システムリスク（自社向け）の転職求人

125 件

セキュリティレビューの実施・管理、またグループ全体におけるセキュリティガバナンスプロセスの統合・強化に関わる業務を担当します。


・ 会社の情報セキュリティ戦略に基づき、地域ビジネスユニット全体におけるサイバーセキュリティ態勢の実装、維持、強化を主導する
・ グローバルISOチームと連携し、透明性やコミュニケーションなど、グローバルの要件を満たしたサイバーセキュリティサービスを提供
・ 重要なビジネスプロセスやシステム、各事業部特有のセキュリティニーズを把握し、全体のサイバーセキュリティ戦略に反映
・ システム／アプリケーションの改善（パッチ適用、設定管理、EOL対応／アップグレード等）、監視・ログ管理、IAM関連のサイバーセキュリティプロジェクトの日常的な管理・調整
・ ISOポリシーおよび基準への準拠状況を追跡・報告し、ISOおよびBSOリーダーシップと協働
・ 各ビジネスユニットIT部門の信頼できるアドバイザーとして、サイバーリスク評価および改善方針策定を支援
・ アプリケーションポートフォリオが基準・再認定サイクルに従うよう、Software Security Assessment（SSA）チームやセキュリティアーキテクトと連携
・ リスク評価に基づくサイバーセキュリティ要件の技術的翻訳および助言を担当
・ 地域ビジネスユニットやISOチームと連携し、セキュリティ標準が遵守され、改善施策が高品質で実施されるよう推進
・ 他のISOリーダーと協働し、戦略的・戦術的施策を遂行し、横断的な透明性・コミュニケーションを強化
・ 様々なデータソースから分析を行い、重要なセキュリティリスクや改善提言を効果的にレポーティング
・ グローバルサイバーディフェンスセンター（GCDC）からの脅威情報を確認し、各ユニットの改善進捗を追跡
・ 主要リスク指標をモニタリング／評価し、必要に応じて是正措置を提案・推進
・ テクノロジーリスク＆コントロール（TRC）と連携し、規制要件が遵守されているか確認
・ セキュリティインシデントに対し、適切かつ迅速な対応を行い、事業・資産・顧客・ブランドへの影響を最小化
・ プレゼン資料、予算案、要件定義、一般的なプロジェクト仕様書などの作成
・ 地域のサイバーセキュリティプロジェクト会議をリードし、全体進捗を管理

●リスク評価: 企業のITインフラストラクチャ全体に対するリスク評価を実施し、脅威の特定とリスクの優先順位付けを行う。
●リスク低減計画: リスク評価の結果に基づき、効果的なリスク低減計画を策定、実行、モニタリング。
●セキュリティポリシー: セキュリティポリシー、手順、およびガイドラインの策定
●インシデント対応: セキュリティインシデントの検知、対応、復旧を迅速かつ効果的に行い、インシデント後の原因分析と再発防止策を策定。
●リスクモニタリング: リスク指標の継続的なモニタリングとリスク状況の報告、必要に応じた対策の実施。
●クロスファンクショナルコラボレーション: 他のIT部門、ビジネス部門、外部パートナーと協力し、リスク管理の一貫性と効果を高める。
●トレーニングと啓発: 社内のセキュリティ教育プログラムの実施と従業員のセキュリティ意識向上
●規制遵守: 業界標準および規制要件に準拠したリスク管理フレームワークの確立と維持。規制要件や業界標準に基づくセキュリティ対策の実施と監査対応。

・社内で定めた指標の測定支援(申請と利用の記録照合、データ突合せや分析、情報集計等)
・IT リスクの特定、評価、対応策の提案
・内部監査・外部監査対応(資料準備、是正対応)
・IT 関連法規(ISO 27001、GDPR、J-SOX 等)の遵守状況の確認
・GRC ツール(例:Microsoft defender 等)を用いたリスク・コンプライアンス管理
・関連部署(法務、情報セキュリティ、監査等)との連携
・期日管理(チェックリストに沿って、各イベントの実施状況確認とリマインドを実施する。)
・週次/月次レポート作成(関係部署やシステムからデータを収集し、レポート作成する。)
・従業員セキュリティ研修資料の作成(IPA 等の外部サイトから情報を収集し、資料化する。)
・社内プロセスの遵守チェック(各種申請などが社内ルールから逸脱していないか確認する。)
・社内会議の開催準備
・その他、事務処理等

業務内容
当社グループに関する
・システムリスクに関する方針の策定や企画
・リスク評価、リスク管理計画の策定
・セキュリティ対策の実施、トレーニングや教育
・システムリスクに関するモニタリングや対策の検討

具体的には、
上記に関する各業務について、各施策を自ら推進することができる方又は上司や同僚の支援を受けながら業務を行っていきたい方など、お持ちの経験やスキルに応じて各業務を担当していただくことを想定しています。

チーム・リーダーとともに下記業務の中心メンバーとして活動していただきます。
国内外の当社グループの拠点、各部署の幅広い関係者と協力して、業務推進していただきます。
そのために当社グループのビジネス、関係する金融規制、海外各拠点におけるレジリエンスに関する事項について、早急にキャッチアップしていただく必要があります。
オペレーショナル・レジリエンスの確保に関する体制の構築、モニタリング
業務継続管理に関する体制の構築、モニタリング
サードパーティ・リスク管理に関する体制の構築、モニタリング

私たちは、AI分野における高度な技術力と法律・契約の専門知識を兼ね備えたグローバルリーガルAIカンパニーです。
2017年の設立当初から、AIを活用したリーガルAIサービスの開発に注力し、累計ラウンド総額約286億円の達成や、海外展開を加速するべく2022年に米国にグループ会社を設立するなど、驚異的なスピードで成長を続けています。

業務範囲は、日本本社・米国子会社の対応となります。
・ITガバナンスおよびセキュリティガバナンス、コンプライアンス、リスクマネジメントに関する、いずれかまたは複数の業務を担当していただきます。

・IPO準備に係るJ-SOX内部統制（主にIT統制）への対応
　- EDMモデルの考え方に基づいたITガバナンスの確立、維持
　- IT全般統制に係る対応（e.g. システム開発・保守に係る業務プロセスおよびドキュメント整備等）
　- IT業務処理統制に係る対応（e.g. 入力情報の完全性、正確性、正当性等の確保に係る業務プロセスおよびドキュメント整備等）

・ISMSやSOC2 Type2等のセキュリティリスクマネジメントへの対応
　- システム管理や情報管理に係る規程等の作成
　- セキュリティリスクアセスメントの実施
　- CMMI等のフレームワークに基づく成熟度評価の実施
　- 事業継続計画の作成及びIT-BCP領域への対応
・システム監査等の各種監査への対応
・顧客または従業員からのセキュリティに関する質問・相談対応

【環境】
東京本社又はリモート勤務を含めたハイブリッドワークとなります。

【社風・やりがい】
・本ポジションは、コーポレートIT領域の業務システム担当者やプロダクト領域の開発者と直接協議し、裁量をもってセキュリティ対策を検討・施策を実施することが可能です。
・当社のシステムアーキテクチャは、クラウドネイティブ、かつ、ZTAの考えに基づいているため、新しい考え方やソリューションを採用し、取り扱うことが可能です。

【募集背景】
- 2023年4月、米国子会社が契約レビュー支援ソフトウェアを米国で正式リリースしました。
- 米国向けのマーケティング及び営業活動を行うにあたり、米国子会社内ではSOC2レポート取得の取組みを行っています。
- 2024年4月以降、日本本社においても米国子会社と同様にSOC2レポート取得やGDPR対応等を行う予定であり、ITガバナンス及びセキュリティガバナンス担当者の増員を検討しています。

金融業に関わるビジネスを守り、成長させるため、ガバナンス・リスク・コンプライアンスの面から当社の組織全体に貢献するポジションです。
大手トラスト・グループという大きな舞台で、自分のスキルを試してみたい、DX推進やクラウド業務に関わる組織のために貢献したい等の強い意欲をお持ちの方をお待ちしております。

