◆概要 当社が開発・運用するプロダクト（会員向けアプリ/Web、決済基盤、オーソリ・クリアリングシステム、API、カード発行システム等）のセキュリティを担っていただき、将来的な丸井グループにおけるセキュリティ組織の在り方やセキュリティの構築について牽引していただきます。 ◆仕事内容（一例） ○技術・開発リード - 脅威モデリング、SAST/DAST/SCA結果のトリアージ方針策定 - 脆弱性傾向分析にもとづく設計ガイドライン・セキュアコーディング規約へのフィードバック - 開発者向けセキュリティトレーニングおよびセキュリティチャンピオン制度の企画・運営 - 開発組織との定例レビューを通じたプロダクトリスクの可視化 ○組織・マネジメント - PSIRTのミッション・スコープ・KPI/KRIの設計と経営層への提案 - 組織設計、要員計画、採用、評価、育成、チームビルディング - 年次予算策定およびツール（脆弱性管理PF・SBOM管理・脅威インテリ等）の選定・投資判断 - ポリシー、規程、標準手順書、プレイブックの整備と定期見直し ○ステークホルダー連携 - 関連会社との連携設計・運用の構築（情報共有協定・エスカレーションパス・RACI策定） - カードブランド（Visa）・アクワイアラ・PFI・金融庁・経産省・個人情報保護委員会への報告・届出統括 - グループ横断の合同インシデント訓練の企画・主催 ○規制・コンプライアンス対応 - PCI DSS要件6・11・12を中心としたPSIRT関連統制の整備・維持、QSA監査対応 - 経営層・リスク委員会・監査法人・規制当局向けレポートの統括 - カードブランド発出アラート・ベンダーアドバイザリ等への組織的対応フロー整備 ◆利用技術 セキュリティ：脆弱性管理プラットフォーム、SBOM管理、脅威インテリジェンス、SAST/DAST/SCA、CVSS v3.1/v4.0 フレームワーク：PCI DSS、FIRST PSIRT Services Framework、ISO/IEC 30111・29147、OWASP ツール：GitHub、Slack、Notion、Jira

- 情報セキュリティ分野の実務経験(脆弱性管理やインシデント対応) - Web/モバイル/APIの脆弱性に関する技術的理解(OWASP TOP10,OWASP ASVS,CWE,CVSS) - PCI DSSまたはFISCの実務知識 - チームマネジメント経験3年以上(要員計画・採用・評価・育成・予算管理を含む) - 複数部門および社外・グループ会社を巻き込むプロジェクト推進経験 - 経営層への報告・提案経験 - ビジネスレベルの日本語、英語技術文書の読解力 - PCI DSSまたはFISCの実務知識

- PSIRTまたはCSIRTの立ち上げ経験などゼロからの組織設計経験 - クレジットカード・決済・銀行・FinTechいずれかでの勤務経験 - ペネトレーションテスト・脆弱性診断・レッドチーム演習の実施または統括経験 - カード会員データ漏洩または不正利用インシデントの対応経験 - グループ会社CSIRT・SOCとの連携や,会社境界を跨いだインシデント対応の経験 - 日本シーサート協議会・FIRST等の外部コミュニティ活動経験 - FIRST PSIRT Services Framework・ISO/IEC 30111・29147に基づく運用設計経験 - FISC安全対策基準・割賦販売法・改正個人情報保護法・EMV/3-D Secure関連仕様への理解 - CISSP・CISM・CISA・GCIH・GCFR・情報処理安全確保支援士・PCI ISA等の資格

- 規制業界における文書化・証跡化の重要性を理解し、ガバナンスとスピードを両立できる - 高ストレス下でも冷静に判断し、経営層・規制当局・カードブランド・メディアに対して適切に説明できる - 技術的深さと組織マネジメント・経営コミュニケーションを高いレベルで両立できる - 「できない理由」ではなく「どうすれば安全に成立させられるか」を設計し、組織を動かせる - 関連会社を含むステークホルダーの利害を調整し,合意形成を進められる