情報セキュリティ（自社向け）、日系金融機関の転職求人

・セキュリティ企画/管理
　・最新のセキュリティ製品企画/導入
　・セキュリティインシデント対応
　・脅威インテリジェンス等、セキュリティ情報収集
　・社員のセキュリティリテラシー教育
・事業拡大に伴うM&A子会社のセキュリティ評価/改善

【本ポジションの魅力】
・金融機関としての厳格なセキュリティポリシーの習得(金融庁セキュリティガイドライン対象)
・最新のセキュリティ製品、インシデント対応スキル、脅威インテリジェンス収集スキル等、
幅広いセキュリティ知識/スキルを習得可能
・CISSPや情報安全確保支援士を保有する社員(複数在籍)との業務や、
充実した教育制度により、入社後に専門知識の向上が可能
・セキュリティ資格の更新費用は会社負担
・部内にキャリア採用者が多数おり、溶け込みやすい環境
・在宅勤務は本人判断。平均は週4日在宅勤務。入社直後は出社して他の部員が業務説明

【従事すべき業務の変更範囲】
グループ内またはその他当社が指定した法人、団体等における金融業およびそれに関連するサービス・諸業務

・グループ全体の情報セキュリティ体制の構築・強化
・個人情報保護法・3年ごと改正に向けた対応（国内グループ各社への支援を含む）
・情報セキュリティ・サイバーセキュリティに関するインシデント対応
・情報セキュリティ・サイバーセキュリティに関する再発防止策の策定、グループ会社への浸透・定着など

【金融機関のリスク管理業務担当者、与信管理・情報セキュリティ管理業務等担当者】
下記の業務のいずれかまたは適性・本人希望により複数分野を横断的に担当いただきます。

・金融機関としてのリスク管理業務　　金融規制の枠組み・コンプライアンスの観点からの実務
・市場リスク管理(証券会社の商品を理解し、定量的なリスクモニタリングを実施。手法について部内にナレッジあり、他社経験での積極的な業務改善提案等歓迎。）（具体的には、ポジションモニタリング、リミット管理、損益管理、VaR等リスク指標モニタリング、ストレステスト等）
・信用リスク管理（個別与信審査、継続モニタリング）としてリテール（信用取引・先物OP取引・FX等）及びホールセール双方に関する業務及びシニアマネジメントへの報告
・オペレーショナルリスク管理業務（オペ事故管理・コントロールリスクアセスメント（CSA）ほか）、特にシステムリスク・情報セキュリティリスクに関する業務、個人情報保護に関する業務
・BCP関連業務　（BCP立案、訓練実施、社内調整など）

・情報セキュリティ対策の構築、運用
・社内規程・標準の策定・運用、法令対応
・セキュリティインシデント対応
・脆弱性診断の実施と設計・実装におけるセキュリティレビュー
・システムリスクの評価及び改善策の策定・実施

【求人の特色・一押しポイント】
●年間数千億円のIT投資を続ける日本最大の総合金融グループのシステム部門の求人。約4人に1人が中途採用。
●金融業界最高峰の内製レッドチームを構築中。組織のセキュリティ態勢を攻撃者の視点から評価し、改善策を提案。

【ポジション概要】
当行およびグループ全体を対象に、内製レッドチームの一員として疑似サイバー攻撃を実施し、セキュリティ態勢・対策の有効性検証・改善提案を行います。

【業務内容・役割】
具体的には以下のような業務を、海外拠点在籍メンバーと協働しながら推進いただくことを想定しています。
●ペネトレーションテスト対象組織・システムの選定、およびテスト計画の立案
●疑似攻撃ツール・インフラの開発・構築
●疑似攻撃シナリオの作成・実施
●発見事項に基づく関係者・マネジメントへのセキュリティ態勢・対策の改善提案

【魅力・やりがい】
金融という社会インフラを舞台に、レッドチームのスペシャリストとしてご活躍いただけます。高度なスキルをもつメンバーと共に、机上の評価では発見が難しいクリティカルな課題を捉え、グローバル規模でセキュリティ態勢を改善していく過程は、高いレベルでの成長とやりがいを得られる絶好の機会です。