●具体的な仕事内容（次のいずれかを複数担当）
ISO/ISMS取得維持に関わる監査・報告・研修・調査
社内規定、各種ガイドラインの調査・管理・更新（クラウド基盤に関わる開発ガイドライン、AIやDXに関わるガイドライン、個人情報の取り扱い）
アセット管理（ソフトウェア、ハードウェア、脆弱性、SaaSなど）
コーポレートリスクモニタリング・報告（アセットと脆弱性の対応）

ITガバナンスエキスパートとして、ITガバナンスの構築、評価、改善を担当します。

＜職務内容＞
・ITガバナンスのフレームワーク構築と運用の改善
・他部門との連携によるITガバナンスの整合性と効率性の確保
・ITガバナンスポリシーの文章化
・ITガバナンスに関する組織内の認知向上と教育
・ITインダストリーのベストプラクティス収集、他社ベンチマークの調査

当行リスク統括部に所属し、これまでのご経験や知識・スキル等を踏まえつつ、以下のような業務をご担当いただきます。

【担当いただく業務例】
●システムリスクやサイバーセキュリティのリスク評価・運用状況の監督に関する以下の業務
1.銀行の2線（リスク管理・監督部門）としての体制整備・運用（BCP領域含む）
2.1線（システム部門）との連携・調整業務
3.経営層への状況報告

ウェルス・マネジメント部門のITに関するリスク管理を担うチームの一員として、ウェルス・マネジメント部門のIT統制や、業務継続に係る訓練の計画・実施を担っていただきます。
第2線部署の定めたポリシーに沿った運用が第1線部署でされているかのフォロー、サポートを行います。場合によっては運用の為の枠組みを企画していただきます。
また、IT統制・リスク管理に関する指標の集計やレポート作成を実施します。指標については実効性をもったサポートを行うためにウェルス・マネジメント部門のビジネスの理解や、システム開発への理解も求められます。

このポジションでは、リージョンおよびグローバルのガバナンス・リスク・コンプライアンス（GRC）チームに加え、SOC（セキュリティオペレーションセンター）、脆弱性管理、セキュリティアーキテクチャ、脅威インテリジェンスなど、社内のさまざまなセキュリティチームと緊密に連携することが求められます。

主な役割としては、日本地域におけるSAS業務の実施とプロセスを主導し、地域の規制要件を遵守しながら、強力なガバナンスの実践を維持することです。また、サードパーティサイバーリスクに関する地域の専門家として、当社のセキュリティフレームワークに地域およびグローバルレベルで貢献します。さらに、このポジションでは、ベンダーリスク管理プロセスの改善や、調達部門や法務部門を含むさまざまな部門間での連携を向上させることも期待されます。

【職務内容】
・窓口として業務を担当し、SAS機能のリード役を務め、ビジネス要件、セキュリティ意識向上、ベンダーやサプライヤー、サービスプロバイダーに対するサードパーティサイバーリスク評価（TPCRM）の監督を行う。
・調達部門、法務部門、レジリエンス(TPRM) を含むリージョンの関係者、プラットフォームチームと連携し、セキュリティ要件をベンダー契約に組み込む。
・日本におけるサードパーティサイバーリスク評価（TPCRM）プロセスの強固なガバナンスを維持し、地域要件への準拠を確保する。
・ビジネスユニットやプロジェクトチームの信頼できるセキュリティアドバイザーとして、プロジェクトや技術イニシアチブにセキュリティ要件を組み込む支援を行う。
・ソフトウェア、ネットワーク、クラウドソリューションをセキュリティ基準に基づいてレビュー・評価し、必要に応じて改善策を提案する。
・日本におけるサードパーティサイバーリスク評価（TPCRM）プロセスについて、リージョンの要件を満たしつつ、ウェルスマネジメントチームとの連携を図りながら適切なガバナンスを維持する。
・グローバルTPCRM、SOC、脆弱性管理、セキュリティアーキテクチャ、脅威インテリジェンスなどの内部セキュリティチームと連携し、全体的なTPCRMフレームワークを強化する。
・日本のTPRMワーキンググループ会議に積極的に参加し、ServiceNow VRMの導入プロセスに貢献する。
・日本地域におけるサードパーティサイバーリスク評価（TPCRM）の進捗状況を定期的にSAS管理部門へ報告する。
・サードパーティサイバーリスクやコンプライアンス要件に関するセキュリティ意識向上プログラムを企画・実施する。
・サードパーティセキュリティインシデントやデータ漏洩への対応に携わり、規制に基づく報告要件を確実に満たす。
・日本国内でのサイバー文化や学習イニシアチブ（現場活動、翻訳、コンテンツレビューなど）を支援する。
・ビジネスコミュニケーションやセキュリティレポートを英語から日本語、またはその逆へ翻訳する業務をサポートする。

サイバーセキュリティのエキスパートとして社内およびグループ各社へのコンサルテーションやセキュリティに係るグループ全体施策の統括的な企画管理等を担う。
プロアクティブなリスク管理業務を通じ、リスクマネジメント観点からグループ各社をサポートし、グループ全体のサイバーセキュリティ管理態勢の成熟度向上とリスク管理の高度化を推進する。

○グループサイバーセキュリティに係るの戦略・企画・管理
○ＩＴリスクおよびサイバーセキュリティにかかるリスク分析・評価等のリスク管理業務
○ＩＴリスクおよびサイバーセキュリティにかかる実効的なＰＤＣＡプロセスの実行
○ＩＴリスクおよびサイバーセキュリティにかかるグループ各社の管理態勢構築のサポートとモニタリング
○社内およびグループ会社に対するセキュリティコンサルテーションと支援
○サイバーセキュリティ施策におけるユニット間調整、契約・請求関連処理、ファシリティ管理の統括
○経営および関連部署（リスク管理部門）への連携、報告業務

As AI technology rapidly evolves, this Group is promoting the business application of AI on an enterprise-wide scale. In parallel, we have introduced an AI governance framework that covers end-to-end AI lifecycle and established an AI governance structure. This initiative aims to create an environment that ensures ethical and responsible development, implementation, and use of AI.
Chief Data Office is responsible for AI governance across the Group and leading AI governance efforts at a global level. As relevant laws and regulations are continuously developed, it is essential to monitor regulatory trends not only in Japan but also overseas and update the framework as necessary. Chief Data Office collaborates with stakeholders from various backgrounds and areas of expertise at a global level, working collectively on AI governance initiatives as a unified group.
Currently Chief Data Office is implementing AI governance framework and chairing the governance forum. We are seeking experienced professionals who can contribute to these efforts.

Responsibilities：
Framework: Design, development, implementation and ongoing maintenance of the company’s AI governance framework requirements
Risk evaluation: Design, development and ongoing maintenance of AI risk evaluation taxonomies and methodologies; work with the business and application owners of AI deployments, and other control domain owners, to ensure risks are identified and mitigated
Automated Compliance: Design, develop, implement, embed and maintain second-line controls in line with the company’s AI governance framework requirements; develop controls testing approach and perform periodic testing of first-line controls
Operational management: Drive continuous improvement in CDO governance processes and solutions in line with the CDO automation and digitisation strategy
Regulatory changes: Track and assess impact of relevant regulatory changes for AI to ensure timely updates to governance framework
Reporting and analysis: Design and operationalise reporting and analytics for AI risk management and monitoring, internal decision making and governance committees
AI literacy: Design and deliver training requirements to improve enterprise AI literacy

・グループにおけるAI活用に係るリスク管理方法・ガバナンス方法（AI審査等）を企画立案・運営
・グループにおけるAI活用案件を対象に、活用方法・運営状況の適切性を2線の立場でレビュー&チャレンジ
・グループにおけるAI活用に係るリスク管理状況を、会議体等を通じて経営宛に定期報告
・関連部と一緒にグループ向けの各種規程・ガイドラインの策定・改定　など

●想定されるキャリアパス
・AIリスク管理の担当者として経験値を積んで金融機関のAI活用に係るリスク管理のプロになって頂く他、非財務リスク分野を中心にリスク管理の知見・専門の幅を広げ経験・実績を積み、リスク管理部門のマネジメントを目指すことも可能です。
・身に着けたAIに関する知見・スキルを武器に、本店他部や他部門、海外、グループ会社等への異動機会も豊富にあります。

