情報セキュリティ部門 プロダクトセキュリティ担当

【組織ミッション】 私たちSansan情報セキュリティ部は当社の企業理念「Sansanのカタチ」のPremiseとして掲げる「セキュリティと利便性を両立させる」をミッションとしています。 プロダクトのユーザーに安全安心を届けるため、セキュリティの強化を図って情報資産を守ることはもちろんのこと、セキュリティが過剰な足枷とならないように、利便性と高度なバランスを保ちながら事業の成長に貢献することを目指しています。 ▼具体的な業務 情報セキュリティーのスペシャリストとして、設計のレビューや脆弱性診断などを通じてプロダクトの「セキュリティ・バイ・デザイン」を実現し、セキュリティーと利便性を両立させた安心、安全なプロダクトの創出に貢献します。 ▼具体的な業務内容 ・自社プロダクトの設計のレビューとセキュリティー要件定義 ・脅威モデリングによるアプリケーションにおける潜在的な脅威の特定と分析 ・プロダクトの不正利用の検知・分析と防止対策のサポート ・プロダクトに対するWebアプリケーション診断の実施 ・発見した脆弱性のトリアージと修正のサポート ・外部ベンダーを活用した脆弱性診断やペネトレーションテストの計画、実施と検出した脆弱性の修正をリード ・エンジニアに対するセキュアな開発／運用やコーディングに関する教育の実施 ・インシデントレスポンス 【募集背景】 当社は「出会いからイノベーションを生み出す」をミッションとして掲げ、営業DXサービス「Sansan」やインボイス管理サービス「Bill One」をはじめとしたサービスを通じて、ビジネスインフラになることを目指し、急速なビジネス成長を続けています。 情報セキュリティ部も、その成長とともにスケールできる組織を目指し積極的な人材強化を進め変革にチャレンジしています。 現在、プロダクトセキュリティーの分野でもスケーラビリティーを高めるため「セキュリティ・バイ・デザイン」を標榜してこれまでの組織の大幅な拡充を図っており、Sansanのプロダクトのセキュリティーをさらに高めていくことのできる方を募集します。 【本ポジションの魅力】 ▼新組織の立ち上げの中心メンバーとしての活躍 Sansanの情報セキュリティ部では「セキュリティ・バイ・デザイン」を実現するため、プロダクトのセキュリティーを高める専門組織を立ち上げています。本ポジションではその新チームの中心として新たなセキュリティー領域を開拓できます。 ▼プロダクトのエンジニアを巻き込んだセキュリティー組織体制 本ポジションは当社プロダクトエンジニアと深く連携して、セキュリティーとプロダクト開発の橋渡しをする役割を担います。当社では各プロダクトの代表メンバーがCSIRTとしてセキュリティー組織と兼務する体制をとっており、強固な連携を実現しています。 ▼開発経験を活かしたセキュリティーキャリアの形成 プロダクトのセキュリティーを高めるロールであるため、Webアプリケーション開発などの知識が求められるポジションであり、開発経験を持つ方はそのスキルをダイレクトに活かせる環境です。ご自身の開発者としての経験とセキュリティーを掛け合わせることで、さらにご自身のキャリアを高めることが可能です。 ▼セキュリティーへの理解と積極投資 会社として「Sansanのカタチ」という企業理念を大切にしています。その中で「セキュリティと利便性を両立させる」ことをPremise（前提）として掲げているため、全社でセキュリティー意識が高く、協力的な風土があります。また、ミッションの実現に向けて新たなことにトライしていける風土です。 なお、ペネトレーションテストを日本国内の企業では比較的早期に実施しています（2016年〜）。 【組織構成】 情報セキュリティ部は技術系グループであるCSIRTグループ、ガバナンス系の情報セキュリティマネジメントグループと認証グループの3グループで構成されています。本ポジションはCSIRTグループの募集です。 【開発環境、使用するツールなど】 BurpSuitePro VAddy 等 【業務変更の可能性】あり (変更の範囲) 会社の定める業務

【応募資格（必須）】 ▼以下のいずれかの業務経験が3年程度あること ・Webアプリの開発業務経験 ・事業会社におけるセキュリティエンジニアとしての業務経験 ・脆弱性診断、ペネトレーションテスト等のシステムセキュリティー分析業務の経験 【応募資格（歓迎）】 ・DevOps環境での開発経験 ・バグハンターとしての実績 ・情報処理安全確保支援士（登録セキスペ）資格 ・OSCP、GIAC、CISA、CISM、CEHなどのセキュリティー関連資格 【語学力】 必須：日本語ネイティブレベル 歓迎：英語