【セキュリティスペシャリスト - ガバナンス担当 / Security Specialist - Governance】CISO室_東京

募集背景

当社では自動家計簿・資産管理サービス「Money Forward ME」、ビジネス向けクラウドサービス「マネーフォワード クラウド」など多くのユーザーが利用するサービス群を展開しています。また、それらのサービスを支える「アカウントアグリゲーション」と呼ばれる技術や「マネーフォワード ID」というシングルサインオンを実装しています。これらのサービスや機能の多くは、ユーザーのお金の情報を扱うため高いセキュリティが求められています。

CISO室はマネーフォワードのサービスを開発し提供する事業部門と連携しプロダクトのセキュリティを維持向上させています。事業部門とともにSOCレポートの取得、個人情報管理、情報セキュリティ規程と標準の維持更新などを行っています。

もっと多くのユーザーにサービスを安心してご利用いただけるように、私たちは一緒に働いていただけるセキュリティスペシャリストを募集しています。

CISO室とは

「セキュリティを通じ、お客様に届ける価値を最大化する。」をミッションに、マネーフォワードグループ全体のセキュリティのあるべきを作ります。

サービスを落とさないこと。情報漏洩を起こさないこと。もちろん大切です。
しかし、それは我々が考える大切なことの要素の一つに過ぎません。

過度なセキュリティ対策で、開発の速度を落とし、お客様に届ける価値が小さくなったり、遅延したりする可能性はあります。

我々はお客様に届ける価値をどのようにしたら最大化できるか考え、セキュリティのプロフェッショナルとしてお客様にとって最適なセキュリティを実現します。

セキュリティ指針

大きく３つのテーマを持って、セキュリティの在り方や実現する組織の在り方を考えています。

Embedded security in business strategy
セキュリティは単体で考えるものではありません。今のビジネスフェーズやコスト、将来期待される売上規模、リスク発生時に想定される損害額等、ビジネス的な戦略と一緒にセキュリティ施策を考えます。

Advanced balancing between security and experience
　セキュリティは常に最高のものが正しいわけではありません。コストも増えるし、利便性を損なう可能性もあります。リスクを見定め最適なセキュリティ施策を常に考える必要があります。ただリスクを避けるだけでなく、時にはリスクを取り、最大のユーザー価値を追求することも考えます。セキュリティ施策を実施する時には利便性とセキュリティを高度に両立するために、自動化、自律化を推し進めます。

Autonomous and scalable organization of security  
マネーフォワードグループは更に大きな開発組織になり、より大きな価値をお客様に届けたいと考えています。その時、CISO室が全てのセキュリティ機能を担うとボトルネックになり、スケールしないと考えています。各開発部が自律的にセキュアなサービスを実現する必要があります。そのための仕組みの構築や支援をCISO室は実施します。

主な業務内容

このポジションはCISO室の技術チームや法務部門等と連携し、マネーフォワードおよびグループ企業のセキュリティ、個人情報保護に関する統制を設計、構築、運用します。主な業務内容は以下の通りです。

• 事業部門やグループ企業に対してセキュリティ、個人情報を含むデータ保護に関するIn-Houseコンサルティング、法人顧客からのセキュリティ問い合わせ回答支援
• セキュリティおよび個人情報保護に関する社内規程、基準、手順等の整備、維持
• 業務委託に伴うセキュリティリスク管理や個人情報の適正利用に関する統制の構築、運用
• NIST CSF、CIS Controls等のフレームワークを活用したセキュリティ統制の構築、運用
• SOCやISMSなどの第三者認証取得

求めるスキル・経験

• サイバーセキュリティや個人情報保護に関する国内法令や海外法令に対する理解、データ保護・統制に関する実務経験
• ネットワーク、OS、データ構造、暗号理論等を含む情報工学に対する基本的理解
• 下記のうち何れかの知識や経験
  • 社内情報システムの構築、運用経験
  • NIST CSFおよびSP800、PCI、FISC安全対策基準、ISMAP等の知識
  • ISO27000シリーズの知識およびISMS取得の経験
  • SOCレポートの取得経験
  • セキュリティ監査またはシステム監査の経験（外部監査人または内部監査人）
  • FISC等、金融、Fintech業界におけるセキュリティ関連業務の経験