具体的には以下のような業務を想定しています。
●当行およびグループのセキュリティポリシーおよびフレームワーク策定、およびそれに基づくリスク管理
●システム企画・構築時のセキュリティコンサルテーションおよびレビュー
●サイバーセキュリティ施策の推進、最新動向や最先端技術の調査・研究

【業務内容】
当行グループのリテール事業部門で、デジタル領域におけるガバナンス強化や不正取引対策高度化、IT人材育成の企画・推進などを担当いただきます。
・システムリスク管理、AI・データ・プライバシーガバナンスの観点での各種案件推進支援および企画、推進
・安全な取引を維持するためのシステムや不正取引検知システムおよび不正取引防止に関する企画、推進
・リテール事業部門におけるIT人材育成の企画、推進

想定されるキャリアパス
デジタル企画人材として担当領域のスペシャリストとしての活躍や、希望や適性に応じて専門性を兼ね備えたマネジメントとしての活躍も展望できます。
また、リテール事業部門以外のデジタル関連部署への異動や、グループ各社も含めた様々な場における活躍の機会もあります。

1.ガバナンス・コンプライアンス
・ITリスク、ガバナンス管理 ・ITポリシーフレームワーク管理 ・システム一覧・CMDB管理 ・法令諸規則・ガイドライン準拠

2.リスクアセスメント
・システムリスクアセスメント ・システム外部委託先評価 ・クラウド導入リスク評価 ・コントロールアセスメント

3.リスクモニタリング・レポーティング
・システムリスク管理委員会報告・事務局 ・各種グループレポーティング業務（例：システム障害、クラウド、KRI）
・システム障害管理

4.その他
・グループプロジェクトへの参画（統制標準化、GRC・ITSMツール統合等）
・IT監査対応（SOX, SOC1,内部監査, SWIFT CSCF等） ・クライアントデューデリジェンス対応 ・CSIRT運営

以下のような業務をご担当いただきます。
・サイバーセキュリティおよびシステムリスクに関する規程類作成
・システムリスク評価基準の作成や所管部門による評価結果等の確認
・CSIRT関連のルール整備とインシデント発生時のCSIRT活動
・監督当局（金融庁や日本銀行など）、社内外監査対応

・情報システムのシステムリスク管理と品質維持向上のため、お客様に提供しているシステムの定期的な点検・評価や、新たな開発案件が安全、確実に推進されるように審査業務を行う部署です。より安全で安定的なサービスをお客様に提供していくためシステム品質を確保する一端を担う部署となっています。

【主な役割と職責】
以下の業務を中心にご自身の経験を踏まえて、幅広くご活躍いただきます。

(1)重要システム開発プロジェクトの審査業務
プロジェクト計画の実効性点検・評価、開発の進捗状況、リリース準備状況の点検・評価を行い、品質の高いシステムの維持・向上を推進する。

(2)システムリスク点検業務
当社におけるシステムリスク管理の方針に従い、以下の業務を通じてシステムリスク管理態勢の高度化を推進する。
・システムリスク点検（情報システムに対するリスクアセスメント）
・EUC／RPAやクラウド（外部サービス）のリスク評価

(3)内部統制評価業務
・会計監査やJ-Sox評価、及び監査部門によるシステム監査への対応を通じて、管理する情報システムの適切性を維持・改善を図る。

◆変更の範囲: 会社の定める業務。出向を命じられた際は、出向先が定める業務。

1. サイバーセキュリティ対応業務（CSIRT業務）
サイバーセキュリティに関する業務運営全体のさらなる高度化に向けた企画立案および推進
サイバーセキュリティを取り巻く社会情勢や技術動向、脆弱性情報等の収集・分析および対応
各種システムに対するセキュリティアセスメントやペネトレーションテスト、サイバーセキュリティ訓練、教育施策の企画・実施および改善
サイバーインシデント対応体制の継続的な整備およびインシデント発生時の対応・統括
2. システムリスク・情報セキュリティ管理業務
各種ITプロジェクトにおける新システムや新規委託先に対する、システムリスク・情報セキュリティ観点でのアセスメント
既存システムおよび既存委託先に対する、定期的なシステムリスク・情報セキュリティアセスメントの実施
ISO27001に基づく情報セキュリティ管理の統括および運営
生成AIの活用、データ活用の高度化、Web3サービスの導入等、最新の技術動向やクラウド活用状況を踏まえたシステムリスク・情報セキュリティ管理体制の継続的な改善（アセスメント手法、チェックリスト、各種規程・マニュアルの高度化 等）
ITサービス提供力を最大化し、当社ビジネスを加速させることができるよう、最新の社会情勢や技術動向を踏まえ、先進的な情報セキュリティ管理およびシステムリスク管理態勢を整える
※基本設計から移行までの開発工程は、システム会社に委託し、当社は進捗管理やレビューを行いながら進めています。
具体的な業務
1. サイバーセキュリティ対応業務
高い信頼性・安全性が求められる銀行において、サイバーセキュリティ対策のさらなる高度化を推進するため、以下のようなサイバーセキュリティ対応業務を担っていただける高度な専門性を持つ人材を募集しています。
サイバーセキュリティに関する業務運営全体の高度化に向けた企画立案および推進
サイバーセキュリティを取り巻く社会情勢、技術動向、脆弱性情報等の収集・分析および対応
各種システムに対するセキュリティアセスメントやペネトレーションテスト、サイバーセキュリティ訓練、教育施策の企画・実施および改善
サイバーインシデント対応体制の継続的な整備および、インシデント発生時の対応・統括
2. システムリスク・情報セキュリティ管理業務
高い信頼性・安全性が求められる銀行において、システムリスクおよび情報セキュリティ管理のさらなる高度化を図るため、以下のような業務を担っていただける高度専門人材を募集しています。
各種ITプロジェクトにおける新システムや新規委託先に対する、システムリスク・情報セキュリティ観点でのアセスメント
既存システムおよび既存委託先に対する、定期的なシステムリスク・情報セキュリティアセスメントの実施
ISO27001に基づく情報セキュリティ管理の統括および運営
生成AIの活用、データ活用の高度化、Web3サービスの導入等、最新の技術動向やクラウド活用状況を踏まえたシステムリスク・情報セキュリティ管理体制の継続的な改善（アセスメント手法、チェックリスト、各種規程・マニュアルの高度化 等）
ポジション・部門の魅力
当社では上流から一貫して関わることができ、幅広くかつ深いスキルを身につけることが可能です。
銀行として求められる高い信頼性・安全性を大前提としつつ、ロジカルに考え、柔軟かつスピーディに物事を進める文化があります。
クラウドを前提としたシステム環境で、新しい技術やチャレンジに取り組めます。
入社後のイメージ（IT部門共通）
ご入社後は、ご本人の知識・経験やご希望を踏まえ、担当業務を個別に検討します。
入社直後には、当社のルールや業務フロー、ITシステム全体像について、IT部門内で丁寧に説明を行います。
また、必要に応じて外部研修などの学習機会も柔軟に設け、無理なくスムーズに業務へキャッチアップいただける環境を整えています。
中長期的なキャリアパス
能力・成果に応じて、昇給・昇進を行います。
高い専門性を発揮し、実務で価値を発揮されている方については、管理職でなくても管理職相当以上（専門職キャリア）の処遇となるキャリアパスも用意しています。

・情報システムのシステムリスク管理と品質維持向上のため、お客様に提供しているシステムの定期的な点検・評価や、新たな開発案件が安全、確実に推進されるように審査業務を行う部署です。より安全で安定的なサービスをお客様に提供していくためシステム品質を確保する一端を担う部署となっています。

当部の管理職として、ITガバナンスチームのマネージャーの役割を担っていただきます。
主な業務は以下の通りですが、チームワークを重視し、部内外のメンバーと柔軟なコミュニケーションをとれる方、粘り強く責任感をもって仕事に取り組める方を募集いたします。

(1)重要システム開発プロジェクトの審査業務
プロジェクト計画の実効性点検・評価、開発の進捗状況、リリース準備状況の点検・評価を行い、品質の高いシステムの維持・向上を推進する。

