当社は登録会員数600万人超、有料会員数約97万人を抱える、世界最大級の経済ニュースの電子版サービスをはじめとした、BtoC、BtoBサービスを手掛けるメディア企業です。 当社は、「質の高い報道とサービスで 顧客の判断を助け 世界で最も公正で信頼されるメディアになる」というミッションを掲げ、時代に即応した新たなコミュニケーションのあり方を追い求めています。 ■プロダクトセキュリティチーム紹介 当社のプロダクトセキュリティーチームは、エンジニア組織を横断するチームとして配置されており、プロダクト開発ライフサイクル全般をセキュア化するための取り組みを行います。 また、個別プロダクトの規模や成長に応じて、セキュリティ目線での助言やイベント開催といったかたちで開発チームをサポートすることもあります。 なお、全社的なセキュリティインシデント対応チーム（SIRT）や、24/365体制のセキュリティ運用チーム（SOC）は別にチームがあるため、当チームの活動対象とはなりませんが、定例会や案件を通じて定期的に交流を図っています。 ■業務内容 現在募集中のポジションは、DevSecOpsエンジニア（セキュリティエンジニア職）です。システム開発の経験を活かして組織のプロダクトセキュリティを高めるための活動に従事いただきます。 □ チーム全体の活動 プロダクトセキュリティチームに所属するメンバーは、案件の特性や担当者のスキルセットに応じて以下のような業務にアサインされます。 また、多くの案件がチームを横断したものであるため、Slack、Docsを含む文書や口頭によるコミュニケーション能力が必要となります。 ・セキュリティレビュー 新規開発案件やセキュリティ要件変更時に、開発チームに所属するエンジニアが設計したアーキテクチャをセキュリティ目線でレビューし、技術的なアドバイスや脅威モデリングを行います。 ・セキュリティインシデント対応 プロダクトを横断したセキュリティインシデントや広範囲に及ぶ脆弱性の影響調査が発生した際に、開発チームを支援するために一時的にアサインされます。 ・プロダクトセキュリティ関連イベントの運営 不定期にバグバウンティプログラムやセキュリティ対応訓練を実施する際、運営メンバーとしてアサインされます。実際に取り組む内容は、チームの活動状況と担当者のキャリア目標等により半期ごとに決定します。 □ DevSecOpsエンジニア（セキュリティエンジニア職）の役割 DevSecOpsエンジニアの役割は、ソフトウェア開発の知見を活用してプロダクトセキュリティの向上を図ることです。 DevSecOpsエンジニアは、バックグラウンドにプロダクト開発経験やチーム開発経験を持つことが望ましく、他の開発チームがよりセキュアに開発できるよう開発基盤の整備に貢献します。 具体的には、主に以下のような業務を担当します。 ・SAST, SCAといった開発プロセスにおけるセキュリティを担保するための取り組み ・プロダクトセキュリティ関連OSSや商用製品の調査、PoC、導入プロセスを通じて普及するまでの一連のプロセス ・ソースコードの依存性管理などサプライチェーンセキュリティを担保するための取り組み ・セキュアコーディングのためのガイドライン策定 ・クラウドセキュリティ監視基盤の実装や改善 など ■経験できるキャリア 事業会社ならではの大規模なアクセスを伴う既存プロダクトのセキュリティ改善や当社の事業成長に伴う新たなプロダクトの開発に、セキュリティという視点から幅広く関与することで、セキュリティ技術力の向上、人脈形成、海外を含む多様な人材との交流経験を積むことができます。 また、セキュリティ技術やサービス選定について裁量を持って取り組むことができるため、セキュリティエキスパートとしての希望に沿ったキャリア形成が望めます。 ■技術スタック https://hack.nikkei.com/tech-stack/

以下のいずれかに関連する専門知識及び業務経験 ・Webプロダクトの開発経験（セキュアコーディングに関する知見を有する） ・DevSecOps関連ツールの導入・検証・運用経験 ・Webセキュリティ、クラウドセキュリティ、コンテナセキュリティ、APIセキュリティの実務経験 ・各種セキュリティベストプラクティスに沿った開発経験 ・プロダクトセキュリティ組織への所属、技術やサービス選定の経験 ・EC/金融/決済/個人情報管理などセキュアなシステムの設計・開発経験 また、業務に従事するにあたり以下の知識やスキルが必要になります。 ・モダンWebアプリケーションアーキテクチャ、HTTP、TCP/IP、標準的なネットワークおよびシステム・セキュリティ技術への理解 ・異なるバックグラウンドの人とのコミュニケーションスキル ・ドキュメンテーションスキル

・コンピュータサイエンスやセキュリティに関する学位取得または相当するトレーニング受講経験 ・CTF(Capture The Flag)への参加経験 ・マイクロサービスアーキテクチャへの理解 ・DockerやKubernetesなどのコンテナおよびオーケストレーション技術に関する知識 ・DevOpsやアジャイル開発経験 ・セキュリティ関連資格の保有（RISS、CompTIA Security+、CISSP、GIAC等） ・英文技術文書読解、英文チャットによるコミュニケーション

・セキュリティ、事業の両面で自発的に課題を発見し周囲を巻き込みプロジェクトを推進できる方 ・セキュリティ技術や動向に対する関心・探究心を有する方 ・モダンなアーキテクチャ、開発プロセスに興味、意欲のある方