当社は登録会員数500万人超、有料会員数約80万人を抱える、世界最大級の経済ニュースの電子版サービスを始めとした、BtoC、BtoBサービスを手掛けるメディア企業です。 当社は、「質の高い報道とサービスで 顧客の判断を助け 世界で最も公正で信頼されるメディアになる」というミッションを掲げ、時代に即応した新たなコミュニケーションのあり方を追い求めています。デジタルメディアやデータベースなど様々な情報サービスの開発に新しい技術を活用しています。 ■プロダクトセキュリティチーム紹介 当社のプロダクトセキュリティーチームは、エンジニア組織を横断するチームとして配置されており、プロダクト開発ライフサイクル全般をセキュア化するための取り組みを行います。 また、個別プロダクトの規模や成長に応じて、セキュリティ目線での助言やイベント開催といったかたちでサポートすることもあります。 なお、全社的なセキュリティインシデント対応チーム（SIRT）や、24/365体制のセキュリティ運用チーム（SOC）は別にチームがあるため、当チームの活動対象とはなりません。 ■業務内容について プロダクトセキュリティチームでの働き方は大きく以下の2つにわかれます。 ・DevSecOpsエンジニア（エンジニア職） ・セキュリティエンジニア 担当する業務は役割ごとに厳密に分割できるものではありませんが、概念的に「エンジニアリングのためのセキュリティ」と「リスク対応のためのセキュリティ」といった意味で使い分けています。 □ 共通 プロダクトセキュリティチームに所属するメンバーは、案件の特性や担当者のスキルセットに応じて以下のような業務にアサインされる場合があります。 また、多くの案件がチームを横断したものであるため、Slack、Docsを含む文書や口頭によるコミュニケーション能力が必要となります。 ・セキュリティレビュー 　新規開発案件やセキュリティ要件変更時に、開発チームに所属するエンジニアが設計したアーキテクチャをセキュリティ目線でレビューし、技術的なアドバイスや脅威モデリングを行います。 ・セキュリティインシデント対応 プロダクトを横断したセキュリティインシデントや広範囲に及ぶ脆弱性の影響調査が発生した際に、開発チームを支援するために一時的にアサインされます。 ・プロダクトセキュリティ関連イベントの運営 　不定期にバグバウンティプログラムやセキュリティ対応訓練を実施する際、運営メンバーとしてアサインされます。 実際に取り組む内容は、チームの活動状況と担当者のキャリア目標等により半期ごとに決定します。 □ DevSecOpsエンジニア（エンジニア職） DevSecOpsエンジニアの役割は、ソフトウェア開発の知見を活用してプロダクトセキュリティの向上を図ることです。 DevSecOpsエンジニアは、バックグラウンドにプロダクト開発経験やチーム開発経験を持つことが望ましく、他の開発チームがよりセキュアに開発できるよう開発基盤を整備することに貢献します。 具体的には、主に以下のような業務を担当します。 ・SAST, SCAといった開発プロセスにおけるセキュリティを担保するための取り組み ・プロダクトセキュリティ関連OSSや商用製品の調査、PoC、導入プロセスを通じて普及するまでの一連のプロセス ・パブリッククラウドリソースやSaaSリソースなどを安全利用、適正管理するための仕組みづくり ・ソースコードの依存性管理などサプライチェーンセキュリティを担保するための取り組み ・セキュアコーディングのためのガイドライン策定 ・クラウドセキュリティ監視基盤の実装や改善 など □ セキュリティエンジニア セキュリティエンジニアの役割は、セキュリティ専門人材としての知見を活用してプロダクトセキュリティの向上を図ることです。 セキュリティエンジニアは、バックグラウンドにセキュリティアーキテクトとしての経験や、セキュリティリスク分析経験、セキュリティインシデント対応経験、一般的な脆弱性に関する情報収集の習慣があることが望ましく、開発組織全体のセキュリティを向上することに貢献します。 具体的には、主に以下のような業務を担当します。 ・各種ガイドラインやベンチマークに即したガードレール制定 ・クラウドセキュリティ監視基盤の設計や運用 ・インシデント対応プロセスの策定、訓練計画、実施 ・バグバウンティプログラムの運営 ・脆弱性報告窓口に寄せられた報告への一次対応 ・脆弱性診断の自動化への取り組み ・開発者用のID管理、認証認可基盤の運用改善 など ■技術スタック https://hack.nikkei.com/tech-stack/

以下のいずれかに関連する専門知識及び業務経験 ・Webプロダクトの開発経験（セキュアコーディングに関する知見を有する） ・DevSecOps関連ツールの導入・検証・運用経験 ・Webセキュリティ、クラウドセキュリティ、コンテナセキュリティ、APIセキュリティの実務経験 ・各種セキュリティベストプラクティスに沿った開発経験 プロダクトセキュリティ組織への所属、技術やサービス選定の経験 ・EC/金融/決済/個人情報管理などセキュアなシステムの設計・開発経験

・セキュリティ関連資格の保有（RISS、CompTIA Security+、CISSP、GIAC等） ・コンピュータサイエンスやセキュリティに関する学位取得または相当するトレーニング受講経験 ・CTF(Capture The Flag)への参加経験 ・マイクロサービスアーキテクチャへの理解 ・DockerやKubernetesなどのコンテナおよびオーケストレーション技術に関する知識 ・DevOpsやアジャイル開発経験 ・英文技術文書読解、英文チャットによるコミュニケーション

・セキュリティ、事業の両面で自発的に課題を発見し周囲を巻き込みプロジェクトを推進できる方 ・セキュリティ技術や動向に対する関心・探究心を有する方 ・モダンなアーキテクチャ、開発プロセスに興味、意欲のある方 ■経験できるキャリアについて 事業会社ならではの大規模なアクセスを伴う既存プロダクトのセキュリティ改善や当社事業成長に伴う新たなプロダクトの開発に、セキュリティという視点から幅広く関与することでセキュリティ技術力の向上、人脈形成、海外を含む多様な人材との交流経験を積むことができます。 また、セキュリティ技術やサービス選定について裁量を持って取り組むことができるため、希望に沿ったキャリア形成が望めます。