シニアプロダクトセキュリティエンジニア/Senior Product Security Engineer

事業内容

当社は「『はたらく』を通じて人生の可能性を広げるインフラをつくる」をミッションに掲げ、スキマバイトアプリ「タイミー」などの事業を展開しております。
近年、少子高齢化に伴い、労働に従事する人口の不足が深刻化し、それと同時に働き手に対する負荷が大きくなっています。
当社が提供している「タイミー」は、人手不足の解消や職場環境の改善など、企業が抱える「人」に関する経営課題を解決することができます。 また、人々の働き方を根底から変え、従来のアルバイトや派遣業界が抱えていた課題を解決し、一人一人が好きな時に働き、様々な仕事を経験することで人生の可能性を広げ、自分の時間をより豊かにできる世界を目指します。
サービスリリースから約6年経過した現在、

・ワーカー数　　1,190万人　　　※2025年7月時点
・導入事業者数　200,000社　　　※2025年7月時点
・導入事業所数　392,000万拠点　※2025年7月時点 を突破しました。

今後は、スポットワークをさらに世の中に広げることで国内の労働市場における課題を解決することを主軸としつつ、「はたらく」に留まらない多様なアプローチで、「一人ひとりの時間を豊かに」する挑戦を続けていきます。

採用特設LP
https://corp.timee.co.jp/special-recruit/

会社説明動画
https://youtu.be/0JzkjwqK4Vg

募集背景

社会のインフラとして急成長を続ける中で、数百万のユーザーの信頼を守り、事業の成長をさらに加速させることが私たちの最重要課題です。

この重要な局面において、さらにセキュリティ領域を強固にしていくために、プロダクトセキュリティエンジニアとして参画してくれる方を募集しています。単なるセキュリティ担当者にとどまらず、急成長する開発組織と協働し、プロダクトセキュリティの文化と仕組みを新たなフェーズへ創造する、極めてインパクトの大きいポジションです。セキュリティを開発のブロッカーではなく、イノベーションを支える高速な開発組織、文化とセキュリティを両立させる「攻めのセキュリティ」を組織に実装していく。そんな未来を共に創れるエンジニアの参画を心からお待ちしています。

業務内容

タイミーのプロダクトセキュリティエンジニアとして、開発組織（エンジニア約100名）と密接に連携し、プロダクトセキュリティプログラムの戦略策定から実行までをリードしていただきます。あなたの役割は、脆弱性を発見するだけでなく、開発者が安全な道を容易に進める「Paved Road」を構築し、開発者体験とプロダクトの安全性を両立させることです。

【具体的な業務内容】

• プロダクトセキュリティ戦略の策定と実行:

タイミーの事業戦略に沿ったプロダクトセキュリティのロードマップを策定し、経営層やエンジニアリングマネージャーと合意形成を行う。

• セキュア開発ライフサイクル（SDLC）の設計と推進:

開発プロセスの初期段階でセキュリティを組み込む「シフトレフト」を実現するための仕組み（脅威モデリング、セキュリティ設計レビューなど）を導入し、文化として定着させる。

• セキュリティの自動化とツール開発:

PFEチームと協力し、CI/CDパイプラインへSAST/DAST/SCA等のセキュリティ診断ツールを統合・運用する。社内の開発環境や課題に最適化されたセキュリティツールの開発を主導する。

• 脆弱性管理とインシデント対応（PSIRT）:

プロダクトの脆弱性診断（手動・自動）を計画・実施し、発見された脆弱性のトリアージと修正を開発チームと連携して推進する。
プロダクトに関するセキュリティインシデント発生時の対応プロセスを構築し、CSIRTと連携してインシデントレスポンスを主導する。

• セキュリティ文化の醸成と教育:

セキュアコーディングガイドラインの策定や、開発者向けのトレーニングを企画・実施する。
将来的には、各開発チームにセキュリティの旗振り役を担う「セキュリティチャンピオン」制度の導入を構想・推進する。

