サービスセキュリティ担当者

求人紹介

サービス開発に関わるセキュリティ支援を実施しています。
このチームでは、以下のような業務をメインで担っています。

• アプリケーションセキュリティ強化
• インフラセキュリティ強化
• インシデント対応強化

＜平時の業務＞

• アプリケーション開発セキュリティ支援
  • WEBアプリケーションの開発ライフサイクル内でのセキュリティ品質向上施策の検討〜構築
  • 日々の脆弱性情報の収集と内容評価、対応要否判断と改修対応、またはフォローアップ
  • 外部ベンダのコントロール（外部ベンダでのアセスメント実施や手動脆弱性診断の計画と調整）
  • アプリケーションの要件、設計、実装面でのエンジニアからの相談対応、もしくはコーディングのフォローアップ
  • サービスセキュリティ品質の対外的な発信
  • 会社としてのセキュリティ信頼性の価値向上の為の取り組みや講演
• インシデント対応支援
  • 従業員向けセキュリティ教育の方針策定と実施等
  • ログ監視・分析基板の運用
  • 各種セキュリティソリューションの運用設計
  • インシデント関連資料の整備

＜有事の業務＞

• インシデント対応支援
  • 各種セキュリティイベントの監視・検知
  • セキュリティイベント内容のトリアージと調査
  • 原因の分析と対策の支援

必須スキル・経験

＜基礎スキル：（以下、①②どちらかの１つ）＞

①インフラ管理スキル

• AWS上での基本的なサーバ構築やコンテナベースでのサービス運用・保守

②Webアプリ開発スキル

• WEBアプリケーション開発におけるフロントエンド（HTML/CSS/JavaScript）、もしくはバックエンドの開発経験（Ruby/PHP）

＜セキュリティ対応スキル＞

• セキュリティスキル
  • セキュリティに関する基礎知識、及び基本的な脆弱性の種別と理解
  • AWS上のセキュリティマネージド・サービスを活用した堅牢化と監視強化もしくは、セキュアなコーディングの理解と実践、実績のどちらか一方
  • アプリケーションの脆弱性診断（ツール系以外の手動診断：ローカルWebプロキシーを利用したWEBアプリケーションの脆弱性検査）
• インシデント対応
  • インシデント対応経験（ログの監視・検知〜分析・影響調査、問題の対処等）
  • 社内もしくは商用サービスのインフラ運用経験もしくは知識（Windows、Linux、ネットワーク）
  • 現場と経営層に説明できるコミュニケーションスキル
  • 自組織のセキュリティアーキテクチャを理解できる、ビジネスを理解できる方
  • エンドポイントセキュリティ製品の運用・保守のご経験

歓迎スキル・経験

• 攻撃戦術、ステージ、技術、手順に関する知識
• リスク影響とビジネス継続を考慮して優先順位を意思決定を行ったご経験
• セキュリティ要求事項と製品・運用を組合わせる能力
• セキュリティに特化したインシデントの統制能力
• サービスの脆弱性・インシデント発生時の対応、もしくは対応支援
• 個人情報保護法、PCIDSS、ISMSの公的規約の知識

資格

• CEH、SANS系（GWAPT、GCIH、GPEN、GXPN）、脆弱性診断に関する各種資格、AWS 認定セキュリティ、CISSP、情報安全確保支援士

サイバーセキュリティ推進部とは

Classiコーポレート本部の中にある組織で、セキュリティに関連する業務を行なっています。
以下6つの管理領域に分けて役割を分担して業務を進めていけるよう、体制を作っている最中となります。

＜サイバーセキュリティ推進部内のチームイメージ＞

①セキュリティガバナンス

②情報システムの供給と管理

③サービスセキュリティの品質管理支援

④セキュリティ対策支援（社内向けコンサルティング）

⑤外部攻撃・内部不正監視のためのSOC

⑥インシデント・レスポンス

今回の募集は、上記の中で③と⑥（⑤）を中心に、その他の領域もカバーしていただく担当を探しております。

これから一緒にClassiのセキュリティ組織を立ち上げて、サービス品質を進化して頂ける方にぜひご入社いただきたいと考えております。

＜働き方＞

• リモートでの業務がメインとなります。
• 社内コミュニケーションはSlackになります。

こんな方、お待ちしてます！

• 裁量をもって、主体的に仕事に取り組んでいきたいと考えている方
• 他部署と協業する組織横断的なプロジェクトの経験のある方
• 最新情報を積極的にキャッチアップし自ら情報発信できる方