【想定キャリアパス】
レッドチームのスペシャリストとしてその道を究め、将来的にはチーム全体を通じた価値貢献や後進育成など、マネジメント層としての活躍を期待します。また、同業務の経験を活かし、他のサイバーセキュリティ領域や、IT戦略企画・リスク管理等の業務にチャレンジすることも可能です。

●海外(中国・ASEAN・欧米に約10社)に対するセキュリティ企画/管理
　・最新のセキュリティ製品企画/導入
　・セキュリティ評価シートによる点検/課題改善
　・セキュリティインシデント支援
　・現地社員のセキュリティリテラシー教育
●事業拡大に伴う新規子会社のセキュリティ評価/改善

【本ポジションの魅力】
・海外拠点スタッフと英語による業務を担当(頻繁でないものの海外出張あり)
・金融機関としての厳格なセキュリティポリシーの習得(現在、金融庁セキュリティガイドライン対応中)
・最新のセキュリティ製品、インシデント対応スキル、脅威インテリジェンス収集スキル等、幅広いセキュリティ知識を習得可能
・CISSPや情報安全確保支援士を保有する社員(複数在籍)
との業務や充実した教育制度により、入社後も専門知識の向上が可能
・セキュリティ資格の更新費用は会社負担
・部内にキャリア採用者が多数おり、溶け込みやすい環境
・入社後、業務に慣れるまでは出社多めですが、業務習得できてくれば個々の裁量で週3〜4日の在宅勤務可能

【従事すべき業務の変更範囲】
グループ内またはその他当社が指定した法人、団体等における金融業およびそれに関連するサービス・諸業務

※総合系でのご入社となります。

基本的な職務内容は以下のとおりです。

情報セキュリティ分野での専門性を活かし、全社的な内部管理態勢構築に向けた施策策定、実行等、コンプライアンス部内のチームマネジメントともに体制整備を行っていただきます。
・社内の情報セキュリティ・サイバーセキュリティ管理体制の確立および高度化に向けた施策策定、実施
・代理店の情報セキュリティ管理体制、外部委託管理等の管理および体制の高度化実現
・情報漏えい事案、サイバーセキュリティ関連事案の対応
・個人情報保護法や不正競争防止法など関連法規を踏まえたガバナンス体制構築
・デジタル・データの利活用関連の個人情報保護法対応　
・システム利用権管理、ＡＩガバナンス、データガバナンス
（生成AI含めた全社的なリスク管理態勢構築、デジタル技術AIを活用したモニタリング態勢、プラットフォーム構築）

上記を通じ、経営（経営トップや取締役）の重要な経営判断に際し、重要な論点整理・対応方針の起案の指示があった場合等において、実務的な対応を統括する役割をになっていただきます。

※総合系でのご入社となります。

基本的な職務内容は以下のとおりです。

情報セキュリティ分野での専門性を活かし個々の事案対応に加え、全社的な内部管理態勢構築に向けた施策策定、実行等を担っていただきます。
・情報漏えい事案、サイバーセキュリティ関連事案の対応（事実把握、調査方針等の策定または現場支援 等）
・社内の情報セキュリティ・サイバーセキュリティ管理体制の確立および高度化に向けた施策立案、展開実施
・代理店の情報セキュリティ管理体制、外部委託管理等の管理および体制の高度化実現
・個人情報保護法や不正競争防止法など関連法規を踏まえたガバナンス体制構築
・デジタル・データの利活用関連の個人情報保護法対応　
・システム利用権管理、ＡＩガバナンス、データガバナンス
　　（生成AI含めた全社的なリスク管理態勢構築、デジタル技術AIを活用したモニタリング態勢、プラットフォーム構築）

当社の証券ビジネスを支えるITシステムを安全かつ安定的に運用し、新たなサービスを創出する「プラットフォームの高度化」を推進しております。「プラットフォームの高度化」を実現するためには、日々巧妙化するサイバー攻撃への対策やシステムリスク軽減の対応としてリスクベースアプローチによるチェック体制の強化が不可欠です。
本施策を推進するためのシステムリスク管理、セキュリティ対策の企画・運営業務に従事いただきます。

＜主な業務内容＞
・システム監査
・システムリスク管理、アセスメント、改善活動
・システムに関する業務委託先チェック、クラウド評価
・個人情報管理
・セキュリティ要件定義、設計、アセスメント
・セキュリティ強化施策の企画検討、提案、推進
・システム（クラウド／オンプレ）セキュリティアセスメント
・CSIRT活動（平時、有事）

