【セキュリティ向上で「モノづくり産業のポテンシャルを解放する」】 どんなに価値の高いアプリケーションを開発したとしても、セキュリティの問題があれば様々なリスクを抱えることになり、今後の事業にも影響がでてきます。 お客様を始めとしたステークホルダーからの信頼を得ながら事業を推進するためには、人や情報におけるセキュリティ向上がキャディにとって欠かせません。 適切な情報管理を徹底することや、正しくインシデントレスポンスを行うためにセキュリティイベントを記録すること、 継続して人やアプリケーションのセキュリティを向上させていくことが、ビジネスの基盤を支えることになります。 【業務内容】 キャディには、オペレーションチームや、顧客、サプライパートナーの利用するシステムが複数存在します。 これらのシステムを通して価値を提供し続けるためには、事業やステークホルダーの情報を適切に扱うことや、システムを脅威から保護する必要があります。 防衛の観点だけでなく、インシデントが発生した際に適切な対応を行えるように、セキュリティに関するイベントを収集し、記録しておくことも重要だと考えています。 また、被害を最小化するためにも、継続してセキュリティチェックを行うことや、すぐに気付ける仕組みを構築することも重要です。 Security Engineerは、セキュリティにまつわる要件に広く携わり、プロダクト観点の対応だけでなく、全社的にセキュリティ向上の取り組みを行います。 会社やプロダクトの拡大とともに膨らむリスクに向き合い、チームで協力しながら全社におけるセキュリティの強化を推進することを期待します。 以下に業務例を示します。 実際の業務はこれに限定されるものではありません。 入社後の業務内容は、技術や専門知識、経験等を考慮のうえ決定します。 ・各種セキュリティ要件の定義 ・キャディで扱うプロダクト・サービスのセキュリティ対策に関連する開発・運用・導入支援 ・インシデントレスポンスを適切に行うための環境や仕組みの立案とともにCSIRT, PSIRT, SOCといったセキュリティに関する組織の立ち上げ・リード ・セキュリティチェックの実施や改善のサポート ・DevSecOpsの高度化 ・セキュリティに関する教育 ・インフラのセキュリティに関する設定やポリシーの監査 ・脅威インテリジェンスの収集・分析・活用 【開発環境】 ※下記はプロダクト開発チームの開発環境のため、Security Engineerが利用する開発環境は必要に応じて決定します ・利用言語 　・フロントエンド: HTML, CSS, TypeScript 　・バックエンド: Rust, TypeScript, F#, Go, Python ・フレームワーク・ライブラリ 　・フロントエンド: React, Apollo, Next.js, WebGL, WebAssembly 　・バックエンド: Rust (Tokio, tonic, Disel, axum, SeaORM), Node.js (Express, Fastify, NestJS), PyTorch ・インフラ: Google Cloud, Google Kubernetes Engine, Istio ・データベース: PostgreSQL, Firestore ・API: GraphQL, REST, gRPC ・認証: Auth0 ・開発ツール: GitHub, Github Actions, CircleCI, Terraform, Figma, Sentry, DataDog, Storybook ・コミュニケーションツール: Slack, Discord, JIRA, Miro

・セキュリティエンジニアとしての実務経験 ・Webアプリケーションセキュリティの基礎的知識 ・Linuxの基礎的知識 ・Docker等のコンテナ技術の基礎的知識 ・パブリッククラウドの基礎的知識 ・Git/GitHub等を利用したチーム開発スキル

・セキュリティチームでの実務経験 ・戦略的要件 　・全社的な[サイバー|情報]セキュリティ領域全般におけるセキュリティ戦略の立案や具体的な対策の構想 　・情報システム部門やPlatform Group、各開発チームと協力して対策の実施に係るような経験 　・Zero Trust Architectureへの理解と組織の実情を踏まえたImplementationを立案・実装する活動 ・Ops 　・DevSecOpsの構築・運用経験 ・セキュリティ対応、診断 　・ネットワーク情報・アセット情報の収集や評価などの活動 　・Webアプリケーションへの脆弱性診断の経験 　・ネットワーク(プラットフォーム)診断の経験 　・Kubernetes等のコンテナ技術のセキュリティ診断・対策の経験 　・Google Cloudを利用したシステムのセキュリティ診断・対策の経験 　・SCA(Software Composition Analysis)やSBOM(Software Bill of Materials)などを活用した脆弱性の管理や運用の経験 　・ペネトレーションテストや標的型攻撃耐性評価などの経験 ・インシデント対応, プロダクトセキュリティ活動、リアルタイムアナリシス等の監視活動経験 　・デジタルフォレンジックの経験(ファストフォレンジック、フルフォレンジック) 　・ネットワークフォレンジックの経験 　・CSIRT, PSIRT, SOCの立ち上げ・運用の経験 ・セキュリティ対応システム開発・運用 　・IPS・IDS・WAF等の導入・運用経験 　・オンプレミス環境におけるセキュリティ対策経験 　・セキュリティに関連するアプライアンス製品の設置・運用経験 　・エンドポイントセキュリティ製品の評価・導入・運用経験 　・SIEMの導入・運用経験 　・SIEM以外のシステムのログやネットフロー・パケットキャプチャデータを扱ったシステムの構築・運用経験 ・Computer Scienceなどの学問的知識 　・OS・ネットワークなどの低レイヤーの知識や関連する実務経験 ・教育、啓発、情報発信、連携などの活動 　・セキュリティ教育・啓蒙活動の経験 　・セキュリティアドバイザーとしての活動 　・セキュリティ人材の確保やキャリアパスの構築についての活動 ・脅威インテリジェンスの収集および分析と評価 　・内部脅威の整理・分析・評価の経験 　・外部脅威の収集・分析・評価の経験 ・実際のサービスの開発経験 　・Webサービスの開発、運用経験 　・C(++), Rust, TypeScript, Python, Goなどの言語による開発経験

・キャディのミッション、バリュー、カルチャーへの共感がある ・[サイバー|情報]セキュリティ領域の国際関係、ニュース、法律、規制、犯罪、製品、技術などに興味を持ち、日ごろから情報収集するとともに得た情報を昇華して業務に役立てられる ・全社のセキュリティをリードしていく姿勢がある ・未経験の技術や物事に対して貪欲に学び挑戦する姿勢がある ・チームワークを大事にし、考えやアイデアを積極的に共有できる ・様々なステークホルダーにセキュリティ施策への合意形成に至るコミュニケーションが行える ・Platform Groupの行動指針を理解しつつ、セキュリティの課題に取り組む姿勢（最初の所属はPlatform Group想定のため） ・なんでもやるがなんでもはやらない？CADDi の Platform チームは、何をするチームなのか？ https://caddi.tech/archives/2426 ・あれから 1 年、Platform チームのその後 https://caddi.tech/archives/4088 【参考記事】 キャディがどのような会社・組織なのか、下記リンクよりご覧ください ・共同創業者であるCEO加藤・CTO小橋からのメッセージ https://www.youtube.com/watch?v=kkH5gnRxexc ・CADDi Tech採用サイト https://recruit.caddi.tech/