P16_プロダクトセキュリティエンジニア

■■ ニーリーと事業について ■■ ニーリーは「社会の解像度を上げる」のミッションのもと、月極駐車場の契約体験をアップデートするSaaS『Park Direct』を展開するスタートアップです。看板を探す→電話をかける→店舗に訪問する→紙で契約する、というアナログな体験をすべてオンライン化し、スマホですべて完結できるUXを実現。通常14日かかる契約手続きを最短5分にまで短縮するという劇的な変化をもたらしています。管理会社の契約手続や電話対応もすべてPark Directに集約・自動化され、ほとんど「なにもしなくても」管理できるという状態を目指しています。 駐車場は単なるインフラではなく、車を使った移動すべての「起点」であり「終点」です。Park Direct事業の推進により、駐車場のデータ、さらには停まっている車や所有しているユーザーのデータまで正確に蓄積していくことが、EV充電や物流といった次なる事業に繋がり、3兆円を超える巨大なマーケットに革新を起こし、テクノロジーの力で塗り替えていきます。 〈これを読めばわかる！〜ニーリーってどんな会社？Park Directってどんなサービス？～〉 https://note.nealle.com/n/n553ace92ae94 〈エンジニア向けCompanyDeck〉 https://speakerdeck.com/nealle/nirienziniaxiang-kehui-she-shao-jie-zi-liao ■■ 募集の背景 ■■ ニーリーでは、主力プロダクトであるPark Directのサービス特性(大量の個人情報を扱うオペレーション)を鑑みて、これまで「コーポレートセキュリティ」に優先して取り組んできました。Park Directローンチ前のISMS取得、ローンチから1年半というタイミングでのCISO設置を始めとして、多くの施策を戦略的に実行してきました。 しかし、テレビCMの開始や掲載台数100万台突破という大きなイベントを経て、Park Directが「社会インフラ」として認知されつつあり、それに伴い「プロダクトセキュリティ」に対する要求のハードルが確実に上がってきています。いつでも使えるし(= 可用性が高い)、使っていて安心(= セキュリティが強固)、と思っていただけるように基準を大きくアップデートする必要があります。 また、これからマルチプロダクト化を強く推進していくため、アタックサーフェスが増えるだけでなく、管理の複雑化・設定ミスの増加、インシデント発見・対応の難化といったリスクも拡大していくことが予想されます。AIコーディングによるサイバー攻撃の容易化といった時代の変化にも、早急に対応していかなければなりません。 このような背景があり、より多くの方に安心してサービスをご利用いただくため、そしてセキュリティの力で事業をより大きくグロースさせるために、戦略的なアプローチを行っていきたいと考えており、1人目のプロダクトセキュリティエンジニアを募集することにしました。 0→1、1→10、10→100というフェーズの異なるサービスが混在し、今後さらにマルチプロダクト化がどんどん進んでいくカオスな環境で挑戦してみたい方、お待ちしています！ ■■ ポジションの魅力 ■■ ①「1人目」プロダクトセキュリティエンジニア 1人目のプロダクトセキュリティエンジニアとして、体制や戦略をイチからつくり上げることができます。経営層と直接議論し、経営視点でセキュリティの未来を描きながら、大きな裁量を持って推進できるポジションです。 また、コーポレートセキュリティ領域を担っているコーポレートエンジニアリングチームや、黎明期からクラウドセキュリティを支えてきたSREチームとともに、より全体最適化を目指す組織的なアプローチもしていただけます。 ②事業成長を強く意識したセキュリティ推進 プロダクトセキュリティはビジネスの「ブレーキ」ではなく「アクセル」にもなれると私たちは考えています。 まず、駐車場=不動産というドメインでマーケットを拡大していくにあたり、セキュリティの強さは明確なアドバンテージとなり、ニーリーのプロダクトを選んでいただくための武器となります。また、開発プロセスの中に適切なセキュリティのガードレールを敷いて、エンジニアが安心して開発に専念できる環境を整えることは、今の圧倒的な事業成長のスピードを維持しつづけるための大きな支えとなります。 このように、プロダクトや開発組織の状況に合わせて柔軟にセキュリティ施策を打つことで、プロダクトセキュリティ領域からビジネスを加速させているという実感を持ちながら働いていただけます。 ③セキュリティ意識の高いカルチャー・経営陣 Park Directが多くのお客様の個人情報をお預かりし、決済や会計という領域も扱うサービスであることから、プロダクト組織のセキュリティに対する意識はもともと非常に高く、専門家がジョインすることによりさらに良い文化を築いていけると思っています。 また、CTOだけでなくCEO・CISOもエンジニア出身であり、ツールやSaaSなどに適切に投資を行うことの重要性を深く理解しているので、プロダクトセキュリティ領域の活動や提案を全面的にバックアップします。 ■■ 業務内容 ■■ 【継続してやること・直近やりたいこと】 ・適切な現状把握とそれに応じたプロダクトセキュリティ戦略の立案、予算策定 ・プロダクト組織全体でのDevSecOpsの推進、文化醸成 ・複数プロダクトの外部脆弱性診断の実施、結果のトリアージや修正対応のリード 【これからやりたいこと】 ・プロダクトセキュリティの基盤確立: アセスメントフレームワークの継続的活用、マルチプロダクトreadyな共通基盤システム構築に向けたセキュリティ面の支援など ・プロアクティブなリスク管理基盤の確立: 脅威インテリジェンスの活用、クラウドセキュリティツール導入によるリスクの可視化、効率的な運用など ・リスクベースアプローチの導入: 脅威モデリング、リスクフォーカス型脆弱性診断の導入など ■■ 使っている技術・サービス(開発) ■■ ・バックエンド：Python（Django） ・フロントエンド：TypeScript, Angular, React ・インフラ：AWS（ECS、S3、Lambdaなど）, Terraform ・データベース：PostgreSQL, Aurora ・ミドルウェア：Redis, Nginx ・モニタリング：CloudWatch, Datadog ・ダッシュボード：redash ・CI/CD：GitHub Actions, AWS CodeDeploy ・プロジェクト管理：JIRA ・品質保証：Autify ・チャット：Slack ・Knowledge Tool：Confluence ・AI系ツール：Cursor, GitHub Copilot, Claude Code, Devin, Gemini etc... ■■ 使っている技術・サービス(セキュリティ関係) ■■ ・評価フレームワーク: OWASP SAMM ・スキャナー系: Trivy, Dependabot ・クラウドセキュリティ: AWS Security Hub, Amazon GuardDuty, AWS WAF etc... ・デバイス管理: Jamf Pro, Jamp Protect ※導入検討中: Intune, Keeperなどなど

・Webアプリケーションのセキュリティリスク把握とその対策に関する知識、経験 ・クラウドプラットフォーム(AWS、Google Cloud、Azure等)におけるセキュリティの知識、経験

・Webアプリケーションの開発・運用経験 ・セキュアコーディングの深い知識 ・脅威モデリングとセキュリティ設計の経験 ・脆弱性診断やペネトレーションテストの実務経験 ・SAST/DASTツールの導入、運用経験 ・インシデントレスポンスの経験 ・セキュリティ関連認証に関する知識

・今何が必要かを考え、技術や手段に拘らず、課題解決のためにベストな手段を考えて実行できる方 ・困難な課題に対しても諦めずどうやったら解決できるかを考え行動し続けられる方 ・自らの役割に限定されず他者と協働しながら取り組める方 ・業界知識や業務知識など事業ドメインに関連する知識を積極的にキャッチアップし、深堀りできる方 ・スピード感や大きな変化を楽しみながら働ける方