当グループは、グローバル金融サービス・グループとして、世界約30の国や地域にネットワークを有しています。日本のインフォメーション・テクノロジー部門は、25以上の国籍のメンバーが在籍する多様な環境であり、日本のリテール・ウェルスマネジメントビジネス、グローバルホールセール（グローバルマーケッツとインベストメントバンキング）において、テクニカルサポート、アプリケーション開発、システム変更などの業務に従事しています。当グループは、充実した福利厚生、トレーニングやスキルアップの機会を提供し、ダイバーシティー、エクイティとインクルージョンの推進、従業員の健康とウェルビーイングを重視しています。

東京に本社を置く当グループは、グローバルサイバースレットデフェンスチーム(CTD) のサイバー インシデント対応、復旧、調査チーム (CSIRT) のアソシエイトを募集しています。この役割は、CSIRT のグループ責任者に直属し、CSIRT はグループ CTD に直属します。CTDはグループ CISO に直属します。この役割はグローバルレベルで当社社内の他のセキュリティ部門と緊密に連携します。
この役割は主にサイバーインシデントの対応、復旧、調査の能力を強化することです。この重要な役割は、グループ全体およびグローバルな IR (インシデント対応) 機能を合理化し、グループおよびグローバル機能全体の IR プロセス全体に積極的に関与していきます。この役割は組織内の他の部門と協力して、タイムリーかつ効果的な IR を確保していきます。
この役割の候補者は、強力なインシデント管理技術を実践して、サイバーセキュリティ イベントまたは脅威の疑いに起因するインシデントに対するセキュリティ インシデントの対応を調整します。 候補者は、インシデント対応計画と活動の調整をよく理解し、他の人とうまく協力し、口頭および書面による強力なコミュニケーション スキルを持っている必要があります。これには、外交感覚、障害を予測する能力、そしてペースの速いインシデント管理の世界に対処するための意思決定スキルが含まれます。インシデント対応、インシデント管理、保管過程管理、フォレンジック、イベント分析における基礎的なスキル、および実践的なサイバーセキュリティ スキルが不可欠です。

・グローバル SOC 責任者の指導の下、確認された脅威を軽減するための措置をリアルタイムで実施するか、関連する利害関係者と直接連携して、必要な軽減措置についてアドバイスします。
・グループ全体のセキュリティインシデントの窓口として機能します。
・グローバル SOC 責任者の指示の下、SOC およびセキュリティ サービス デスクを主導および調整します。
・脅威と脆弱性の分析。
・サイバーセキュリティの問題と新たな傾向について調査、文書化、報告します。
・これまで知られていなかったハードウェアおよびソフトウェアの脆弱性を分析し、対応します。
・自動化や AI の最適化などのプロセスを継続的に改善する
・プロアクティブなインシデントとリクエストの分析を実行します。
・災害復旧の計画と実行を支援します。
・調査結果を報告し、システム チューニング要件を推奨します。
・プロアクティブな検出機能を強化し、新しい SOC モニタリングのユースケースを開発します。
・シフトを埋めるために通常の営業時間外に働きます。
・ガバナンスと管理の可視性を確保するために、SOC とセキュリティ サービス デスクの KPI を作成して報告します。 SOC およびセキュリティ サービス デスクのパフォーマンス レビューを提供する。