(2)システムリスク点検業務
当社におけるシステムリスク管理の方針に従い、以下の業務を通じてシステムリスク管理態勢の高度化を推進する。
・システムリスク点検（情報システムに対するリスクアセスメント）
・EUC／RPAやクラウド（外部サービス）のリスク評価

(3)内部統制評価業務
・会計監査やJ-Sox評価、及び監査部門によるシステム監査への対応を通じて、管理する情報システムの適切性を維持・改善を図る。

◆変更の範囲: 会社の定める業務。出向を命じられた際は、出向先が定める業務。

本ポジションでは、システムリスク管理チームの一員として、金融関連の各種法令や制度を理解し、過去のシステム障害発生状況・要因などを分析し、システムの安定稼働とお客様が安全にサービスを利用できる環境を実現するための施策を企画・立案・推進いただきます。

【業務内容/ポジションの魅力】
・各種法令・制度をふまえた規程・マニュアル等の整備
・サードパーティー管理
・システム障害管理・対策・訓練企画
・システム利用状況管理
・システム開発・運用にかかる契約のリーガルチェック
・サービスレベル設定・運用
⇒銀行グループの長期戦略実現に向け、システムの安定稼働と適切かつ安全な利用を実現していく上で重要なポジションです

◆キャリア形成
ご希望に合わせて、マネジメント／スペシャリスト／他ポジションの経験など幅広いキャリアの選択肢があります
・マネジメント：グループ長・チーム長として組織のマネジメントに挑戦する
・スペシャリスト：本ポジションの専門性を高める、本ポジションでの経験を生かして他ポジションに自身の幅を広げる

当社の全てのシステムに関してリスクの評価・分析やリスク低減策の検討・実施を推進し、 システムリスク管理態勢の構築及び運用状況の確認を行ないます。

全社的なシステムリスク管理体制の整備・維持
システムリスクアセスメントについて方針策定・推進
システム関連事故管理体制の整備・維持
システム担当部署のモニタリング
グループ会社対応
▼本ポジションの魅力
新しいアーキテクチャや技術、クラウドサービスの利用、様々や契約や規制の考慮など、幅広く、難度の高いシステムリスク管理に挑戦できる環境です。
当局対応、IT統制、監査対応、制度対応といった幅広い業務に対応するため、知見を活かす場も多く、多様な経験を積むことが出来ます。
「どのようなリスクをどのように管理すべきか」を考えて、制度設計から日々のモニタリングに至るまで、少人数体制であるからこその、幅広い業務への取組が可能です。
金融機関としての自覚と、ITベンチャーとしての冒険心をもち、「攻め」と「守り」の両方を担うリスク管理として、対応のバランス感覚、及びスピード感を重視して業務に従事頂けます。

主な業務内容
セキュリティ、個人情報保護に関する統制を設計、構築、運用します。
主な業務内容は以下の通りです。
- NIST CSF、CIS Controls等のフレームワークを活用した情報セキュリティ統制を構築、運用
- 事業部門に対してセキュリティ、個人情報を含むデータ保護に関するIn-Houseコンサルティング、法人顧客からのセキュリティ問い合わせ回答支援
- SOCやISMSなどの第三者認証取得

本ポジションの魅力
大手フィナンシャルグループおよび大手銀行と提携して新しいデジタル銀行をゼロから創り出していく、セキュリティスペシャリストとして非常にチャレンジングな環境です。
これまで培ってきたご経験や専門性を、世の中にインパクトを与える前例が無い事業で発揮することができます。
上流のロードマップの策定や仕組づくりに主体的に関わる事が出来る点も魅力です。

当社全体のオペレーショナルリスク管理フレームワークの企画/運営。特にサイバーセキュリティ領域施策の企画/運営。

●IT戦略に関する企画・推進・進捗管理
●システムリスク管理および情報セキュリティ管理に関する運用・レポーティング
●システム変更管理および障害管理に関する運用・レポーティング
●上記に関連する海外拠点との連携業務
●情報セキュリティ分科会等の会議体運営
●所管する規程・マニュアル類の整備・運用
●金融庁や監査法人等による監査・検査への対応

当アソシエイト / シニアアソシエイトは非常に重要な役割であり、ビジネスユニット間、およびグローバルなチーム内に関与する可能性があります。また、オペレーショナルリスク部門、法務、コンプライアンス、各監督局、ベンダーマネジメント、内部監査、外部監査、および日本の規制当局であるJFSA、日銀、SESCと緊密に連携することになります。
当ポジションは、CCOまたはリスク管理の実務的な経験とリスクとコントロールに関する知識を活用し、テクノロジーリスクマネジメントの中心になる機会をお探しの方には、理想的な機会です。ITビジネスユニットおよびグループCIOのシニアマネジメントと協力して、会社のテクノロジーリスクプロファイルを完全に理解し、かつ積極的に管理をします。リスク管理の監督の役割では、優先順位が競合する状況をナビゲートします。言い換えると、リスクの管理と特定のリスクの認知またはリスク受容との間で、どこでバランスを取るかを充分に理解することになります。さらに、この役割は、テクノロジー管理に対する注意事項と低重要度の事柄についてアドバイスをすることもあります。
また、チーム内でリスク＆コントロールリードとなり、リーダーシップと影響力のあるスキルを利用して、グローバルなテクノロジチームとビジネス関係者の間で強力な協力関係を構築する必要があります。

このポジションに関する主な領域:
・グループCIO全体のステークホルダーとの連携、助言やサポート、効果的なコントロール環境の実装と提供、および主要なリスクのプロアクティブな管理
・主要な成果物とドキュメントの定義、作成、および実装のサポート(方針、基準、管理、リスクアペタイト ステートメント)
・企業のリスク管理強化プログラム (RMEP) を含む企業のオペレーショナルリスク管理フレームワークがグループCIOに確実に組み込まれていること、およびその組み込みを検証するために管理情報 (MI) が利用可能であることを確認する
・コントロールのテストを実施し、コントロールの強化が必要な場所について助言する
・グループCIOの年次内部および外部監査を監督する
・オペレーショナルリスク管理フォーラム、テクノロジガバナンスフォーラムなど、必要に応じて企業のリスク管理フォーラムや委員会に参加する。
・第2および第3の防衛線と連携し、グループCIOリスク管理フレームワーク内で要件が考慮されるようにする
・クラウド、セキュア・バイ・デザイン、AIなどの新しいテクノロジーのリスク管理要件を評価し、助言する。

◇信頼されるパートナー
・クライアントのニーズや課題を理解し、グループのリソースを活用してソリューションを提供
・高いプロフェッショナリズムを持ち、当社サービスレベルと企業価値の向上に貢献
◇アントレプレナーシップ
・改善のために新しい挑戦を受け入れ、他の人が新しいアイデアを考え、自らに挑戦するよう促します。
◇チームワーク・コラボレーション
・すべてのレベルの従業員からの異なる意見や見解を尊重し、共通の価値を創造するために協力します。
◇影響力
・組織の成長に参加させることで、他の人を励まします。
◇誠実性
・ロールモデルとしての役割を果たし、企業哲学、職業倫理、コンプライアンス、リスク管理、行動規範に基づいて他の人が意思決定をする行動を促します。

当Vice Presidentのポジションでは、グループCIOのITビジネスユニット、グローバル最高管理責任者オフィス、リスク、法務、コンプライアンス、監査などといった、他の主要部門かつ複数の領域で働くユニークな機会が得られます。テクノロジチームや世界中の関係者との関係を構築するため、この役割におけるリーダーとして、強力なリーダーシップと影響力が必要となります。

このポジションは、次のような方に最適です。
・当社の技術的なリスクとサイバーリスクの管理方法において、中心となって活躍したい
・問題を解決したり、当社のリスク管理における最善のアプローチを定義する場面にて、その支援をしたりすることが楽しめる
・好奇心旺盛で、ビジネスの課題を解決するためにさまざまなアプローチの探求を希望している
・グローバルチームで働き、さまざまなバックグラウンドを持つ世界中の同僚の経験から学びを得たい
・リスクとコントロールの原則を理解している

