情報セキュリティスペシャリスト/大手小売りグループの共創デジタルカンパニーの求人

◆概要
当社が開発・運用する自社製品（会員向けアプリ/Web、決済基盤、オーソリ・クリアリングシステム、API、カード発行システム等）のセキュリティを担っていただき、将来的な当グループにおけるセキュリティ組織の在り方やセキュリティの構築について牽引していただきます。

◆仕事内容（一例）
1. 技術・開発リード
- 脅威モデリング、SAST/DAST/SCA結果のトリアージ方針策定
- 脆弱性傾向分析にもとづく設計ガイドライン・セキュアコーディング規約へのフィードバック
- 開発者向けセキュリティトレーニングおよびセキュリティチャンピオン制度の企画・運営
- 開発組織との定例レビューを通じたプロダクトリスクの可視化

2. 組織・マネジメント
- PSIRTのミッション・スコープ・KPI/KRIの設計と経営層への提案
- 組織設計、要員計画、採用、評価、育成、チームビルディング
- 年次予算策定およびツール（脆弱性管理PF・SBOM管理・脅威インテリ等）の選定・投資判断
- ポリシー、規程、標準手順書、プレイブックの整備と定期見直し

3. ステークホルダー連携
- 関連会社との連携設計・運用の構築（情報共有協定・エスカレーションパス・RACI策定）
- カードブランド・アクワイアラ・PFI・規制当局への報告・届出統括
- 当グループ横断の合同インシデント訓練の企画・主催

4. 規制・コンプライアンス対応
- PCI DSS要件を中心としたPSIRT関連統制の整備・維持、QSA監査対応
- 経営層・リスク委員会・監査法人・規制当局向けレポートの統括
- カードブランド発出アラート・ベンダーアドバイザリ等への組織的対応フロー整備

◆利用技術
セキュリティ：脆弱性管理プラットフォーム、SBOM管理、脅威インテリジェンス、SAST/DAST/SCA、CVSS
フレームワーク：PCI DSS、FIRST PSIRT Services Framework、ISO/IEC、OWASP
ツール：GitHub、Slack、Notion、Jira

【必須スキル】
- 情報セキュリティ分野の実務経験（脆弱性管理やインシデント対応）
- Web/モバイル/APIの脆弱性に関する技術的理解（OWASP TOP10等の脆弱性に関する技術）
- 業界標準のセキュリティ基準の実務知識
- チームマネジメント経験（要員計画・採用・評価・育成・予算管理を含む）
- 複数部門および社外・当グループ会社を巻き込むプロジェクト推進経験
- 経営層への報告・提案経験
- ビジネスレベルの日本語、英語技術文書の読解力

【歓迎スキル】
- PSIRTまたはCSIRTの立ち上げ経験などゼロからの組織設計経験
- 決済・金融業界いずれかでの勤務経験
- ペネトレーションテスト・脆弱性診断・レッドチーム演習の実施または統括経験
- カード会員データ漏洩または不正利用インシデントの対応経験
- 当グループ会社CSIRT・SOCとの連携や、会社境界を跨いだインシデント対応の経験
- 外部コミュニティ活動経験
- FIRST PSIRT Services Framework・ISO/IECに基づく運用設計経験
- FISC安全対策基準・割賦販売法・改正個人情報保護法・EMV/3-D Secure関連仕様への理解
- 関連資格

【求める人物像】
- 規制業界における文書化・証跡化の重要性を理解し、ガバナンスとスピードを両立できる
- 高ストレス下でも冷静に判断し、経営層・規制当局・カードブランド・メディアに対して適切に説明できる
- 技術的深さと組織マネジメント・経営コミュニケーションを高いレベルで両立できる
- 「できない理由」ではなく「どうすれば安全に成立させられるか」を設計し、組織を動かせる
- 関連会社を含むステークホルダーの利害を調整し、合意形成を進められる

大手小売りグループの共創デジタルカンパニー