Responsibilities / 役割:
・プロセス化と文書化を推し進める。一貫性と拡張性のある対応業務を確保し、企業のインシデント対応計画を継続的に改善するためのプロセスを開発および文書化。グローバルIRのすべてのプレイブックとプロトコルを開発および管理・運用。インシデント対応管理プロトコルの開発と合理化を体系的かつグローバルに構築・運用
・日本時間標準労働時間以外でのサイバーインシデントへの対応作業
・さまざまなビジネスとの連絡役として機能し、他のチームメンバーや他のセキュリティチームの同僚と連絡を取る。必要に応じて、ビジネス パートナー、経営陣、ベンダー、外部関係者との関係を管理。
・他の企業インシデント管理プログラムとの統合を推進し、IT および CISO 内のチームとの一貫性と連携を確保。
・リーダーの指示に従って中小規模のプロジェクトを主導していく
・要求に応じて指標を開発し、リーダーに提供する
・すぐに使えるコミュニケーションの下書きを作成し、イベント中およびイベント後にリーダーにタイムリーな報告/最新情報を確実に提供します。
・チームの内部アクション ハンドブックとナレッジベースを所有および管理。
・他のチームメンバーと交替で時間外のインシデント対応。 (必須)
・根本原因と解決策を検証してセキュリティ インシデントを解決。
・捜査結果を分析し、事実に基づいた報告書を作成。
・改善の機会を特定して明確にし、教訓を活かした活動の促進を支援。
・口頭および書面の両方で優れたコミュニケーションスキルを活用して、さまざまなステークホルダーと連携。
・専門的な環境において誠実さと判断力を示す
・分析と査読に探究的に取り組む。
・感情的知性を活用し、プレッシャーの下でも冷静でいる。
・仕事と個人の優先順位を適切にバランスさせる。

・グループ全体およびグローバルでサイバー/情報セキュリティテストする機能を開発および実行のサポートをします。これには以下が含まれますが、これらに限定されません。
　 レッド/ブルー/パープルチーム演習
　 インシデント/攻撃シミュレーション
　 経営層、IT、財務、人事、その他の専門ユーザー グループおよび一般ユーザー向けのトレーニング
　 テストラブ/検疫ネットワーク管理
　 侵入テスト
　 攻撃経路
・セキュリティコントロールテストを戦略的に計画し、プロセスとレポートを標準化、最適化、自動化する機会を特定し、効率的でコスト効率の高いビジネス管理サービスを作成することをサポートします。

以下のタスクやプロジェクトを能動的にサポートします。
・包括的な分析レポートとテスト結果の傾向分析を作成。
・CTDおよびCISOの他の機能と連携して、継続的なテスト機能を提供。
・新しいテクノロジーを常に受け入れ、テストをよりよく改善。
・日本国内および世界各地でより若手社員を監督し、スタッフの指導者およびマネージャーとしての役割を果たす。
・ベンダープロセスと承認を監視し、ベンダーリスク管理フレームワークと優先サプライヤおよび製品戦略のコンプライアンスを確保する
・GCTDのリーダーシップに沿ってベンダーパフォーマンスを監視する
・タウンホール、従業員調査への回答、認識スキーム、学習と開発計画、社内外のブランド開発とプロモーションを含む、同僚のエンゲージメントとコミュニケーション戦略を構築する
・人事部と協力して、年間目標の設定、組織設計、後任計画、採用、早期キャリアなどの人事プロセスに参加する
・稟議承認を含む、経営会議やその他の役員向けプレゼンテーションの議題、内容、文書を調整する
・プロセスとレポートを標準化、最適化、自動化する機会を特定し、効率的でコスト効率の高いビジネス管理サービスを作成する

Our company is a global financial services group with an integrated global network spanning over 30 countries. Japan IT (Information Technology) is a diverse environment with employees of over 25 nationalities, who work on technical support, application development and implementation of system changes for Japan Retail Wealth Management Business and Global Wholesale (Global Markets and Investment Banking). Our company provides competitive employee benefits, training and upskilling opportunities, and is committed to promoting diversity, equity and inclusion, employee health and well-being.

Our company has a robust global Information Security department dedicated to protecting Our company from threats and ensuring the security of our digital assets. Our team is composed of experts in information security who work tirelessly to stay ahead of evolving risks, members of which are located in all of its major regions, namely Japan, Americas, India, Asia Excluding Japan (AeJ) and EMEA. This role will report directly to the Group Head of Cyber Threat Defense (CTD).

Key objectives critical to success：
As the Global Cyber Defense Incident Response Leader, the successful candidate will be responsible for leadingOur company’s lifecycle of cybersecurity incidents and supporting cyber response program on a global scale, ensuring timely and effective responses to cyber incidents, and coordinating with various teams to mitigate risks and minimize impact. This role requires a proactive and reactive approach to identifying, assessing, and responding to various cybersecurity threats. This newly formed role will work closely with senior leadership throughout the organization.