あると望ましいスキル・経験

• CISSP、CISA、CISM等の資格
• 社内規程、基準、手順等の整備に関する経験
• プロセス改善、組織体制の構築に関する経験
• プロジェクトマネジメントまたはPMOの経験
• 高度なサイバーセキュリティ技術に対する理解
• 業務上での英語コミュニケーション

本ポジションの魅力

• ハイスペックMacを標準支給します（Windowsもご要望に応じて支給可能です）。
• グローバルな開発体制を強化している中、多国籍のメンバーと仕事、コミュニケーションができます。

求める語学力

• ビジネス基礎レベルの英語力（TOEIC700点相当以上）

※ TOEIC 以外にも英語力がわかる資格や経験をお持ちの方はご相談ください
例：英検準1級、英検2級（英検CSEスコア1950以上）、TOEFL iBT 60以上、IELTS 5.0以上、ケンブリッジ英語検定 FCE など。

※その他、英語力がわかる資格や経験については応相談
※TOEIC700点相当以上の資格をお持ちでない方については選考の過程で弊社指定の試験を受験いただきます。（原則、一次面接後を想定）

こんな方に仲間になってほしい

・マネーフォワードの理念・ビジネスを守りたい方
・自らが自社サービスのファンであり、その成長に情熱を込められる方
・サービスを育てることを楽しみ、主体性を持って取り組める方
・チームメンバーと積極的にコミュニケーションを取り、ナレッジをシェアし、
・周りに良い影響を与える方
・チャレンジ精神にあふれ、新しい時代のサービス作りにチャレンジしたい方

CISOメッセージ

マネーフォワードCISOが考える、世界で戦うための情報セキュリティとグローバル化

技術スタック

・Webサーバーサイド：Rails, Go
・Webフロントエンド：React, Redux, webpack, TypeScript, Mocha, Jest
・データベース：MySQL(Aurora)
・インフラ・ミドルウェア
AWS(ALB, EC2, RDS, S3, SQS, ElastiCache, EKS...), sendgrid, kinsta
GCP (BigQuery, Firebase, GKE)
nginx, squid, memcached, kafka, logstash, filebeat, maxwell, kibana, elasticsearch,Fulentd envoy, Passenger, Puma, Unicorn, HAProxy, Docker, Redis, Memcached

使用ツール

・Biz基盤：Marketo, SalesForce
・リポジトリ管理：GitHub
・CI/CD：CircleCI, bitrise, ArgoCD, CodeBuild, Github Action
・開発環境:Vagrant, Docker, Terraform Enterprise
・監視：DataDog, Rollbar, Bugsnag, Sently, New Relic
・コミュニケーション：Slack
・チケット管理:Jira, asana, trello, backlog
・セキュリティ・自動化: OWASP ZAP, Burp Suite, Sider (Brakeman), Snyk, VAddy, Dockle, Trivy

環境

マネーフォワードでは、共に世界に通じるサービスを創っていく環境を用意し、皆様をお待ちしています。

• 開発環境/スペック：MacBook Pro / MacBook Air / iMac / Windows
  MacBook Pro / MacBook Air / iMacに関しては、 ハイスペックPCを標準支給し、Apple最新に合わせ常にアップデートしていきます。開発環境は、つねに最強スペックを維持しますし、特別構成にも対応しています。
• 快適開発環境支援：業務上必要な備品は、品目の制限なく、会社費用で購入可能です。
• MF図書館：技術書から経営本まで、貸し出し自由の図書館制度があります。欲しい本は会社費用で購入できます。
• リファラルドリブン：採用会食費の負担。リファラル謝礼金制度。
• カンファレンス参加支援：RubyKaigiやGoogle I/Oなど、国内外のカンファレンスへの参加を会社が負担します。