Product Security Engineerプロダクトセキュリティエンジニア
教育サービスのセキュリティと開発生産性をリードする Product Security Engineer 募集!
スタディサプリ小・中・高校講座、大学受験講座は会員数が100万人を超え、多くの学習者・先生・保護者に使われているサービスです。サービスを安心・安全に使用してもらうためには、セキュリティは必要不可欠なのは言うまでもありません。開発の生産性をなるべく落とさずに、必要なセキュリティを担保するためには単なるプロセスを整備する・ツールを導入するだけではなく、Engineering での解決が必要です。
業務内容
オンライン教育サービス「スタディサプリ」の開発・運用に必要なセキュリティ施策の実施をリードしていただきます。「スタディサプリ」は現在、BtoC/BtoB 領域いずれも AWS 上で動作しており、複数の開発チームでプロダクトを開発しています。
��セキュリティはサービスの開発・運用、様々なフェーズで意識する必要があり、具体的には以下のような対策を行ってきました。(進行中のものも含む)
・Cloud Security
- AWS Organization / SSO の導入
- AWS Account の分離
- GitHub / AWS / Slack MFA の徹底と違反時の通知
- AWS WAF の導入
- ネットワークフォレンジックのための OSS Arkime の導入
- AWS SecurityHub / GuardDuty の有効化
- Terraform repository へ tfsec の導入
- OS やミドルウェアの EOL 対応
・Access Key の廃止
- Amazon EKS IRSA 導入
- AWS CodeBuild 導入
- GCP Workload Identity Federation 導入
- GitHub Actions OICD Provider 導入
・個人情報保護
- 個人情報が入りうるデータ・ログへのアクセスを特定端末のみに制限
- 個人情報が入りうるアプリケーションエラートラッキングサービスの特定情報のマスキング
- 開発環境へリストアされるデータの個人情報のマスキング
・DevSecOps
- Renovate / dependabot によるライブラリアップデートの自動化
- Secretlint による Credential が commit されることを防ぐ仕組み
セキュリティは開発者生産性とトレードオフの関係にあります。単純にツールやサービスを導入したり、多くのルールで縛るだけでは仕事が増えてしまい、生産性は著しく低下するでしょう。そのため、今自分たちに必要なセキュリティ施策を見極め、セキュリティと開発者生産性のバランスを考えながら導入する必要があります。
そのため、画一的な正解らしいものを単に導入するのではなく、リクルート全社横断で必要とされているセキュリティ施策と、実際にスタディサプリを開発している開発チームの間に立ち、スタディサプリという�プロダクトに必要なセキュリティ施策を見極め、最終的には開発チーム自らセキュリティをコントロールできるようリードする必要があります。
これまでは SRE Team がセキュリティに関してもインフラを管理する上でリードしてきましたが、信頼性とは異なる専門性が必要です。SRE Team が開発組織における DevOps の実現を目指すために自己完結なチームを目指すのと同じ構図で、開発組織が DevSecOps / セキュリティシフトレフトを実現できるような Security Engineering Team が必要だと考え、今回ポジションをオープンしました。
入社された方には、クラウドインフラの運用管理をしている SRE チームと協力しながら、セキュリティに関する課題発見・解決およびセキュリティをコントロールできる能力を開発チームに実装することをリードしていただきます。志向によっては Security Engineering Team の Engineering Manager を務めていただき、チームを1から作っていくことを期待します。
ポジションの魅力
・社会的意義の大きなプロダクトを支えるセキュリティに携われます。
・クラウドをサービスを活用し、問題発見から実装まで裁量を持って携われます
