの推進、セキュリティマネジメント（リスク、コスト、人材管理）のフレームワーク作り、ＰＪ推進後の海外法人・拠点の評価（効果測定）、改善フォローといった一連の流れを担当できる。
・グローバル企業として、出自の異なる海外法人と本社・現地拠点を有機的に統合し効率的に機能させていく難易度の高い業務に挑戦できる。

●当社の強み：グローバル戦略本部は、現在の管轄域であるアジオセはじめ、今後はアフリカも管轄になるため、”道なきところに道を作る”ような挑戦の機会が多い職場です。また、色々なバックグラウンドを持つ多国籍の仲間と、自由で活気溢れる職場環境であり、とらわれない発想や、困難に打ち勝つ力をもつ人材が豊富です。

●キャリアパス：
・プロジェクトリーダーまたはプロマネへの挑戦：メンバーとしての経験を積みながら、プロジェクトマネージメントやガバナンスのスキルを身につけ、プロジェクト全体のリーダーに挑戦する機会があります。
・情報セキュリティマネージャーへのキャリアシフト：情報セキュリティ領域に特化し、組織全体のセキュリティ戦略やリスク管理を担当するポジションに進める可能性があります。
・ＩＴグループ内の他グループに異動し、グローバルな基幹システム導入や見える化など、セキュリティ以外のプロジェクトに挑戦する機会があります。
・海外子会社への出向：関連会社に出向するチャンスがあり、ＩＴ全般のマネージメントスキルを積むと、海外拠点のＩＴ責任者等のポジションで働くことができます。

ISMSをベースとした人的・組織的セキュリティ管理体制構築・運用の中心メンバーとしてチームマネジメントとプロジェクト推進を担当いただきます。

また、事業や業務をセキュリティの側面から支える組織作りとともに、様々なバックグラウンドを持つ多様なメンバーが一丸となれる会社全体のセキュリティ文化醸成への貢献も期待します。

●主な業務内容
◯ISMS認証の維持・管理とそれに付随する管理策の推進
　・ISMS運用の全体計画・進捗管理
　・リスクアセスメント・リスク対応計画の進捗確認
　・各種記録の作成と管理
　・内部監査計画・実施
　・審査機関との協議・調整 等

◯情報セキュリティ及び個人情報取扱いに関するルールの整備
　・規程類（ポリシー・基準・ガイドライン）の維持・更新（法令対応を含む）
　・マニュアル・ガイドブックの作成と維持

◯情報セキュリティ・個人情報取扱いに関わるプロセスの改善
　・リスクアセスメントプロセスの見直し・改善
　・個人情報の取扱いに係る手続きの整備・改善
　（データマッピング、プライバシーポリシー改定） 等

◯情報セキュリティ・個人情報取扱いに関わる啓発・教育（企画 実施）
　・コミュニケーション計画の策定
　・研修・教育コンテンツの作成・研修の実施
　・啓発コンテンツの配信 等

◯情報セキュリティ・個人情報取扱いに関わる相談対応、他部門支援
　・情報セキュリティ・プライバシーに関する社内問い合わせ対応
　・インシデント対応支援

●ポジションの魅力
お仕着せのセキュリティではなく、会社とともに成長するセキュリティを創っていくことができる。
企画段階の新規サービスや事業に参画し、情報セキュリティ・プライバシー領域で貢献できる。
社内全部門と関わりを持ちながら仕事ができる。

当社情報システム担当として以下の職務を検討/企画/遂行いただきます。

・ISMS認証審査への対応
・セキュリティインシデントレスポンス体制の企画構築/維持
・セキュリティポリシーおよび関連規程の整備
・BCPの企画構築/維持
・セキュリティアーキテクチャの企画/設計/実装
・情報セキュリティインテリジェンスの構築/運用
・SOCの立ち上げ企画
・社内への情報セキュリティ啓発の企画/実施

【この職種の魅力】
旧態依然とした現状から、1,000名規模の社員数に拡充した会社ステージを鑑み、全社セキュリティ態勢の包括的な確立を改めて初期段階からリードすることができます。

当社、クラウドセキュリティ領域責任者としてAI Solutions事業部のセキュリティ・リスク管理に関する業務をお任せ致します。

当社ソリューション・サービスのセキュリティ管理体制の強化及び体制整備を主導していただきます。また、経理財務責任者が現在兼務しているセキュリティチェックフローの業務を引き継ぎ、専門的な視点からセキュリティの強化を図る役割を担っていただきます。

●具体的な業務内容
・AI Solutions事業部のセキュリティ・リスク管理
・クラウドサービス等のリスク管理ツールにおいて、A評価取得を目指した体制整備
・セキュリティ強化を目指したセキュリティチェックフローの業務の設計及び整備