＜業務内容＞
●当行グループ各社間での顧客データの共同利用体制の企画・推進
●プライバシーガバナンス体制の企画・推進
●個人情報保護法等の法規制下でのデータ連携方法の企画・推進（プライバシー保護技術(Pets)の活用等）
●AIガバナンス体制の企画・推進 等

（募集背景）
・当行グループでは、”データ”を競争力の源泉となる企業資産の一つとしてとらえ、有用なデータの収集や品質の管理、また、データを分析・活用しビジネス展開する取り組みを進めています。
データマネジメント部門は、このようなデータの「分析・利活用」や「ガバナンス」を強化・推進することを主なミッションとするデータの専門部署です。
・当行グループにおいて「データ分析・利活用」における価値をお届けするためには、規制とテクノロジーの双方の観点を踏まえながら、安心・安全なデータ利活用体制を構築することが大前提になります。こうした取組みはお客さまからの信頼を確保するとともに、企業にとって社会的責任を果たすものでもあり、今後のデータ利活用を推進していく上では必要不可欠な対応となります。
・今回は、データマネジメント部門の一員として、当行グループにおけるデータ・AI利活用に向けたガバナンス・リスク管理体制を企画・推進していくポジションを募集します。

Responsibilities：
● Collaborate with the appropriate teams to investigate and analyze cyber incidents to:
　・Determine scope and impact
　・Collect and preserve digital evidence in a forensically sound manner
　・Coordinate with internal and external stakeholders to manage incident response efforts
　・Monitor external data sources to stay updated on the latest cyber threats and vulnerabilities
　・Perform trend analysis and generate reports on incident findings
　・Develop and implement strategies for incident containment and eradication
　・Conduct post-mortem reviews and recommend improvements to security posture
● Develop, implement, and continuously improve the cybersecurity incident response plan, policies, and procedures
● Develop, implement, and continuously improve the various cyber scenario playbooks including decision-making trees, checklist, hand-off between IT and security, escalation, roles and responsibilities, etc.
● Lead and manage a team of Cyber Defense Incident Responders across all regions such as AMER, EMEA, Asia (excluding Japan), and Japan
● Coordinate response efforts during security incidents, including communication, escalation, and resolution
● Conduct post-mortem reviews to identify root causes and recommend preventive measures, with thorough documentation to regulatory standards
● Collaborate with other teams, including Technology, the business Legal, and Compliance, to ensure alignment on incident response processes and protocols
● Stay current on the latest threats and trends in information security and cyber and incorporate best practices into the incident response program
● Provide regular updates and reports to senior management on incident response activities, metrics, and trends that are customized to multiple audiences.
● Act as a subject matter expert on incident response, providing guidance and training to staff across the organization

・コンプライアンス統括部の情報セキュリティ担当チームにて、主に情報漏えい対策や個人情報保護等に関する企画立案、推進の業務に携わっていただきます。
・具体的には以下の業務（全てまたは一部）に従事していただきます。

1. 法令・社内ルールに関する業務
　　情報セキュリティを取り巻く社内外の状況変化を踏まえ、社内規程の制定・改訂を行います。
2. アウェアネス業務
　　社員向けの研修（集合研修、オンライン研修等）の企画・コンテンツ作成・運用を行います。
3. 新規ビジネス・システムの評価
　　新規のビジネスやシステム利用（外部のクラウドサービスを含む）について、情報セキュリティ評価や個人情報保護評価を行います。
4. システム管理・モニタリング業務
　　情報漏えいモニタリングシステムが検知した事象への対応、社員によるシステム利用に関する定期的なユーザーID棚卸等を行います。
5. インシデント管理業務
　　情報漏えい事案（メールの誤送信等）への対応を行います。

・情報セキュリティ関連システムに関する企画、導入、ルール策定、社内相談、運用管理
・外部委託先、子会社等の情報セキュリティ評価、管理
・その他情報セキュリティ管理業務全般

・個人情報保護法を含む情報セキュリティ関連法令の改正対応、及び法令に基づく社内情報管理の規程類整備、職員に対する教育・研修等、情報管理の意識・理解力の強化策の推進
・社内、グループ会社で発生した情報漏えい事故等のリスク分析を行い、発生防止、未然防止の為の枠組みを構築