主な業務は以下のとおりです。
・グローバルCCOチームと協力して、グループCIOのリスク管理アプローチを発展させる
・日本のCIO組織と協力して、リスク管理アプローチを展開する
・リスク管理とビジネスニーズのバランスをとる
・テクノロジーリーダーに対し、どういったリスクへ注意が必要で、そのようなリスクはクリティカル度合いを若干下げてもよいかを助言する
・クラウドや人工知能などの新しいテクノロジーのリスク評価を支援する

当社はグループの統括会社であり、今回の募集では、グループCISO（Chief Information Security Officer）を補佐し、金融事業の情報セキュリティ高度化を担うセキュリティ組織を統括し、リーダーシップを発揮してグループ全体の情報・サイバーセキュリティの高度化を実現の責任を担う人材を求めています。

具体的な業務内容は、以下の通りです。
グループ方針に基づきセキュリティ戦略を策定し、グループ各社へ展開。グループ各社がこれに基づき、セキュリティ管理業務が運営されていることを確認
グループ各社において重大なサイバーインシデントが発生した場合、この対応指揮を執り、関係各所へ報告し、速やかな事故収拾を行う
グループ情報セキュリティ統括部の運営と管理
グループ個社の情報セキュリティ管理

担当組織における業務分野の詳細:
1.セキュリティマネジメント分野:
　 グループ全体のセキュリティマネジメントセキュリティガバナンス方針のグループ各社での実行支援
　 グループ情報セキュリティ規定の整備と外部状況の変化に応じたアップデート
　 グループ内役職員のセキュリティ教育プログラムの企画・実施と専門要員の育成
2.サイバーインシデント対応（IR）分野:
　 インシデント発生時の各社の指揮・統制、関係各所への報告
　 インシデント事象の分析、対応手順の整備とグループ内訓練の企画・実施
3.セキュリティリスクアセスメント（RA）分野:
　 NIST-CSFや他社内外の標準に従い各社のセキュリティ状況の確認と分析
　 標準の開発とアップデート、リスク低減手法の提案
4.その他：
　 セキュリティ開発支援
　 第三者管理

グループの中長期計画をふまえ、海外グループ会社を含む施策の立案〜実行やリスク評価・アセスメントなどの業務を関係者とコミュニケーションを取りながら推進いただきます。

●具体的な業務内容
・ポリシー・ルール・マニュアル類の作成・更新作業の実施、及び、利用者への周知
・対策状況の確認、及び、アセスメントの実施・分析
・リテラシ向上施策（研修・訓練など）の企画・運営
・インシデント発生時の対応、対応訓練の実施

●働き方について
毎週金曜日　チーム会（本社出社）
現在、チームメンバーの出社は週2日程度となっております。
※入社直後は原則出社いただく予定です。

●アピールポイント
・業務経験を活かし、セキュリティ領域（SIEM運用、SOC運用、CSIRT）やアプリケーション領域、DX、IoTなど幅広い分野での活躍が可能です。
・年1回のキャリア面談によりご本人の希望を聞くと共に、定期的な人材ローテーションによる育成を行っており、広い業務領域における経験を積んでいただけます。
・将来的には当社グループ全体の情報セキュリティ戦略企画業務を担っていただくことを期待しており、スケールの大きさを実感いただけます。
・酒類・飲料・ヘルスサイエンスという多くの人にとって必要とされる商品の生産や流通を情報セキュリティの側面から支えるため、業務を通して影響度社会貢献実感を持っていただきやすい環境です。
・クライアントであるグループの各事業会社とも同じオフィスで勤務しているため、客先常駐が発生せず、案件ごとに勤務先が変わることはありません。
・休祭日・夜間の対応は稀に発生します（年間で1回未満）が、基本的にはワークライフバランスを保ちやすい環境です。

【サイバーセキュリティやAIに係るガバナンス整備やグループガバナンスの強化をご担当いただきます/在宅有/リーディングカンパニーならではの経験・成長が可能】

●職務概要
中期計画の中で、ＩＴを一つの柱として掲げ、特にクラウド・ＡＩの活用拡大を進めています。そうした中、システムリスク管理の分野でも、新たなリスク視点への対応や適切なガバナンス整備が急務です。また、昨今のサイバー攻撃によるインシデントの発生状況をふまえて、特にサイバーセキュリティ取組強化も重要な課題です。加えて、事業拡大に伴い、グループとしてのガバナンス態勢の整備も重要性を増しています。
こうした背景の中、従来の枠組みにとらわれず、新たな発想や知識をベースに、当社のシステムリスク分野のガバナンス整備にチャレンジできる人材を募集します。

●職務詳細：ご経験に併せて1.または2.の業務を中心にご担当いただきます。
1.クラウドやＡＩ活用が今後も進む中での、システムリスク観点での新たなガバナンスの枠組みの企画・整備
2.サイバーセキュリティ分野の国内外のグループ会社管理態勢の強化に向けた企画・整備
3.当社・グループ会社・サードパーティに係るシステムリスク観点でのアセスメント
4.インシデント管理
5.危機管理態勢強化に向けた企画・整備

●特徴・魅力
1.規模の大きさ
業界のリーディングカンパニーならではの成長機会、影響力の大きさが実感できます。国内外含めグループ会社も多数あり、幅広くステークホルダーと関わることができます。
2.市場価値向上
多様な部署、グループ会社などと関わる中で、幅広な知見や専門性を高めていただくことができます。業界問わず、どの事業会社にも必要な機能であり、マーケットバリューを高めて頂ける業務です。また、経営層との日常的なコミュニケーション機会も多く、経営目線での知見も高めていただけます。

●キャリアパス
ＩＴ人材としてのキャリアパスを前提に、本人希望や適性に応じ、システムリスク管理室を含めたＩＴ部門内でのローテーションによるキャリア形成を想定しております。

・ITガバナンスの推進、IT投資案件のガバナンスとモニタリング
・SOX監査対応（IT全般統制、IT業務処理統制）
・IT業務処理統制テストと調書作成
・業務効率化・改善
※　将来的にその他の会社の定める業務に変更となる可能性があります

・システム開発プロジェクト監査（モニタリング、アセスメント、プロジェクトへのアドバイス、経営へのレポート）
・システム障害分析（真因分析、再発防止策の評価とアドバイス）
・サイバーセキュリティ、情報セキュリティ関連規定の整備と評価

●システムおよび事務リスクのリスク評価を行います。
●監督官庁等の検査担当者として業務の有効性等を評価分析し、改善計画を立案します。
●制度要件に応じたシステムの開発や、事務整備等に関連する業務を担います。

●ポジションの魅力
●これまでのご経験や専門知識を内部監査業務においてフルに活用していただくことで、幅広く活躍して頂ける機会があります。
●中長期的には、役職者として部全体を牽引していただくことも期待しています。
●当社にはキャリア採用の社員が多数在籍し経歴も様々です。チームワークを重視しており、風通しもよくキャリア採用社員も早期になじみやすい雰囲気にあります。

Responsibilities:

・Develop and maintain governance framework for the IAM program, aligning it with the organization’s security strategy and business goals.
・Manage and mentor a team of IAM analysts, providing inputs on IAM architecture, design, and implementation.
・Govern authentication and authorization frameworks, including Single Sign-On (SSO), Multi-Factor Authentication (MFA), Access Management (AM) and Privileged Access Management (PAM) solutions.
・Govern identity/access lifecycle management processes such as ‘joiner, transfer, leaver’, recertification processes etc.
・Manage access control processes and ensure that IAM policies are enforced consistently across various platforms, including Windows, Unix/Linux, databases, and cloud environments.
・Govern the integration of IAM solutions with key platforms such as AD, LDAP, Unix/Linux servers, databases (Oracle, MS SQL) and cloud services (AWS, Azure, GCP).
・Govern and ensure the effective use of identity governance solutions such as Saviynt, Oracle Identity Governance (OIG), or similar.
・Govern and ensure the effective use of IAM tools such as Saviynt, Okta, Azure AD, or similar and PAM tools such as CyberArk, BeyondTrust, HashiCorp or similar.
・Design and govern periodic reconciliation and recertifications for I&AM
・Drive the adoption of automated identity/access management workflows to streamline provisioning and deprovisioning.
・Oversee the integration of IAM solutions with cloud platforms, enterprise applications, and third-party systems.
・Identify and propose automated IAM processes to improve efficiency and reduce manual intervention in identity and access management tasks.
・Work closely with IT, security, HR, and business units to understand IAM requirements and ensure alignment with organizational goals across global and regional teams.

