セキュリティ部署立ち上げをリードするプロダクトセキュリティエンジニア募集〈フルリモートOK〉

セキュリティ部署として全社を見ながらセキュリティに関する取り組みを包括的・戦略的に進めていく中で、特にプロダクト領域においてセキュリティ関連の取り組みを進めていただきたいと考えております。

・製品で

Go, AWS, Terraform, Vue.js

必須スキル/経験

・製品で利用しているOSSなどに対する脆弱性診断の実施・リスク管理・対応の経験
・ペネトレーションテストなどによる脆弱性診断の実施・リスク管理・対応の経験
・様々な他部署・他職種の関係者を巻き込むセキュリティ関連の取り組みの推進経験

歓迎スキル/経験

・CSFやCIS Controlsなどのセキュリティフレームワークを用いたリスク評価・管理・対応の経験
・CTF出場やCVE報告等のセキュリティに関する実績
・Go、Kotlin、Java、Ruby、Pythonなどのいずれかの言語での開発経験
・GCP、AWSなどのいずれかのクラウドインフラを利用した開発経験
・ビジネスレベルの英会話力をお持ちの方

求める人物像

・バリューストリーム全体に関わりたい志向性を持つ
・バリューストリームによって提供するアウトカムを最優先に考えることに価値を感じる
・円滑なチーム開発で高いアウトカムを出すことに価値を感じる
・自ら課題を発見し、解決に向かって周りを巻き込んで行動できる

紹介資料

仕事の魅力

下記の背景で設立されるセキュリティ部署のプロダクトセキュリティチームにおいて成果を出していくためにやるべきことすべてに裁量を持って動くことが出来ることが魅力です。
https://zenn.dev/team_soda/articles/6d43e4416af3dd もご覧ください。

## SODAのセキュリティ体制のこれまで

これまでのSODAでは、

- Corporate IT部署：ゼロトラストの推進、EDR/MDMの導入・運用、等の領域を担当
- 開発部署内のSREチーム：脆弱性診断、脅威分析、等の領域を担当

のように2つの部署やチームに分かれてセキュリティ関連の取り組みを進めてきていました。

## 包括的・戦略的にセキュリティに取り組めていない課題

もちろん、脅威分析では会社全体をある程度見る必要もありますし、ゼロトラスト推進では日々の開発フローを理解して進める必要があるため、お互いに日々連携を取りながら進めていました。

ですが、 [CSF](https://www.nist.gov/cyberframework) や [CIS Controls](https://www.cisecurity.org/controls) などに代表されるセキュリティフレームワークではコーポレートとプロダクトはまとめて取り扱われていることからも分かる通り、 "セキュリティ" という大きな領域に包括的・戦略的に取り組んでいく場合には1つの部署として団結して動いていく必要があると考えています。

そのため、2つの部署やチームに分かれてセキュリティ領域に取り組んでしまっている現状に課題があると考え、セキュリティ部署を立ち上げ、コーポレートセキュリティチームとプロダクトセキュリティチームを組成するに至りました。

## セキュリティ部署をつくりました

SODAは2024年10月、セキュリティへの取り組みを次のレベルに引き上げるため、新たにセキュリティ部署を設立しました。この新部署は、以下のチームで構成されます。

- コーポレートセキュリティチーム：ゼロトラストの推進、EDR/MDMの導入・運用、等の領域を担当
- プロダクトセキュリティチーム：プロダクトの脆弱性診断、脅威分析、DevSecOps体制の構築、等の領域を担当

そしてこのセキュリティ部署はCTOが管掌するプロダクト部門の中に組成されており、CTOと一緒に様々なセキュリティ領域の課題に取り組んでいきます。