スタディサプリ BRAND SITE

Product Security Engineerプロダクトセキュリティエンジニア

教育サービスのセキュリティと開発生産性をリードする Product Security Engineer 募集!

スタディサプリ小・中・高校講座、大学受験講座は会員数が100万人を超え、多くの学習者・先生・保護者に使われているサービスです。サービスを安心・安全に使用してもらうためには、セキュリティは必要不可欠なのは言うまでもありません。開発の生産性をなるべく落とさずに、必要なセキュリティを担保するためには単なるプロセスを整備する・ツールを導入するだけではなく、Engineering での解決が必要です。

業務内容

オンライン教育サービス「スタディサプリ」の開発・運用に必要なセキュリティ施策の実施をリードしていただきます。「スタディサプリ」は現在、BtoC/BtoB 領域いずれも AWS 上で動作しており、複数の開発チームでプロダクトを開発しています。

セキュリティはサービスの開発・運用、様々なフェーズで意識する必要があり、具体的には以下のような対策を行ってきました。(進行中のものも含む)

・Cloud Security
・AWS Organization / SSO の導入
・AWS Account の分離
・GitHub / AWS / Slack MFA の徹底と違反時の通知
・AWS WAF の導入
・ネットワークフォレンジックのための OSS Arkime の導入
・AWS SecurityHub / GuardDuty の有効化
・Terraform repository へ tfsec の導入
・OS やミドルウェアの EOL 対応

・Access Key の廃止
・Amazon EKS IRSA 導入
・AWS CodeBuild 導入
・GCP Workload Identity Federation 導入
・GtiHub Actions OICD Provider 導入

・個人情報保護
・個人情報が入りうるデータ・ログへのアクセスを特定端末のみに制限
・個人情報が入りうるアプリケーションエラートラッキングサービスの特定情報のマスキング
・開発環境へリストアされるデータの個人情報のマスキング

・DevSecOps
・Renovate / dependabot によるライブラリアップデートの自動化
・Secretlint による Credential が commit されることを防ぐ仕組み

セキュリティは開発者生産性とトレードオフの関係にあります。単純にツールやサービスを導入したり、多くのルールで縛るだけでは仕事が増えてしまい、生産性は著しく低下するでしょう。そのため、今自分たちに必要なセキュリティ施策を見極め、セキュリティと開発者生産性のバランスを考えながら導入する必要があります。

そのため、画一的な正解らしいものを単に導入するのではなく、リクルート全社横断で必要とされているセキュリティ施策と、実際にスタディサプリを開発している開発チームの間に立ち、スタディサプリというプロダクトに必要なセキュリティ施策を見極め、最終的には開発チーム自らセキュリティをコントロールできるようリードする必要があります。

これまでは SRE Team がセキュリティに関してもインフラを管理する上でリードしてきましたが、信頼性とは異なる専門性が必要です。SRE Team が開発組織における DevOps の実現を目指すために自己完結なチームを目指すのと同じ構図で、開発組織が DevSecOps / セキュリティシフトレフトを実現できるような Security Engineering Team が必要だと考え、今回ポジションをオープンしました。

入社された方には、クラウドインフラの運用管理をしている SRE チームと協力しながら、セキュリティに関する課題発見・解決およびセキュリティをコントロールできる能力を開発チームに実装することをリードしていただきます。志向によっては Security Engineering Team の Engineering Manager を務めていただき、チームを1から作っていくことを期待します。

ポジションの魅力

・社会的意義の大きなプロダクトを支えるセキュリティに携われます。
・クラウドサービスを活用し、問題発見から実装まで裁量を持って携われます
・プロダクト開発チームと密に連携し、フィードバックを受けながらセキュリティ施策を実現することができます
・始業終業時間の柔軟な調整やフルリモートワークにより、個々人の都合に合わせて働けます。

応募条件

[必須条件]

・AWS 等のパブリッククラウド上で構成管理ツールによる Infrastructure as Code 等を通じた自動化の仕組みの運用の経験がある
・シェルスクリプト以外のプログラミング言語を書いた経験がある(Go言語、Ruby、Pythonなど)
・AWS 等のパブリッククラウドの IAM の設計とそれを継続的に担保できる仕組みの実装経験がある
・セキュリティ対策の組織への導入経験がある
・「Distributors of Wisdom」、「知の流通革命」を実現する、というミッションへの共感、エンジニアリングのスタイルに共感できること
・プロダクト開発など、セキュリティに閉じない業務において、それぞれの関係者と対話的なコミュニケーションを行うことで、より良いものを作っていける方
・日本語が母語でない場合はN1相当の言語能力をお持ちの方

[歓迎条件]
・セキュリティインシデントの対応経験
・セキュリティを考慮した Cloud Infrastructure の設計・運用経験
・セキュリティ観点でのアーキテクチャレビューの経験
・セキュリティ静的解析ツールの導入経験
・セキュリティ自動テストの実装・導入・運用経験
・ペネトレーションテストの経験
・AWS Organizations や Control Tower による複数アカウントの管理経験

利用技術/ツール

・インフラ: AWS, GCP, Kubernetes
・CI/CD: CircleCI, GitHub Actions, AWS CodeBuild
・モニタリング: Datadog, NewRelic, Pingdom, Sentry, Google Cloud Logging
・コミュニケーション: GitHub, Slack

想定年収

想定年収:730万円~1,040万円
賃金形態:月給制(固定残業代含む)
・総額:510,352円~721,807円
・基本給:395,111円~558,818円
・グレード手当:115,241円~162,989円
※時間外労働の有無に関わらず、35時間分の固定残業代をグレード手当として支給
※超過勤務手当:超過勤務手当を追加で支給
※年2回の査定あり

勤務時間

フレックスタイム制度(コアタイム無し)
※試用期間は、標準労働時間を10:00~19:00 とする

休日休暇

145日(土日祝日+会社指定休+個々人が設定する休日)
働く日と休む日を自身で選択し、メリハリのある働き方を目指しています。

待遇/福利厚生

・社会保険完備
雇用保険、労災保険、健康保険(介護保険)、厚生年金保険に加入
・各種手当
出産育児休暇:子が12歳まで40日取得可能。
ケア休暇:5日/年取得可能。介護認定不要。ペット可。
STEP休暇:勤続3年ごとに取得権利が発生。7日〜28日間取得可能。
・その他
国内外カンファレンスへの参加、技術書購入、資格取得、社外勉強会参加、GLOBIS学び放題など
スキルアップに繋がるものは様々支援しています。

応募する