099.セキュリティエンジニア（Security & IT）

▪️募集背景 クレジットエンジンでは、コーポレートITチームが入社対応などの日常IT業務に加えて、インシデント初動判断、導入企業からのセキュリティチェックシート対応、社内セキュリティルール策定まで担ってきました。一方で、事業成長とともにセキュリティに求められる水準・スピードは年々上がり、現体制から品質・速度の両面でレベルアップが必要です。⁠⁠⁠⁠またプロダクト側のセキュリティ対応も、各メンバーの気づきやタスクフォース運営に依存しており、恒常的にオーナーシップを持って推進する役割が不足しています。 そこで私たちは、セキュリティ領域をコーポレートITから切り出し、「社内セキュリティ」と「プロダクトセキュリティ」の両輪で、継続的に態勢を強化する専任の1人目セキュリティエンジニアを募集します。裁量を持って仕組み化までリードいただけるポジションとなります。 ▪️業務内容 本ポジションは、プロダクトと社内の両面からセキュリティ態勢を強化する役割です。具体的には、プロダクトセキュリティ領域ではセキュリティタスクフォースをリードし、Renovate／Dependabot／コンテナスキャン等を含むサプライチェーンリスクについて、検知から対応までのフロー整備・運用を推進します。あわせて、緊急脆弱性発生時の初動や関係者の巻き込み、脆弱性診断のトリアージおよび内製化の検討・実装なども担います。 また、インシデントレスポンスでは、社内で報告されるセキュリティインシデントの一次判断と適切なエスカレーション、再発防止策の有効性確認、インシデント管理プロセスの運用・改善を行い、プロダクトチームと連携して恒久対応を前進させます。さらに、ガバナンス面として社内セキュリティポリシー・ルールの策定／更新／周知やISMS運用への貢献を行い、導入企業からのセキュリティチェックシート対応も関係者と協働しながら進めます。加えて、セキュリティ関連プロジェクトの企画・実行や、社内教育・啓発、業界動向のキャッチアップを通じて、継続的な改善をリードします。 ### プロダクトセキュリティ（目安：40%） - プロダクトセキュリティタスクフォースのリード（現在は各チーム持ち寄り運営） - サプライチェーンリスク管理の仕組み化・運用 - Renovate / Dependabot / コンテナスキャン等の「検知〜対応」フロー整備・運用 - `minimumReleaseAge` 等の運用ルールを全プロダクトへ展開 - 緊急脆弱性（例：axios等のCVE）発生時の初動、関係者巻き込み、対応推進 - 脆弱性診断のトリアージ、内製化の検討・実装 - 開発チーム（Lending / Collection）との連携・支援 ### インシデントレスポンス／社内セキュリティ（目安：30%） - 社内で報告されるセキュリティインシデントの一次判断（最初は現メンバーと協働しながら冗長化） - 再発防止策の有効性確認、インシデント管理プロセスの運用・改善 - プロダクトチームと連携した恒久対応の推進 ### ガバナンス／ルール整備（目安：20%） - 社内セキュリティポリシー・ルールの策定／更新／周知 - ISMS運用への貢献 - 導入企業からのセキュリティチェックシート対応（最初は現メンバーと協働し分散） ### その他（目安：10%） - セキュリティ関連プロジェクトの企画・実行 - セキュリティ教育・啓発、業界動向キャッチアップ

- Webアプリケーションの開発または運用経験 - OWASP Top 10レベルの脆弱性理解、および対策実装または指摘の経験 - インシデント発生時に、冷静に一次判断／エスカレーション判断ができる力 - 関係者を巻き込みながら、セキュリティ施策を前進させるコミュニケーション力

- 脆弱性診断・ペネトレーションテストの実施経験、またはベンダー管理経験 - サプライチェーンセキュリティ（Renovate / Dependabot / SCAツール等）の運用経験 - ISMS / SOC2 / PCI-DSS 等の認証運用経験 - 金融業界向けプロダクトにおけるセキュリティ対応経験 - セキュリティ関連資格（CISSP / 情報処理安全確保支援士 等）

・「かす、かりる」という金融業界をアップデートすることにワクワクする方 ・ポジティブ志向で、大胆にチャレンジできる方 ・チームのために、自ら考え、自ら動き、率先して成功のために行動できる方 ・オーナーシップを持って業務に励み、ベストを尽くすための努力を惜しまない方 ・Fintech分野に強い関心がある方