既往プロジェクトのメンバーとして参加し、独自プロセスを含む全体像の把握やステークホルダー（IT部門・ユーザー部門・外部システムベンダー）との関係を構築のうえ、何れは自らもプロジェクトリーダーを担当
1.新たなシステム導入や既往システムの更改・刷新にかかるプロジェクト企画・管理・開発・導入の支援
2.スピーディなIT提供やデータ利活用を実現する全体ITアキテクチャーやデータ構造にかかる戦略の企画・推進
3.サイバーセキュリティ対策にかかる戦略の企画および導入・運用
4.新たなシステム導入時等におけるシステムリスク評価の実施

＜魅力・やりがい＞
本人の希望・経験・スキルに応じて、幅広いエリアで複数の案件を受け持つことや、大規模プロジェクトにおいてはチームリーダーからプロジェクトマネージャー等、自らの裁量を発揮できる機会が沢山ある。
特に、新しい技術領域においては社内で有識者を育成する取組も行っており、本人の意欲やキャリアパスに応じた学習の機会や業務経験が得られる。

情報セキュリティ全般に関する企画・立案および管理を担っているほか、グループ会社や海外店のガバナンスも行っております。主には以下のような業務を担当します。
1） 情報セキュリティの維持向上に関する企画・運営業務（方針策定やルール制定など）
2）社内で進行する各種案件に対する情報セキュリティに関するアドバイス
3) サイバーセキュリティを所管する部署との連携による情報セキュリティの確保
4）個人情報保護法をはじめ情報管理に関する法令諸規則への対応に係る事項
5）グループ内子会社、海外店の情報セキュリティに係るガバナンスに関する業務

社内の情報セキュリティに関わる規程・ルール、各種モニタリング、セキュリティに関する社内教育など、社内セキュリティ管理に関するPDCA全般を担っていただきます。
具体的な業務内容です。
　・情報セキュリティや個人情報保護等に関する規程/ルール/プロセスの策定・更新管理
　・情報セキュリティ規定・ルールに準拠した申請及び審査
　・情報セキュリティ状況のモニタリング　
　・情報セキュリティに関する従業員教育（企画/実施/効果分析）
　・子会社、社内各部門からの情報セキュリティに関する相談、リスク評価対応
　・情報セキュリティ委員会の運営
　・その他、適正に併せ、情報セキュリティに関わる関連業務

●募集背景：
当社グループにおいては、目下、積極的にデジタル変革を進めていますが、一方で個人情報保護、情報セキュリティ管理、プライバシーリスク管理、データマネジメントの重要性が求められております。
今回は、個人情報保護、情報セキュリティ管理、プライバシーリスク管理、データマネジメントの分野でご活躍いただける方を求めています（担当課長または課長代理クラス）。

●仕事内容
・プライバシーポリシー、重要度に応じた個人情報の取扱規程・ルールの整理、管理・運用（周知、教育、徹底）
・個人情報保護等に関する社内・グループ横断的なプロジェクトの推進
・個人情報保護等の国内外動向等に基づく改善提案と推進
・事業部門からの相談対応
・外部専門家との連携、社内関係部会議やアドバイザリーボードの事務局　等

・個人情報保護法（含む海外個人情報保護法令）への対応（法令の分析、国内情報セキュリティ管理関連手続への反映、照会対応などの法令改正にともなう対応）
・当行のDX戦略で進める新ビジネスへの情報セキュリティ管理の観点でのサポート、社内インフラのDX化に伴う情報セキュリティ管理態勢の整備

【主な関係者】
業務管理部署、経営管理部署、システム開発部署、海外拠点コンプライアンス部署、法務部など


【想定キャリアパス】
内外環境・法規制動向の変化に応じた、実効的かつ効率的な情報セキュリティ管理統制の実現に向けて、個人情報保護法（含む海外個人情報保護法令）への対応や、新ビジネス推進サポート、社内インフラのDX化に伴う情報セキュリティ管理態勢構築などの業務領域で中核的な役割を担っていただきます。
キャリアを重ねていくことで、将来的にはチームヘッド等のマネジメントとして当行の情報セキュリティ管理をリードしていただくポジションへの登用も期待しています。

●コンプライアンス統括部署における情報セキュリティ・個人情報保護に関する施策の企画立案・実施をご担当いただきます。

（部店概要）
銀行グループのコンプライアンスリスク管理に係る統括部署です。