●この仕事の魅力
・急速に導入社数が増加している自社プロダクトの成長に貢献することができ、新しい技術に触れる機会が豊富に存在します
・国内外問わず各分野のトップクラスのメンバーで構成された少数精鋭の組織のため、意思決定のスピードが早く、経営層と近い距離感で勤務いただけます
・需要の高い音声処理や自然言語のAI × SaaSプロダクトの知見獲得とキャリア構築ができます
・リモートワークが可能です
・ストックオプション付与の可能性があります

・コンプライアンス統括部の情報セキュリティ担当チームにて、主に情報漏えい対策や個人情報保護鵜等に関する企画立案、推進の業務に携わっていただきます。

事業継続の為の必須条件である、秘密情報漏洩防止のために、事業部の責任者として、事業部の各情報資産の保全、管理運用状況の確認を行う。当社全体の情報セキュリティ・個人情報保護の方針のもと関係部署と連携して情報セキュリティ管理業務・施策の遂行計画を策定・実行する。

【職務詳細】
当グループ全社の情報セキュリティ/個人情報管理部門と連携してセキュリティ戦略を実行し、その実行結果を確認する。
組織の方針および関連する規制規範、ならびに行動規範に対して事業部内の取り組みと行動を推進する。
情報資産の保全・管理に関わる施策や法規制に対応した規則に基づき事業部内の運用状況・管理状況の確認を行う。
事業部内に対して方針適用に関する助言を行い、組織内でそれらの業務手順の検討・再考・改善を推進する。

【ポジションの魅力・やりがい・キャリアパス】
顧客との解約履行に必要な各種情報や我社の保有する情報資産、個人情報の管理・運用状況を常時確認することにより顧客からの信頼を確実なものと続けることによりディフェンス事業部の成長に貢献できる。
更に、情報セキュリティに関する全社施策の実施に加えて、ディフェンスシステム事業部の事業特性上必要となる施策を検討、実施し全社共通の「鳥の目」の視点から、事業特性上必要な「虫の目」の視点に至る、情報セキュリティ全般の思考過程、運用、管理に関する実践的なスキルを修得し、自らが成長することにより、情報セキュリティのオーソリティとして事業の成長に貢献できる。

グループ全体のセキュリティを担う重要なポジションをお任せします。IT及びセキュリティに関する知識・ご経験を活かし、数種のセキュリティ導入などをお願いします。

【具体的な業務内容】
●デジタルアイデンティティ・ゼロトラスト領域の企画、構築、維持管理
具体的には、
・SOC/CSIRTの導入、定着、強化
・ゼロトラスト・セキュリティ
・アイデンティティ管理・認証・アクセス管理（Enterprise IAM）
・管理方針・モデル・ルールの策定
・プロジェクト管理
・システム構築・ソリューション導入
・チェンジマネジメント（エンドユーザーコミュニケーション、移行プランニングなど）
・運用設計・体制構築
・Microsoftディフェンダー導入サポート

【対象となるインフラ環境】
●システム
・基幹システム（オンプレミス）、会計・人事システム（AWS）
・サーバー：自社データセンター
・パソコン、携帯等の端末
●規模
・拠点数：約250拠点
・従業員数：3348名（グループ全体）

【業務の魅力】
●セキュリティの最先端に携わることができる
・セキュリティの最先端であるSOC／CSIRTの構築、運用のスキルやご経験を活かして、セキュリティ専門担当としてご活躍いただけます。
●経営に直結する重要なシステムに携わることができる
・経営層の近くで、情報システムの在り方を企画・提案していくことができます。
・多様な要求事項に対応するため組織を変革しつつある中で、新しい仕組みを作り上げていくことを経験できます。

当社のIT統括部にて、サイバー・情報セキュリティ戦略の企画・実行、ガバナンス整備等にご従事いただきます。当社は金融持株会社という組織形態であることから、フィナンシャルグループ全体を俯瞰した超上流フェーズのセキュリティ戦略企画にもご従事いただくことが可能です。

＜業務の具体例＞
・セキュリティ戦略のグランドデザイン、ロードマップ開発
・アクションプラン及び各種KPIの策定
・グループ会社のサイバーセキュリティ関連の取組に関する成熟度評価
・グループ各社共通のセキュリティガイドライン等の制定・改廃
・セキュリティソリューションの導入・運用管理
※上記は一例です。ご本人の適性、ご経験、ご希望を考慮して業務をアサイン致します。

グループにおけるサイバーセキュリティ統括・ガバナンス業務
・電気通信サービスを支える共通システム・バックオフィス網におけるセキュリティ対策基準（規程）の策定
・グループ会社に対するセキュリティガバナンス（規程浸透・セキュリティ対策支援）　等