提供できるご経験

• 大規模サービスのセキュリティ基盤をゼロから構築する経験
• 経営層と直接対話し、事業戦略と連動したセキュリティ戦略を立案・推進する経験
• 開発者体験（DevEx）を重視した、モダンなセキュリティプラクティス（シフトレフト、DevSecOps）の導入・実践経験
• 約100名の開発組織全体を巻き込み、セキュリティ文化を醸成していく経験

開発組織の特徴

タイミーの開発組織はフロントエンドからSREのレイヤまでひとつのチームで解決できることをコンセプトにしています。裁量はスクラムチームに移譲されており、自身の専門分野を中心に、隣接する領域に染み出しながら開発に携わることができます。 ユーザーインタビューにエンジニアが参加して課題の探索から参加することができ、プロダクト組織と連携しながら顧客価値に基づいて開発を行う文化が浸透しています。

また、プロダクト戦略で定義された顧客価値に基づいてフルサイクルに価値提供できることを目指して、Tribeという開発領域ごとにチームを組成しています。

マッチング領域

ワーカー・クライアント両者の視点に立ち、両者の繋がりを元にした日々のマッチングを生み出すマーケットプレイスを創ることをミッションとしています。ユーザーの「働きたい時間」と企業の「働いてほしい時間」のマッチングを行っており、具体的には検索や通知、相互評価機能などの開発に取り組んでいます。 どのような体験を通してよりよいマッチングを実現するかなど、課題探索的でクリエイティブな試行錯誤に取り組むことが多い領域です。

スポットワークシステム領域

「なめらかな出退勤・給与支払い・労務管理」など「スポットワーク」にまつわる手続きの全てをなめらかにすることで、この新しい働き方を次の世代のスタンダードとしていけるサービス品質を実現することを目指しています。 クライアントである個人事業主が運営する飲食店から一日数百名の従業員を雇用する上場企業まで幅広い業種の事業者と、ワーカーであるタイミーを利用するあらゆるユーザーに対して価値提供をしている領域です。

開発プラットフォーム領域

開発チームの大規模システム開発を加速させ、持続可能にする基盤の開発と運用を担うことをミッションとしています。機能開発チームのSREプラクティス実践を支援できるように、DevOps領域に特化したメンバーが集まり、サービス拡張性を意図した開発環境の最適化や、エンジニアが利用する各種SaaSの管理まで、エンジニアの生産性を高めるためにイニシアチブを持ち、課題の抽出から問題提起、改善活動まで一貫して行います。

開発環境

Infrastructure

• AWS：ECS Fargate, Aurora, RDS, S3, ElastiCache, CloudFront, etc…
• Elasticsearch(AWS Marketplace)
• Google Cloud（一部サービス）
• IaC：Terraform
• ログ：Datadog LogsとS3に集約

Backend

• 開発言語: Ruby, Go, TypeScript

Monitoring

• Datadog, Sentry

CI/CD

• GitHub Actions, Dependabot

その他

• コード管理: GitHub
• コミュニケーションツール: Slack, Notion
• その他: Firebase, twilio, ImageFlux, OneSignal, Figma etc…
• AIエージェント・LLMツール: GitHub Copilot Coding Agent, Devin, Cursor

組織カルチャー

開発組織のカルチャー

タイミーの開発組織は個々人の志向や特性の多様性を「許容」するのではなく「歓迎」する組織です。 各メンバーの多様性を彩りとして捉えて決して否定せず、強みとして重ね合わせて、同じチーム、プロダクトの目標を達成を実現できる組織を目指しています。

また、チームトポロジーの考えを活用した組織構造を採用していることも特徴です。例えば、顧客価値に基づいて領域ごとに組織を分割したり、専任のエンジニアリングマネージャーやアジャイルコーチ、スクラムマスターなどマネジメント専門職メンバーを各チームに配置しています。
https://www.youtube.com/live/uJL3M7R8MLc?feature=share&t=3057