・プロダクト開発チームと密に連携し、フィードバックを受けながらセキュリティ施策を実現することができます
・始業終業時間の柔軟な調整やフルリモートワークにより、個々人の都合に合わせて働けます。
応募条件
[必須条件]・AWS 等のパブリッククラウド上で構成管理ツールによる Infrastructure as Code 等を通じた自動化の仕組みの運用の経験がある
・シェルスクリプト以外のプログラミング言語を書いた経験がある(Go言語、Ruby、Pythonなど)
・AWS 等のパブリッククラウドの IAM の設計とそれを継続的に担保できる仕組みの実装経験がある
・セキュリティ対策の組織への導入経験がある
・「学びたい、学んでよかったと思える人を増やすために、学びをもっと新しく。」というミッションへの共感、エンジニアリングのスタイルに共感できること
・プロダクト開発など、セキュリティに閉じない業務において、それぞれの関係者と対話的なコミュニケーションを行うことで、より良いものを作っていける方
・日本語が母語でない場合はN1相当の言語能力をお持ちの方
[歓迎条件]・セキュリティインシデントの対応経験
・セキュリティを考慮した Cloud Infrastructure の設計・運用経験
・セキュリティ観点でのアーキテクチャレビューの経験
・セキュリティ静的解析ツールの導入経験
・セキュリティ自動テストの実装・導入・運用経験
・ペネトレーションテストの経験
・AWS Organizations や Control Tower による複数アカウントの管理経験
利用技術/ツール
・インフラ: AWS, GCP, Kubernetes
・CI/CD: CircleCI, GitHub Actions, AWS CodeBuild
・モニタ��リング: Datadog, NewRelic, Pingdom, Sentry, ・Google Cloud Logging
・コミュニケーション: GitHub, Slack
雇用形態
正社員(GE社員)
・契約期間の定め:なし
・試用期間:あり(6ヶ月)
募集者の名称(雇用元)
株式会社リクルート
配属部署
プロダクトディベロップメント室 販促領域プロダクトディベロップメント3ユニット(まなび)
小中高プロダクト開発部
※選考を通じて、ご経歴やご志向に合わせた最適な配属先をご提案させていただきます。
勤務地
九段坂上KSビル(東京都千代田区九段北1丁目14-6)
※担当事業/配属組織などにより、選考中に上記から変更となることがあります。
※一部の職種を除き、理由・回数を問わないリモートワークを全社導入しています。また、全国多数のサテライトオフィスと提携しています。出社しないことを前提とした働き方へシフト、働く場所の柔軟性を高めています。
報酬(給与賞与)
想定年収:663万円~1,149万円
賃金形態:月給制(固定残業代含む)
・総額:459,866円~765,982円
・基本給:356,025円~593,018円
・グレード手当:103,841円~172,964円
※時間外労働の有無に関わらず、35時間分の固定残業代をグレード手当として支給
※超過勤務手当:超過勤務手当を追加で支給
※年2回の査定あり・賞与:年2回(6月と12月)
諸制度
【労働時間】
・フレックスタイム制
・標準労働時間帯9:00~18:00
※1日の標準労働時間は8時間としますが、出・退勤時間は、各自の職務内容と自由裁量に委ねています。
・休憩時間:60分
・時間外労働:有
【休日】
・年145日(会社休日 140 日+指定休 5日)
※土曜日、日曜日、国民の祝日等を考慮し、会社カレンダーの定めるところによります。
【休暇】
・年末年始、夏季、ゴールデンウイーク、出産育児休暇、ケア休暇、転勤休暇、海外出張調整休暇、公傷休暇、慶弔休暇、産前産後休暇、看護休暇、介護休暇、裁判員休暇等
【社会保険】
・健康保険、介護保険、厚生年金保険、雇用保険、労災保険等
【諸手当】
・深夜休日勤務手当、追加割増手当、通勤交通費(当社規定による)等
【その他諸制度】
・社員持株制度、育児休職制度、介護休職制度、退職金制度等
受動喫煙対策
・施設の敷地内又は屋内を原則禁煙とし、特定屋外喫煙場所や喫煙専用室等を設けている
応募ステップ
「応募ページ」よりエントリー
▼
書類選考
▼
面接(3回程度)・コーディングテスト
▼
内定