AIガバナンス室は、AIシステムの提供・活用を安心安全なものとする仕組み・技術を提供し、当社グループのD&Iビジネスの拡大に貢献することをミッションとしています。
そのなかでもAIに関わるリスクマネジントをメインミッションとし、当社グループのグローバルレベルでのAIガバナンスを主導しています。

具体的には、採用時点での業務優先度やご本人の意向を考慮した上で、下記のいずれかの業務（複数の場合あり）を担当いただきます。
・グローバルレベルでのAIガバナンス体制（Global AI Governance CoE）の運営
・当社グループにおけるグローバルのAIガバナンスポリシー、ルール、ポリシーの整備
・当社におけるAI関連プロジェクトに対するAIガバナンス観点からのコンサルテーション
・グループ会社におけるAIガバナンス運用のサポート
・AIガバナンスの運用高度化を実現するITシステムの検討・構築
・当社社員に対するAIガバナンス観点からの教育施策の企画、実行
・政府、業界団体における連携活動、外部発信

【アピールポイント（職務の魅力）】
＜伸ばすことのできるスキル＞
・最新のAI・データ活用ユースケースに関する知見
・最新のAIリスクマネジメント、AI品質マネジメント手法
・グローバルコーポレートスタッフとして、経営層の経営方針を成長戦略及び戦術に落とし込み、グループ全体に展開する企画立案・推進力
・グループ内外の様々なステークホルダとの連携を通じた高度な調整能力

【働き方】
・勤務形態は出社とリモートワークのハイブリット型です。また、当社のコーポレート組織は一つの大部屋フロア内でフリーアドレスとなっており、上下関係・横関係ともに垣根なくフレンドリーにコミュニケーションを図る職場風土ですので、活力豊かにフレキシブルに働くことが可能です。ただし、海外関係者との会議などでは、早朝、深夜、休祝日の対応をお願いする場合があります。
・育児休職（男性の取得実績あり）、育児・介護による短時間勤務、育児休職からの復帰率100％等、勤務時間と場所の自由度が高く、ライフステージに合わせたワーク・ライフ・バランスが取りやすい職場です。

【チームの魅力】
AIガバナンスはAIに関わる技術だけでなく、法務、知的財産、リスクマネジメント、情報セキュリティなど多岐にわたる専門性が必要となる領域です。
その中でAIガバナンス室では様々なバックグラウンド・専門性を持つメンバが協業し、チーム一丸となって当社AIガバナンス施策に取り組んでいます。AIガバナンス室に配属されチームで業務を行う中で、AIに関わる様々な知識・技量を身につけることが出来ます。

【メッセージ】
「ガバナンス」というとお堅いスタッフ仕事といったイメージがあるかもしれません。ですが、生成AIをはじめとするAIビジネスを推進する上で、AIガバナンスは事業を推進するためのドライバであり、AIビジネスの成否を左右すると言っても過言ではありません。実際に我々の活動は、社内のルール作りだけにとどまらず、最新のAI・データ活用の技術動向調査、社会の流れを変えるための社会・マーケットへの積極的発信など、多岐にわたります。また、業務にあたっては、グローバルも含めて非常に多くのメンバと協業しています。

AIガバナンス室は2023年4月に設立された新しい組織です。新しい組織だからこそ、組織ミッションである「安心安全なAIシステムの実現、提供」につながる仕事であれば、どんどんテーマを挙げて自由に取り組んでもらいたいと考えています。正解の無い中で、粘り強く当社グループのAIガバナンスのあるべき姿を一緒に検討し、「攻めのAIガバナンス」を実現する仲間をお待ちしています！

＜業務内容＞
●当行グループ各社間での顧客データの共同利用体制の企画・推進
●プライバシーガバナンス体制の企画・推進
●個人情報保護法等の法規制下でのデータ連携方法の企画・推進（プライバシー保護技術(Pets)の活用等）
●AIガバナンス体制の企画・推進 等

（募集背景）
・当行グループでは、”データ”を競争力の源泉となる企業資産の一つとしてとらえ、有用なデータの収集や品質の管理、また、データを分析・活用しビジネス展開する取り組みを進めています。
データマネジメント部門は、このようなデータの「分析・利活用」や「ガバナンス」を強化・推進することを主なミッションとするデータの専門部署です。
・当行グループにおいて「データ分析・利活用」における価値をお届けするためには、規制とテクノロジーの双方の観点を踏まえながら、安心・安全なデータ利活用体制を構築することが大前提になります。こうした取組みはお客さまからの信頼を確保するとともに、企業にとって社会的責任を果たすものでもあり、今後のデータ利活用を推進していく上では必要不可欠な対応となります。
・今回は、データマネジメント部門の一員として、当行グループにおけるデータ・AI利活用に向けたガバナンス・リスク管理体制を企画・推進していくポジションを募集します。

当部署のミッションとして以下を掲げています。
・システムリスク管理態勢の整備・高度化（PDCAサイクルの実施）を通じて、リスクを許容レベルまで低減させる
・システムリスクに関する理解を向上させる取り組みを通じて、事業部門（1stライン）による主体的・自律的なリスク管理を促す
・その結果、強固なリスク管理を企業文化として醸成させ、グループのビジネス目標達成と持続的成長に貢献する

●業務内容：
＜システムリスク管理に関する企画推進＞
・全社サイバーセキュリティ管理態勢の成熟度向上に向けたプログラムの企画推進
・システムリスク管理フレームワークの企画/実施
・サイバーセキュリティ/システムリスクに関連した各種メトリクスの管理
・サイバーセキュリティ/システムリスクに関連したポリシー/スタンダードの整備及び遵守状況のモニタリング
　
＜システムリスクの評価及び改善＞
・EUC/クラウドを含めたITシステムに対するリスク評価
・リスク低減のための対策検討及び実施（社員への意識啓発や教育を含め）

＜ＩＴコンプライアンス関連事項の企画および推進＞
・SOX、法令、金融庁など各種ITコンプライアンス関連事項対応のための企画と推進

Job/Group Overview：
私たちは業界のリーディングカンパニーとして国内の金融機関の中で圧倒的なグローバルプレゼンスを持つ当社グループで、ビジネスをテクノロジーの力で変革するエンジニアチームです。
Japan Business Serviceグループは、当社の国内部署やグループ会社向けアプリケーションをアジャイル手法で開発するコーポレートITに所属しており、最先端のテクノロジーを駆使しながら、Made in Japanの品質でスピード感のあるアジャイル開発を行っており、ビジネスと一体となったDXの推進に貢献することが期待されています。
エンジニアは、担当や役割を固定することなく様々な内製開発やプロジェクトに携わっています。チーム内のコミュニケーションは主に日本語ですが、多国籍なメンバーで構成されており、英語を使う場面もあります。

本ポジションは、ITインフラストラクチャー部のリスク管理者として、ITシステムや情報資産を保護するための適切なリスク管理措置を監督する重要な役割を担っています。具体的には、リスクの早期発見、コントロールフレームワークの遵守、そして組織内でリスクベースの文化を推進することが求められます。
また、本ポジションでは、部内のサービスオーナーや関連IT部署と協力して、オペレーショナルリスクマネジメント（ORM）、内部監査チームとの効果的なコミュニケーションが求められます。データ分析に基づき、非遵守問題や原因を調査し、適宜リスク登録および是正計画の管理も含みます。

理想的な候補者は、金融機関や厳しい規制環境下において、リスク管理の十分な経験を持ち、現代のエンタープライズITプラットフォームに関する深い知識を有している方です。また、優れたガバナンス、プロジェクト管理、コミュニケーションスキルを持ち、業界標準のリスク管理や監査に関する資格を有していることが理想です。

