【 セキュリティエンジニア】CISO室_東京　Web Security Engineer / Corpolate Security Engineer

募集背景

マネーフォワードでは、toB事業、toC事業に関わらず、多くのお金にまつわるサービスを開発、提供しております。そして多くの事業で高い成長率を維持し続けており、メインのサービスは国内有数のものになっています。

一方で 、代表の辻が良く口にしていることですが、私たちはまだやりたいことの1%しか実現できておりません。私たちはより多くの、そしてより大きな価値をこれからもユーザへ届けていきたいと考えています。

そのために本ポジションに関わらず多くのエンジニアの採用を進め、より開発力を大きくしていこうとしています。その組織の拡大に対応しつつ、さらに強固でセキュアなサービスにしていく必要があると考えており、情報セキュリティ、サイバーセキュリティ両面でセキュリティエンジニアの体制強化を考えています。

CISO室とは

「セキュリティを通じ、お客様に届ける価値を最大化する。」をミッションに、マネーフォワードグループ全体のセキュリティのあるべきを作ります。

サービスを落とさないこと。情報漏洩を起こさないこと。もちろん大切です。
しかし、それは我々が考える大切なことの要素の一つに過ぎません。

過度なセキュリティ対策で、開発の速度を落とし、お客様に届ける価値が小さくなったり、遅延したりする可能性はあります。

我々はお客様に届ける価値をどのようにしたら最大化できるか考え、セキュリティのプロフェッショナルとしてお客様にとって最適なセキュリティを実現します。

セキュリティ指針

大きく３つのテーマを持って、セキュリティの在り方や実現する組織の在り方を考えています。

Embedded security in business strategy
セキュリティは単体で考えるものではありません。今のビジネスフェーズやコスト、将来期待される売上規模、リスク発生時に想定される損害額等、ビジネス的な戦略と一緒にセキュリティ施策を考えます。

Advanced balancing between security and experience
　セキュリティは常に最高のものが正しいわけではありません。コストも増えるし、利便性を損なう可能性もあります。リスクを見定め最適なセキュリティ施策を常に考える必要があります。ただリスクを避けるだけでなく、時にはリスクを取り、最大のユーザー価値を追求することも考えます。セキュリティ施策を実施する時には利便性とセキュリティを高度に両立するために、自動化、自律化を推し進めます。

Autonomous and scalable organization of security  
マネーフォワードグループは更に大きな開発組織になり、より大きな価値をお客様に届けたいと考えています。その時、CISO室が全てのセキュリティ機能を担うとボトルネックになり、スケールしないと考えています。各開発部が自律的にセキュアなサービスを実現する必要があります。そのための仕組みの構築や支援をCISO室は実施します。

主な業務内容

Corporate Security

• 社内システム/データ分析環境のセキュリティリスクマネジメント
• セキュリティガイドライン策定から実際の統制
• 体制やプロセスの構築と実行
• 社内システム/データ分析環境のセキュリティインシデント対応
• 社内システム/データ分析環境やデバイスのセキュリティ施策対応・推進
• 社内システム/データ分析環境に関係する脆弱性対応管理

Product Security

• プロダクトのセキュリティリスクマネジメント
• セキュリティガイドライン策定から実際の統制,体制やプロセスの構築と実行
• プロダクトのセキュリティインシデント対応
• プロダクトに関係する脆弱性対応管理
• 共通プラットフォームのセキュリティ統制
• インシデントレスポンスに必要な基盤の構築・運用

求めるスキル・経験

Corporate Security

• 社内システム/データ分析基盤に対するセキュリティ対策の構築、運用、監査における経験
• セキュリティ機器(Firewall,IDS/IPS,WAFなど)の構築・運用経験
• 社内システムの構築・運用・実務経験（ActiveDirectoryなど）

