◾️事業内容 当社はeKYC(オンライン本人確認)のサービスを提供しており、このサービスの市場は全世界で約1兆円規模・前年比270％で急成長し注目されている市場です。 最近では電動キックボードから地方自治体のDX推進まで幅広い業界で導入され、日々事業成長を進めている身近なサービスとなっています。（2024年度導入社数NO.1　※東京商工リサーチ調べ 2024年12月時点） また当社が提供するデジタルIDウォレットアプリは、マイナンバーカードの公的個人認証をはじめ、犯罪移転収益防止法の各種eKYC手法を内蔵したアプリで、東京都や農林水産省などの行政機関での実績をはじめ、各種の民間サービスでも利用されている汎用本人確認アプリです。 これまでも、Pマーク、ISO/IEC 27001、ISO/IEC 27017といった第三者認証や監査を通じて、セキュリティの標準的なフレームワークを確立してきました。今後は、顧客・ユーザーからお預かりする情報や資産の整理、適切な取り扱い、そして適切な情報開示という一連の活動をさらに高度化していきます。これにより、より安心してご利用いただける体制を目指します。 また、セキュリティ対策を進める上では、コストや生産性の観点も非常に重要です。当社では従来の物理を中心とした境界型の防御ではなく、クラウドサービスを多用し、認証、端末管理や監視などによる多層防御の考え方を基本としています。 クラウドサービスを多用している当社にて、セキュリティ対策が事業活動の妨げになることなく、実効性の高いセキュリティの両立を模索して頂ける方を募集します。 ◾️業務内容 ＜セキュリティチームについて＞ 当社のセキュリティチームは、以下の2つのチームに分かれて業務を行っています。業務において連携が不可欠な部分が多いため、現時点では明確な業務境界を設けず、流動的に連携しています。ルールメイクについても、両チームが密に連携し、意思決定を行っています。 また、取得が目的になりがちなPマーク、ISO/IEC 27001、ISO/IEC 27017等の継続・改善に本気に取り組んでいることも当社セキュリティチームの特徴です。 ①全社セキュリティ ・日常業務で扱う多様な情報のセキュリティ対策 ・物理を中心とした境界型の防御ではなく、クラウドサービスを多用した多層防御の推進 ・リモート環境下でのセキュリティと利便性の両立 ・PCのキッティングなどの情シスのような業務も実施 ②プロダクトセキュリティ ・提供している製品で取扱している情報のセキュリティ対策 ・eKYC/本人確認APIだけでなく、複数のプロダクトを横断したセキュリティのルールの策定 ・各プロダクトチームへの脆弱性管理・OSS管理・ログ監視の支援 ・SRE（Site Reliability Engineering）チームと密接に連携し、セキュリティ対策の実装と運用を支援 【具体的な内容】 プロダクトセキュリティチームに所属いただく予定ですが、チームを横断した幅広い課題に取り組んでいただきたいと考えています。 ・情報セキュリティに関するルールの策定、見直し、周知、運用、監査 ・各種セキュリティ認証(Pマーク、ISO/IEC 27001、ISO/IEC 27017等)の維持と新規取得 ・顧客からの依頼があったヒアリングシートの回答、顧客から監査対応 ・プロダクト開発におけるセキュリティ面での設計および支援 ・クラウド環境（Google Workspace, Asana, Slack等）におけるセキュリティ設計・アクセス管理・運用改善 ▼必須条件 ・開発プロジェクト(インフラ・PM等、役割問わない)に関わった経験3年以上 ・パブリッククラウドを利用したWebアプリケーションにおける一連の開発ライフサイクルの理解とそのセキュリティ対策の理解 ・クラウド環境（Google Workspace, Asana, Slack等）をベースとした業務環境でのセキュリティ対策の理解 ▼歓迎条件 ・プロジェクトマネジメントの経験 ・ISO/IEC27001、ISO/IEC27017、ISMAP、CIS Controls、SOC2 Type2等の規格や第三者認証についての知識、業務経験 ・EDR、SIEM、CNAPP、SWG/CASBなどのセキュリティ製品またはサービスの選定および導入・運用の経験 ・AWS、GCP、Azureなどのクラウド環境を用いたシステムの構築・運用の経験 ・全社や開発組織を横断したセキュリティ施策の経験 ・セキュリティインシデント対応の実務経験