Responsibilities：
・リスクの自主的かつ早期な発見: サービスオーナーと連携し、リスクを早期に特定して潜在的な脅威を軽減するためのコントロールフレームワークを実施します。データ分析に基づき、個別および体系的な問題を検出し、非準拠の課題を明らかにします。
・リスク文化: リスクベースの文化を醸成し、リスク評価が意思決定を導きます。
・責任とコミュニケーション: プロダクトオーナーにリスクおよび内部監査に関する責任を持たせ、運用リスク管理チーム（ORM）、監査チーム、その他のIT部門との明確なコミュニケーションを確保します。リスクプロセスを円滑に遂行し、アクションオーナーを明確にします。
・リスク登録: リスク登録の管理および監督、是正計画の透明性とレビューにより、内部監査に対応します。
・監査指摘事項の是正: アクションオーナーが是正活動について責任を持ち、コミュニケーションと報告の透明性を確保します。是正計画の「進捗を監視し、期限切れの可能性があるアクションについて適宜マネジメントへ報告します。
・ガバナンスと情報交換: 堅固なガバナンス構造を確立し、他IT部署との情報交換を促進します。ITガバナンスフォーラムに参加し、主要な指標のレビューを通して非準拠項目を特定し、是正措置を促進します。特定されたコントロールギャップは、ORMの要件に従って、記録および是正されること担保します。

IT戦略部は、(1) IT戦略や情報システムの中長期計画立案業務、ITファイナンスに係る全般業務の統括、(2) 情報セキュリティ、システムリスクやITガバナンスに係る全般的な業務、(3) AIなど新しいテクノロジーの社内活用に関する業務を所管しています。
その中で、主に(2) 情報セキュリティ、システムリスクやITガバナンスに係る全般的な業務について企画・立案から実行までご対応いただきます。その上で、本人の希望に応じて業務範囲をIT戦略部の他所管業務に広げていくことも歓迎しています。

【職務詳細】
●情報セキュリティ管理全般の企画・立案・実施として下記の業務
1. セキュリティに関する施策・ソリューション導入の企画・実行
2. セキュリティに関する教育・訓練の企画・実行
3. CSIRTの管理・運営
4. セキュリティ機器に関するログ管理・調査（SOC運用）

●システムリスク管理全般の企画・立案・実施として下記の業務
1. 情報システム・情報資産に関するリスクアセスメント
2. システム障害管理および原因・傾向分析、再発防止策の策定支援
3. 外部委託先管理（選定時評価・定期評価など）

●ITガバナンス管理全般の企画・立案・実施として下記の業務
1. システム監査対応
2. IT関連・情報セキュリティ関連法令・規制への準拠対応
3. システムリスク・セキュリティ関連規程・ガイドラインの整備

【環境】
・ネットワーク機器： Cisco製品（L2, L3, ASA）、Paloalto、A10、BigIP
・サーバ： Linux、Windows、VMware、HCI
・セキュリティ：CrowdStrike、Taegis(SOC)、InterSafeCat、NetSkope、Tenable、ImpervaWAF
・ミドルウェア：Squid、Apache、Tomcat、Hulft、JP1
・データベース：Oracle、PostgreSQL、SQL Server、MySQL、MariaDB、DynamoDB, RDS（MySQL)
・クラウド： AWS（EC2、ALB、Cloudfront、Route53、VPC、S3、RDS、GatewayAPI、Lambdaなどサーバ/サーバレスの公開系システム環境）
・言語：Web Frontend JavaScript/Backend Java
・フレームワーク：Web FrontendVue.js, Nuxt.js, Node.js/ Backend Spring Boot, Serverless Framework
・インフラ：Web Frontend：CloudFront, S3 / Backend：API Gateway, Lambda, Anypoint Platform

【ポジションの魅力】
・ネットワークエンジニア、アプリケーションエンジニアの経験を保有されている方で、キャリアアップしてセキュリティ領域にチャレンジされたい方、歓迎します。
・金融機関のセキュリティエンジニアとして、経営に直結する大きな取り組みを担って頂きます。

当社のIT統括部にて、フィナンシャルグループ全体のサイバーセキュリティ・情報セキュリティの案件推進におけるマネージャーとしてご従事いただきます。セキュリティに関する当グループの統括部署として、内外の環境変化を踏まえたセキュリティ戦略の立案、中期ならびに年度計画の策定や、各種施策のプロジェクトマネジメント、グループ各社のセキュリティ領域のリーダー層と密に連携したグループセキュリティ管理体制の構築・強化が主なミッションとなります。

＜業務の具体例＞
●グループベースでのセキュリティ戦略、ロードマップ策定
●グループのセキュリティリスクの評価および対応策の立案・実行
●各種セキュリティ強化に向けた施策のプロジェクトマネジメント
●経営層とのセキュリティ領域にかかるコミュニケーション・定期報告
●グループ会社支援（情報連携、対応事項のアドバイス等）
※上記は一例です。ご本人の適性、ご経験、ご希望を考慮して業務をアサイン致します。

【求人の特色・一押しポイント】
●年間数千億円のIT投資を続ける日本最大の総合金融グループのシステム部門の求人。約3人に1人が中途採用。
●国内最大の金融機関において、ITリスク管理を通じて安定した金融サービスを支える、社会貢献性高い職種。

【ポジション概要】
システム開発・運用、サイバーセキュリティ、リスク管理、監査など多様な部署と連携し、当行および当行グループ全体のITリスク管理の維持・強化に向けた施策を推進します。

【業務内容・役割】
具体的には下記のような業務内容を想定しています。
●システム部門において、リスク管理・監査の視点からITリスク管理プロセスおよび体制を維持・改善。
●安心・安全・安定した金融サービス提供を継続するための、システムガバナンス強化施策の企画・立案・推進。

【魅力・やりがい】
国内最大級の金融機関で、ITリスク管理の中核を担い、当行グループ全体の安定的な金融サービスを支える仕事です。顕在化したITリスクへの対応や改善策の企画・推進といった高難度業務に、多部門と連携して取り組みます。ガバナンス強化を通じて高い社会的責任と専門性の成長を実感できるポジションです。

【想定キャリアパス】
ITリスク管理のプロフェッショナルとしてキャリアを積み、将来的にはマネジメントとして業務をリードすることを期待します。また、本業務で培った経験を活かし、他のIT関連業務や業務部門におけるITリスク管理、さらにはIT領域以外のリスク管理業務へと活躍の幅を広げることも可能です。

（80%）システム導入時におけるリスク評価関連業務における審査担当
（20%）その他個別案件、ガバナンス関連業務担当

●アピールポイント
リスク評価業務では、当社グループが利用・構築する多様なITシステムに対して、グループ統一の基準による審査業務をご担当頂きます。
本業務では、社内システム部門に籍を置きながらも、当社がお客様にお届けする、AWS等のパブリッククラウド中心の最先端システムに触れるという貴重な経験に恵まれます。また審査のためのリスク評価基準の構築改善など、企画業務にも携わる幅広い経験ができます。

業務上必要な連携としてCyberグループと情報交換や育成プログラムも準備あり、当社グループにおけるサイバーセキュリティ施策や導入に関する技術情報、最新のテクノロジに触れる機会も得られます。

AWS等のパブリッククラウドを中心にインフラシステムの企画開発経験があればサイバーセキュリティに関する経験は必須ではありません。
インフラエンジニアやシステム企画人材としてキャリアを歩んできたが、新たにサイバーセキュリティ領域に挑戦したいという方、大歓迎です。
一方でサイバーセキュリティ領域の経験者であれば、これまでの経験を生かしたセキュリティリスク評価やセキュリティアーキテクトとして、さらなるスキル向上を目指すことが可能です。
Azureのクラウドスキル経験等ITインフラのケーパビリティがあれば、ぜひ、ご応募ください。メンバーは全員サポーティブですので、すぐになじんで頂けるものと思います。