技術コミュニティ活動

社内の所属チームを超えたiOSやAndroidなど専門的な技術テーマごとに取り扱うコミュニティ活動も活発で、組織図を超えたオープンなコミュニケーションが行われています。 また、RubyKaigi や Kaigi on Railsを始めとしたカンファレンスのスポンサー活動やイベント登壇、記事の発信など技術コミュニティへの貢献や広報にも力を入れています。

オンボーディング

メンバー一人ひとりが能力を発揮して、チームで活躍できる環境を目指して様々なオンボーディングプログラムを実施しています。

例えば、入社後チームや技術領域が近いメンバーがメンターとして伴走するオンボーディングの実施や、現職のスクラムマスターからスクラムに関する考え方や手法などをインプットするスクラムオンボーディング、配属直後にマネジメント層とのWelcome 1on1を実施しています。これからの取り組みによって、会社への不明点を早期に解決することで、新メンバーがタイミーで活躍しやすい環境を整えています。
https://productpr.timee.co.jp/n/n46122cd3ec6b

働き方

フルリモート・フレックスの働き方が浸透しており、NotionやSlackを活用したテキストコミュニケーション、ハドルやMeetを使った同期的なコミュニケーションなどによって職種問わずコミュニケーションが活発な環境になっています。

また、所属チームを超えてiOSやAndroidなど専門的な技術テーマごとに取り扱うコミュニティ活動も活発で、組織図を超えたオープンなコミュニケーションが行われています。
https://productpr.timee.co.jp/n/n2dcb5475e249

DevEnable室の取り組み

エンジニアの市場価値向上につながる成長支援、学習支援、機会提供、生産性向上を行う専門チームDevEnable室を設置しています。

具体的な制度の一部をご紹介します。

• 在宅環境を自分好みに整えられるリモートHQ制度
• 技術コミュニティ発展への貢献を後押しするOSSボーナス制度
• 世界中のカンファレンス参加を支援するKaigi Pass制度
• 最大300万円、勤務年数に応じて返済不要のエンジニア奨学金制度

DevEnable室に込めた思いについても記載していますので、よろしければぜひ下記URLもご覧ください。
https://product-recruit.timee.co.jp/tde10

こんな人と働きたい

必須条件

• プロダクトセキュリティまたはアプリケーションセキュリティ分野における5年以上の実務経験（脅威モデリング、セキュア設計レビュー、脆弱性診断など）
• AWSやGCPなどのパブリッククラウド環境におけるインフラ設計・構築・運用経験
• Webアプリケーションの設計、開発、運用に関する3年以上の実務経験
• チームやプロジェクトを技術的にリードした経験、またはシニアエンジニアとして後進のメンタリングを行った経験

歓迎条件

• プロダクトセキュリティ機能またはPSIRTをゼロから立ち上げた経験
• CI/CDパイプラインにSAST, DAST, SCA等のセキュリティツールを導入・運用した経験
• 組織のセキュリティ課題を解決するためのツールを自ら開発した経験
• 大規模コンシューマー向けサービス（数百万MAU以上）におけるセキュリティ対策の経験
• コンテナ技術（Docker, Kubernetes）およびそのエコシステムに関するセキュリティの知識と実務経験
• 認証・認可技術（OAuth 2.0, OpenID Connect, SAMLなど）に関する深い知識

求める人物像

• タイミーのミッション「『はたらく』を通じて人生の可能性を広げるインフラをつくる」に共感いただける方
• セキュリティを開発の「ゲートキーパー」ではなく、事業成長を支える「パートナー」と捉え、開発チームとの信頼関係を構築できる方
• オーナーシップを持ち、前例のない課題に対してあるべき姿を追求し、ゼロから仕組みを構築するプロセスを楽しめる方
• 常に新しい脅威動向や防御技術を学習し、それを実践に活かすことに情熱を注げる方
• 複雑な技術的課題や組織的課題を構造化し、多様なステークホルダーを巻き込みながら、現実的かつ効果的な解決策を導き出せる方