Product Security

• セキュリティエンジニア経験
• SOCオペレーター経験
• Webアプリケーション開発経験
• インフラエンジニア経験

あると望ましいスキル・経験

Corporate Security

• SOC1,2等の監査の導入・運用経験
• FISC等、セキュリティ関連基準の導入・運用経験
• セキュリティポリシー、手順書の作成経験
• CSIRTなど、インシデントレスポンスに関する勤務経験
• ID統合認証やアクセス権限管理に対する設計・運用経験
• 何らかのプログラミング経験
• クラウド運用経験

Product Security

• SOC1,2等の監査の導入・運用経験
• FISC等、セキュリティ関連基準の導入運用経験
• セキュリティポリシー、手順書の作成経験
• PSIRTなど、インシデントレスポンスに対する設計・運用経験
• 脆弱性診断経験
• 何らかのプログラミング経験
• クラウド運用経験

求める語学力

• ビジネス基礎レベルの英語力（TOEIC700点相当以上）

※ TOEIC 以外にも英語力がわかる資格や経験をお持ちの方はご相談ください
例：英検準1級、英検2級（英検CSEスコア1950以上）、TOEFL iBT 60以上、IELTS 5.0以上、ケンブリッジ英語検定 FCE など。

※その他、英語力がわかる資格や経験については応相談
※TOEIC700点相当以上の資格をお持ちでない方については選考の過程で弊社指定の試験を受験いただきます。（原則、一次面接後を想定）

こんな方に仲間になってほしい

・マネーフォワードの理念・ビジネスを守りたい方
・自らが自社サービスのファンであり、その成長に情熱を込められる方
・サービスを育てることを楽しみ、主体性を持って取り組める方
・チームメンバーと積極的にコミュニケーションを取り、ナレッジをシェアし、
・周りに良い影響を与える方
・チャレンジ精神にあふれ、新しい時代のサービス作りにチャレンジしたい方

CISOメッセージ

マネーフォワードCISOが考える、世界で戦うための情報セキュリティとグローバル化

技術スタック

・Webサーバーサイド：Rails, Go
・Webフロントエンド：React, Redux, webpack, TypeScript, Mocha, Jest
・データベース：MySQL(Aurora)
・インフラ・ミドルウェア
AWS(ALB, EC2, RDS, S3, SQS, ElastiCache, EKS...), sendgrid, kinsta
GCP (BigQuery, Firebase, GKE)
nginx, squid, memcached, kafka, logstash, filebeat, maxwell, kibana, elasticsearch,Fulentd envoy, Passenger, Puma, Unicorn, HAProxy, Docker, Redis, Memcached

使用ツール

・Biz基盤：Marketo, SalesForce
・リポジトリ管理：GitHub
・CI/CD：CircleCI, bitrise, ArgoCD, CodeBuild, Github Action
・開発環境:Vagrant, Docker, Terraform Enterprise
・監視：DataDog, Rollbar, Bugsnag, Sently, New Relic
・コミュニケーション：Slack
・チケット管理:Jira, asana, trello, backlog
・セキュリティ・自動化: OWASP ZAP, Burp Suite, Sider (Brakeman), Snyk, VAddy, Dockle, Trivy

環境

マネーフォワードでは、共に世界に通じるサービスを創っていく環境を用意し、皆様をお待ちしています。

• 開発環境/スペック：MacBook Pro / MacBook Air / iMac / Windows
  MacBook Pro / MacBook Air / iMacに関しては、 ハイスペックPCを標準支給し、Apple最新に合わせ常にアップデートしていきます。開発環境は、つねに最強スペックを維持しますし、特別構成にも対応しています。
• 快適開発環境支援：業務上必要な備品は、品目の制限なく、会社費用で購入可能です。
• MF図書館：技術書から経営本まで、貸し出し自由の図書館制度があります。欲しい本は会社費用で購入できます。
• リファラルドリブン：採用会食費の負担。リファラル謝礼金制度。
• カンファレンス参加支援：RubyKaigiやGoogle I/Oなど、国内外のカンファレンスへの参加を会社が負担します。