会社名

株式会社日本経済新聞社

           

会社概要

新聞を中核とする事業持ち株会社。 雑誌、書籍、電子メディア、データベースサービス、速報、電波、映像、経済・文化事業などを展開。「日経電子版」をはじめとするデジタル領域、グローバル展開にも力を入れています。2015年には英国の有力経済紙フィナンシャル・タイムズを発行するフィナンシャル・タイムズ・グループを買収。 急激にデジタルシフトしている世の中でもニュースや解説・コラム、様々なデータを通じて、読者に役立つデジタルサービスの強化に力を入れています。

           

ポジション

DevSecOpsエンジニア、セキュリティエンジニア

仕事内容

当社のプロダクトセキュリティーチームは、エンジニア組織を横断するチームとして配置されており、プロダクト開発ライフサイクル全般をセキュア化するための取り組みを行います。 また、個別プロダクトの規模や成長に応じて、セキュリティ目線での助言やイベント開催といったかたちでサポートすることもあります。なお、全社的なセキュリティインシデント対応チーム（SIRT）や、24/365体制のセキュリティ運用チーム（SOC）は別にチームがあるため、当チームの活動対象とはなりません。
担当する業務は役割ごとに厳密に分割できるものではありませんが、概念的に「エンジニアリングのためのセキュリティ」と「リスク対応のためのセキュリティ」といった意味で使い分けています。

 

□ 共通
プロダクトセキュリティチームに所属するメンバーは、案件の特性や担当者のスキルセットに応じて以下のような業務にアサインされる場合があります。 また、多くの案件がチームを横断したものであるため、Slack、Docsを含む文書や口頭によるコミュニケーション能力が必要となります。

 

・セキュリティレビュー：新規開発案件やセキュリティ要件変更時に、開発チームに所属するエンジニアが設計したアーキテクチャをセキュリティ目線でレビューし、技術的なアドバイスや脅威モデリングを行います。
・セキュリティインシデント対応：プロダクトを横断したセキュリティインシデントや広範囲に及ぶ脆弱性の影響調査が発生した際に、開発チームを支援するために一時的にアサインされます。
・プロダクトセキュリティ関連イベントの運営：不定期にバグバウンティプログラムやセキュリティ対応訓練を実施する際、運営メンバーとしてアサインされます。

 

実際に取り組む内容は、チームの活動状況と担当者のキャリア目標等により半期ごとに決定します。

 

□ DevSecOpsエンジニア（エンジニア職）
DevSecOpsエンジニアの役割は、ソフトウェア開発の知見を活用してプロダクトセキュリティの向上を図ることです。 DevSecOpsエンジニアは、バックグラウンドにプロダクト開発経験やチーム開発経験を持つことが望ましく、他の開発チームがよりセキュアに開発できるよう開発基盤を整備することに貢献します。具体的には、主に以下のような業務を担当します。

 

・SAST, SCAといった開発プロセスにおけるセキュリティを担保するための取り組み/プロダクトセキュリティ関連OSSや商用製品の調査、PoC、導入プロセスを通じて普及するまでの一連のプロセス/パブリッククラウドリソースやSaaSリソースなどを安全利用、適正管理するための仕組みづくり/ソースコードの依存性管理などサプライチェーンセキュリティを担保するための取り組み/セキュアコーディングのためのガイドライン策定/クラウドセキュリティ監視基盤の実装や改善など

 

□ セキュリティエンジニア
セキュリティエンジニアの役割は、セキュリティ専門人材としての知見を活用してプロダクトセキュリティの向上を図ることです。 セキュリティエンジニアは、バックグラウンドにセキュリティアーキテクトとしての経験や、セキュリティリスク分析経験、セキュリティインシデント対応経験、一般的な脆弱性に関する情報収集の習慣があることが望ましく、開発組織全体のセキュリティを向上することに貢献します。
具体的には、主に以下のような業務を担当します。

 

・各種ガイドラインやベンチマークに即したガードレール制定/クラウドセキュリティ監視基盤の設計や運用/インシデント対応プロセスの策定、訓練計画、実施/バグバウンティプログラムの運営/脆弱性報告窓口に寄せられた報告への一次対応/脆弱性診断の自動化への取り組み/開発者用のID管理、認証認可基盤の運用改善など

求める経験・スキル

必須（MUST）
以下のいずれかに関連する専門知識及び業務経験
・Webプロダクトの開発経験（セキュアコーディングに関する知見を有する）
・DevSecOps関連ツールの導入・検証・運用経験
・Webセキュリティ、クラウドセキュリティ、コンテナセキュリティ、APIセキュリティの実務経験
・各種セキュリティベストプラクティスに沿った開発経験
プロダクトセキュリティ組織への所属、技術やサービス選定の経験
・EC/金融/決済/個人情報管理などセキュアなシステムの設計・開発経験

歓迎（WANT）
・セキュリティ関連資格の保有（RISS、CompTIA Security+、CISSP、GIAC等）
・コンピュータサイエンスやセキュリティに関する学位取得または相当するトレーニング受講経験
・CTF(Capture The Flag)への参加経験
・マイクロサービスアーキテクチャへの理解
・DockerやKubernetesなどのコンテナおよびオーケストレーション技術に関する知識
・DevOpsやアジャイル開発経験
・英文技術文書読解、英文チャットによるコミュニケーション