業務詳細補足
※その他会社が定める業務に従事する可能性があります

グループ内の各社・各組織（国内のみ）に対し、情報セキュリティ領域に特化した監査を行う監査実務担当者です。
業務情報の取扱い状況、情報インフラの整備運用状況、情報資産の保全状況など情報セキュリティ領域全般について、資料(データ)分析、インタビュー、現地往査等を通じて検証・評価し、改善に向けた助言・提案を行います。
同時に、グループ全体のISMS(ISO27001)認証の維持のために必要な検証・評価と、改善に向けた助言・提案を行います。

行政ソリューションを手掛ける当社グループにて、グループ会社7社に関する情報セキュリティ担当をお任せいたします。

地方創生に繋がる様々なサービスを展開しており、事業基盤を更に強化すべく、リスクマネジメントに係る企画・運用改善に力を入れています。

その中でも、情報セキュリティ分野を更に強化したいと考えており、新サービス立上げ時のリスク評価やソリューションの提案、脆弱性診断等をはじめとする、幅広い業務をお任せしたいと考えております。

【具体的な業務内容】
以下のような業務テーマの中から、ご志向・ご経験をお伺いしながら、柔軟にアサインさせていただきます。

◆新規サービス導入/既存サービス改善における、情報セキュリティ面のリスク評価およびソリューションの提案
◆社内における各種情報セキュリティ相談対応や問い合わせ対応
◆全社的な脆弱性対応管理やインシデント対応管理
◆情報セキュリティに関する方針策定、ポリシー/マニュアル整備
◆情報セキュリティ関連文書や社内規程の整備および管理
◆社内における情報セキュリティ意識向上に向けた啓蒙活動
など

自身で裁量を持ちながら、グループ各社のあるべきセキュリティ方針・態勢について考え、推進していける環境です。

事業基盤が安定している企業からベンチャー企業まで、幅広い配下会社を有することから、各社の事業特徴を踏まえた最適解を導出し、グループセキュリティを向上させていける醍醐味がございます。
スペシャリストとしてのキャリアはもちろん、マネジメントキャリアも開けており、ご志向に応じて柔軟にキャリアを構築していくことができます。

【本ポジションの魅力】
◆1つのグループでありながら、様々なサービスに携わっていただけます。新規事業の立上げも積極的に行っており、検討フェーズから関わっていただける機会もございます。一次産業を含めた幅広い事業会社のセキュリティ検討を通じて、ご経験の幅を広げながら、専門性を高めていただける環境がございます。
◆AIを含めた最新技術動向に触れ続け、知見をアップデートしていける環境です。グループ各社にて各種Web・DXサービスを提供していることから、実務を通じて技術知見を培っていくことが可能です。（経営企画と連携し、生成AIの活用ガイドライン策定等も実施）　加えて、最新技術動向に関する研修/セミナー受講機会も開けており、自身で受講したいプログラムを選び、会社負担で参加するケースもございます。
◆ワークライフバランスの取れた環境で、ご家庭とお仕事を両立いただきながら、腰を据えてご活躍いただけます。平均残業時間は20-30時間/月目安となります。女性社員が7-8割を占めるほか、現在育児休暇を取得している社員もいる等、ライフイベントに対しても柔軟にサポート可能な職場環境がございます。

行政ソリューションを手掛ける当社グループにて、グループ会社7社に関する情報セキュリティ担当をお任せいたします。
地方創生に繋がる様々なサービスを展開しており、事業基盤を更に強化すべく、リスクマネジメントに係る企画・運用改善に力を入れています。
その中でも、情報セキュリティ分野を更に強化したいと考えており、情報セキュリティ監査や法令、規格等に基づく規程整備等をはじめとする、幅広い業務をお任せしたいと考えております。

【具体的な業務内容】
以下のような業務テーマの中から、ご志向・ご経験をお伺いしながら、柔軟にアサインさせていただきます。
◆情報セキュリティに関する方針策定、ポリシー/マニュアル整備
◆情報セキュリティ関連文書や社内規程の整備および管理
◆社内における情報セキュリティ意識向上に向けた啓蒙活動
◆全社的な脆弱性対応管理やインシデント対応管理
◆社内における各種情報セキュリティ相談対応や問い合わせ対応
◆新規サービス導入/既存サービス改善における、情報セキュリティ面のリスク評価およびソリューションの提案など
自身で裁量を持ちながら、グループ各社のあるべきセキュリティ方針・態勢について考え、推進していける環境です。
事業基盤が安定している企業からベンチャー企業まで、幅広い配下会社を有することから、各社の事業特徴を踏まえた最適解を導出し、グループセキュリティを向上させていける醍醐味がございます。
スペシャリストとしてのキャリアはもちろん、マネジメントキャリアも開けており、ご志向に応じて柔軟にキャリアを構築していくことができます。