●英語の使用頻度
英語資料、メールのやり取り（会話は尚可）

●従事すべき業務の変更の範囲
変更の範囲　会社の定める職務

IT管理課リスク&コントロールGは、テクノロジーオペレーションをサポートするための全体的なテクノロジーガバナンスとコントロールフレームワークを提供しています。チームの目的は次のとおりです。
　
・全体的なシステムリスク管理フレームワークと関連するコントロールを定義する。
・システムリスク管理フレームワークへのコンプライアンスを確保し、コントロールフレームワーク/コントロールが堅牢であることを保証するために、適切なガバナンスを定義して実装する。
・ガバナンスフレームワークを遵守するために、地域およびグローバルなテクノロジーコントロール環境を維持および監視する。
・テクノロジー管理、内部および外部監査、規制当局、コンプライアンスおよびリスクコントロールの要件を確実に満たしながら、効率的かつ効果的に運用できるように、適切なコントロールの運用を促進する。
・コントロールを強化する必要がある場合は、監視および改善支援する。
・ガバナンス、リスク、コントロールのベストプラクティスについて、スタッフに助言する。
・年1回のSOX監査のIT部門を監督する
・規制に関する問い合わせとIT部門の検査に直接対応する。
・内部監査のレビュー/監査を支援する。

Responsibilities：
・当社グループのITリスク&コントロール業務を担当します。これには、グローバルに運用されているコントロールのグローバルな監視も含まれます。
・グローバルなITポリシーと標準の構築とレビューをサポートし、IT運用のコンプライアンスを監視します。
・必要に応じて、ITポリシー、手順、標準、およびプロセスドキュメントの作成を支援します。
・既存のプロセスと手順を積極的にレビューし、改善のための提案を行います。
・ITリスクコントロールライブラリ内で定義されたコントロールのコントロールテスト、モニタリング、および保証レビューをサポートします。
・ポリシーおよび標準の所有者とグローバルに連携して、コントロールテストの結果を評価し、必要に応じて、合意された修復計画を作成し、例外/アクションの追跡を管理します。
・コントロールテストと保証アクティビティの成熟度を継続的に向上させるように努めます。
・ITリスクアセスメントを実行して、潜在的なリスクを特定し、軽減するコントロールを開発します。
・内部および外部の監査/検査、およびテクノロジ関連の規制評価を調整します。
・ITプロジェクトがガバナンスポリシーとプロセスに準拠しているかどうかを監視します。
・必要に応じて、ラインマネージャーとの議論を行い、DR、ベンダー管理、管理レポートなどの他のITリスクとコントロールのイニシアチブをサポートします。
・ITスタッフの全体的なITリスクとコントロールの認識を向上させる
・グローバルと地域の両方のガバナンスフォーラムの更新と指標の照合を支援する

当社のシステムを利用するすべての方に対して「安全」と「安心」を提供するためにリスク管理の観点から以下の対応を行っております。

システムリスク管理
　・当社システムに対するリスク評価（FISC安全対策基準を用いたチェックリストでの評価、シナリオベースの評価、過去に発生した障害などの対応状況の確認などを踏まえた総合的な評価を実施）
　・外部委託先管理（システム開発を行う委託先の適切性の評価、定期的なモニタリング実施）
　・ASP／EUC管理（業務所管部にて管理するASPやEUCに対するリスク評価、所管部への指導等）
　・システム部門所管規定類の改廃
　・システムリスク管理業務における金融庁との折衝
　・金融庁検査、日銀考査、監査法人による外部監査（J-SOX含む）への対応
　・各種会議体運営事務局

システム障害管理
　・発生したシステム障害の集計
　・原因や再発防止策の策定内容の妥当性評価、対応状況のモニタリング
　・発生したシステム障害の再発防止を図るためのナレッジ共有

サイバーセキュリティ対策
・サイバーセキュリティ対策の企画・立案
・サイバーセキュリティリスクの評価、改善策策定
・当社システムへの脆弱性診断、脆弱性対策の指示
・各種モニタリング（SOC）
・当社員への教育、啓蒙活動
・サイバーセキュリティインシデント対応

システム品質管理
「システムが正しく作られていること」「システムが正しいプロセスを経て作られていること」の両側面からチェックを行い当社システムの品質強化に貢献いただきます。
1）スマホアプリを中心としたテスト自動化を行うためのツールの開発、実行。
　・自動テストの環境構築
　・自動テストシナリオの作成/保守
　・自動テスト実行時のトラブルシューティング
　・自動テスト実行結果の確認
2）テスト自動化に向けた開発部門、ベンダーとの各種調整
3）設計書レビュー　→　STケース作成
4）UX観点での品質診断
5）システム開発プロセスの策定
6）各種工程終了時のレビュー、品質チェック

特徴・魅力
当社のスピード感を損なわずにいかに安全と安心を提供するシステムを維持管理させるか、正解がない業務に対して日々試行錯誤しながら業務を進めています。

強い興味関心、やる気があるかたを歓迎いたします！
専門性を身に着けたい、セキュリティ領域が好き、一つのシステムだけでなく全体としてどのような動きをしていくか幅広く知りたいなど、どんな動機でも構いません。

●ITセキュリティリード
サイバーセキュリティ目標の継続的な達成のためのセキュリティ標準、ポリシーガイドライン、および適切なアーキテクチャ原則の設計と実装
グループのサイバーレジリエンス計画に沿ったNAMのサイバーセキュリティ対応方針の策定、プロジェクトの計画および推進
グループのITセキュリティチームとの連携・協力
ITセキュリティ製品/ベンダーの導入と管理
CSIRTの統括・運営
　 ITセキュリティに関する情報の収集・分析
　 ITセキュリティに関する社内研修、ワークショップ、情報発信の実施
　 セキュリティインシデント時の情報の編集、分析、および報告
ITセキュリティ機能の継続的な改善 − 当社におけるITセキュリティにかかる学習および開発計画の策定及び実施（従業員教育、セキュリティチームの育成等を含む）

＜セキュリティアーキテクチャの高度化＞
クラウドの利用促進やDXの進展に合わせ、新たなリスクや課題に対処するためのセキュリティアーキテクチャーの高度化を図る。
(1)アーキテクチャ文書の整備
(2)ゼロトラストセキュリティの推進
(3)認証・認可の強化
(4)サイバーセキュリティ対策の強化
(5)クラウドセキュリティの推進

＜脆弱性管理の推進と高度化＞
(1)SSDLC（セキュアソフトウェア開発ライフサイクル）の強化
(2)APIセキュリティソリューションの活用
(3)脆弱性のモニタリングと改善
(4)ペネトレーションテストの実施

＜ITセキュリティ管理業務の実施、改善＞
(1)セキュリティ関連社規/ガイドラインの整備
(2)当社情報システム（クラウドを含む）のITセキュリティリスク評価
(3)メールセキュリティ・鍵管理・WAF等に関するセキュリティ管理業務

1.AIガバナンス
　　当社グループ・グローバルのAI関連ポリシーの制定、リスクベースの管理枠組整備、
　　統制デザイン（プロセス・システム・組織）、第3者検証等。
　　当社グループが加入するAIガバナンス協会で産業界の取組発展への貢献も展望。　
2.リスク領域へのテクノロジー活用(AI)
　　社内外事案収集分析、当局規制動向分析、ソーシャルリスニング等のリスク管理活動をAIにより高度化・省力化、予兆捕捉に取り組む。出資先先進企業と協業等もあり。

1.サイバーセキュリティ
　・当社グループ・グローバルのサイバーセキュリティの統制状況評価と分析。
　・社内外事案・動向分析や当局規制動向を鑑みつつリスクにかかわるデータを収集。
　・脅威や規制に関わる統制の検証、定量的指標、外部サイバー格付サービスの結果等を利用してモデルを構築、サイバーリスクの所在、要因及び予兆を定点監視。
　・統制スコープ・深度・実効性等を検証のうえ、経営会議に2線独立部署として報告
2.サイバーセキュリティ＋サードパーティ
　・G7でガイド発行されたサードパーティのサイバーセキュリティに関する基礎的要素やFSB、IIF等などのガイドやツールを分析。
　・リスクベースで統制管理枠組みへの組み込みを主導。（外部委託契約、高頻度モニタリング、演習企画、集中度の分析と対策等）
3.デジタル詐欺
　・インターネットやスマホ・アプリ等の発展、生成AIの発展によりデジタル詐欺は急増の傾向あり。
　・テクノロジーが犯罪や詐欺にどのように使われるかを分析して、関係者を啓蒙するとともに必要な対策や管理枠組みを構築する。