【本ポジションの魅力】
◆1つのグループでありながら、様々なサービスに携わっていただけます。新規事業の立上げも積極的に行っており、検討フェーズから関わっていただける機会もございます。一次産業を含めた幅広い事業会社のセキュリティ検討を通じて、ご経験の幅を広げながら、専門性を高めていただける環境がございます。
◆今後、リスクマネジメント推進室全体として、「配下会社のリスクの横断評価スキーム確立」「各社事業・関連法制等に合わせたチューニング」を行っていく予定です。グループガバナンスとしての視点から、横断的なセキュリティマネジメント態勢の確立にチャレンジいただくことが可能です。

◆経営層・事業部門と距離が近く、二人三脚で協働しながら、セキュリティと利便性のバランスを図り、事業発展に繋げていける醍醐味がございます。

◆ワークライフバランスの取れた環境で、ご家庭とお仕事を両立いただきながら、腰を据えてご活躍いただけます。平均残業時間は20-30時間/月目安となります。女性社員が7-8割を占めるほか、現在育児休暇を取得している社員もいる等、ライフイベントに対しても柔軟にサポート可能な職場環境がございます。

Overview：
IT Risk and Control plays a leading role in delivering a forward-looking and robust risk management framework across Technology globally. We are accountable for overseeing and challenging our Technology functions on the effective management of risk, and our role is pivotal from a regulatory perspective - influencing, for example, how regulators perceive Technology’s risk management framework.

This is an ED role, offering great potential for involvement across the IT organisation - IT Business units, and within our IT Risk and Control team globally − as well as interfacing closely with the Operational Risk department, Legal, Compliance, Regulatory Affairs, Vendor Management, Internal and External Audit and our Japan regulators including JFSA, BOJ, and SESC.

If you are looking for an opportunity to be at the heart of the Technology risk management, leveraging your hands-on experience in senior IT and IT risk management role, and sound knowledge of risk and controls principles, this may be an ideal opportunity for you. You will work with our IT Business Units and IT senior management to fully understand and actively manage the Firm’s Technology risk profile. In your risk management oversight role, you will be able to navigate a landscape of competing priorities − understanding where to strike the balance between managing risks and acknowledging or accepting certain risks. In this capacity you will be advising Technology management on those matters requiring their attention and those which are of lesser importance.

You will be a leader and role model within the IT Risk and Control and you will need to leverage your leadership and influencing skills to continue to develop a strong working relationship across our Technology teams globally and Business stakeholders.


Key Areas of Oversight and Engagement：
Further develop, enhance, and oversee the implementation of the IT policies, procedures, standards, and risk management methodologies;
Ensure the firm’s Operational Risk Management Framework, including the Firm’s Risk Management Enhancement Programme (RMEP), is demonstrably embedded with the IT Division and that Management Information (MI) is available to verify that;
Conduct controls testing and advise where control enhancements are required;
Oversee the annual Internal and External audits of the IT Division;
Participate in the firm’s risk management forums and committees as necessary , e.g.
Regulatory Affairs Forum, Operational Risk Management Forum, Technology Governance Forum etc.;
Liaise with the second and third lines of defence to ensuring that their requirements are
taken into account within the IT Division’s IT risk management framework;
Provide an IT risk advisory service to the IT Division and the firm generally;
Assess and advise on the risk management requirement for new and emerging technologies, e.g., Cloud, Secure by Design.

Responsibilities：
● Collaborate with the appropriate teams to investigate and analyze cyber incidents to:
　・Determine scope and impact
　・Collect and preserve digital evidence in a forensically sound manner
　・Coordinate with internal and external stakeholders to manage incident response efforts
　・Monitor external data sources to stay updated on the latest cyber threats and vulnerabilities
　・Perform trend analysis and generate reports on incident findings
　・Develop and implement strategies for incident containment and eradication
　・Conduct post-mortem reviews and recommend improvements to security posture
● Develop, implement, and continuously improve the cybersecurity incident response plan, policies, and procedures
● Develop, implement, and continuously improve the various cyber scenario playbooks including decision-making trees, checklist, hand-off between IT and security, escalation, roles and responsibilities, etc.
● Lead and manage a team of Cyber Defense Incident Responders across all regions such as AMER, EMEA, Asia (excluding Japan), and Japan
● Coordinate response efforts during security incidents, including communication, escalation, and resolution
● Conduct post-mortem reviews to identify root causes and recommend preventive measures, with thorough documentation to regulatory standards
● Collaborate with other teams, including Technology, the business Legal, and Compliance, to ensure alignment on incident response processes and protocols
● Stay current on the latest threats and trends in information security and cyber and incorporate best practices into the incident response program
● Provide regular updates and reports to senior management on incident response activities, metrics, and trends that are customized to multiple audiences.
● Act as a subject matter expert on incident response, providing guidance and training to staff across the organization