情報セキュリティ・システムリスクの転職求人

●業務概要：
当社のグループIT管理部に所属いただき、情報セキュリティ領域の担当者としてグループ各社との連携や企画推進、取りまとめなどの業務をお任せします。情報セキュリティの強化を全社で推進していく方針が決まっており、セキュリティ人材の社内育成に投資するという意思決定がなされています。ポテンシャルも重視し、中長期的に当社でご活躍いただける人材を募集しています。

●業務詳細：
・グループ全体の情報セキュリティ向上に関する企画・推進
・グループ各社が行う情報セキュリティ対策の支援
・グループ社員への情報セキュリティ教育の企画・推進
・グループCSIRT運営
・グループ各社のセキュリティ・インシデント対応支援
・業務効率化への参画

●入社後イメージ：
個々人のスキルや経験、習熟度を踏まえ、入社後は外部研修なども活用しながら、ITセキュリティ/ITガバナンス領域のスキル・知識を高めていただき、現場実務を通してスキルアップしていただくことを想定しています。

●所属組織：
グループIT管理部は4名が所属する組織です。部長と外部顧問、メンバー2名で構成されており、現状は情報セキュリティ業務を部長が担っています。

●当社について：
当社はクレジット事業やフィービジネス、銀行事業、海外事業を展開する34社で構成される、小売業発の総合金融グループです。現在、日本およびアジア11カ国で事業を展開しており、国内・海外に有する約700カ所の営業拠点に加えて、グループの店舗や提携加盟店など、幅広い営業ネットワークを築いております。また、カードの有効会員数は国内・海外合わせて4600万人を超えるまでに拡大しています。

製造業・IT関連企業を中心としたクライアントに対して、開発領域におけるサイバーセキュリティをテーマとしたプロフェッショナルサービスを提供するポジションです。

当社グローバルとも連携しつつ、開発領域のサイバーセキュリティとして、開発現場での実行支援、製品セキュリティ教育、開発プロセス構築〜実行支援まで幅広くクライアントを支援しています。
また、上記業務に従事していただく傍ら、ソリューションツール開発、執筆や寄稿などにも携わっていただくこともあります。

なお、セキュリティ業務の未経験者の方でも、開発領域におけるご経験があり、サイバーセキュリティ業務への興味と意欲がある方であればご応募いただけます。

【主要なプロジェクト事例】
下記は、これまで実施したプロジェクトの一例です。
●製品開発プロセスの構築支援
　- クライアントの開発領域におけるセキュリティ活動に関する現状把握（アセスメント）を行い、課題を抽出する。
　- クライアントのビジネスや既存環境、将来の外部規定の発行等を加味し、実行する対策の計画（ロードマップ）を作成する。
●製品領域におけるセキュリティ活動実行支援
　- クライアントの製品開発の上流工程において、開発する製品に対するリスク・脅威分析を行い、今後の開発におけるセキュリティ要件や対策方針を策定する
　- セキュアプログラミング領域の体制を構築すべく、ツール選定・社内ルールの策定・運用プロセスの構築を支援
　- セキュリティテストの内製化に向けて、クライアントが実施すべきセキュリティテストの内容を精査し、社内セキュリティテストガイドラインを策定。
●開発者向けセキュリティ教育支援
　- クライアントにおける製品セキュリティ領域の業務およびそれに必要なセキュリティスキルを精査し、スキル獲得に必要な教育手法を整理・ロードマップを策定
　- 開発者向け製品セキュリティ教育内容を整理したうえで、当該クライアント用の教育コンテンツの作成〜講義実施までを担当
●セキュリティ最新動向調査
　- 製品開発領域における各国セキュリティ活動動向を調査し、クライアントのセキュア開発活動の戦略策定を支援
　- 特定領域のセキュリティ技術動向を調査し、クライアントの直近のセキュリティ活動の検討を支援

【予定業務】
・内部監査業務
・情報セキュリティ管理
・分析的実証手続の実施
・システム監査業務
・J-SOX　IT全般統制評価
・コンピュータ監査技法の本格導入

サイバーセキュリティに関する脅威情報、脆弱性情報等の技術的な内容をリサーチし、クライアント向けにレポートするポジションです。

●サイバー脅威インテリジェンスリサーチャーの役割
当社独自の情報網を活用してサイバー攻撃動向に関する情報を収集し、クライアント組織の特性に合わせたインテリジェンスを提供することがミッションです。

●主な業務内容
・国内外の脅威情報、脆弱性情報等の技術的な内容をリサーチし、クライアント向けにレポートを作成
・国内外のサイバーインテリジェンス専門家へインタビューを実施し、調査レポートを作成
・クライアントや社内からの技術的な質問に対し、社内のナレッジを活用してリサーチを実施
・外部公開用の脅威インテリジェンスレポート執筆

●プロジェクト例
・サイバーインテリジェンス提供
　- クライアント組織の特性に合わせた脅威動向や脆弱性情報を調査し、クライアントのセキュリティ強化を支援

・国際イベントの脅威動向調査
　- 様々な情報ソースから国際イベントに影響を与える可能性のある情報を調査し、クライアントの警戒態勢強化を支援

・海外のサイバーインテリジェンス専門家インタビュー
　- 第一線で活躍する有識者からグローバルの最新情報を収集し、調査レポートを作成

1．サイバーセキュリティソリューションの企画・導入

　EDRやSIEMなどのセキュリティツール/ソリューションの企画および、導入プロジェクトの実効管理。

2．当社グループ内（海外子会社含む）のシステムに対するリスク評価
　例）セキュリティベンダーによるペネトレーションテストの実施、是正内容の管理
　　　クライアントからのセキュリティチェック依頼のディレクション

3．社内情報セキュリティ基準の更新、維持
　ISMS(情報セキュリティマネジメントシステム)の実務責任者として、グループ内従業員やシステムに対するルール作成、啓蒙活動、ISMS維持対応。

4．社内SOC/CSIRTチームの運営
　・SOC:365日社内システムのセキュリティ監視（アラート管理、ベンダー対応等）の運営統括
　・CSIRT:インシデント発生時のIRP（インシデント対応計画）に沿った対応チームの統括

5．IT購買管理・運営
　情報システムチームで取り扱うソフトウェア・ハードウェアの購買業務

6．セキュリティ、購買チームのマネジメント
　上記業務を行うスタッフ2名のマネジメントとパートナーコントロール

現在統括部長が兼務しており、自走できる方にミッションクリティカルな業務をお任せしたいと考えています。

Toolchain SRE team within the GIS SDLC SRE group is responsible for operations, implementation, and integration of a SDLC Tools globally used by all application development teams. SDLC toolchain encompasses tools like GitLab, Jenkins, SonarQube, Nexus RM, Jira, Confluence, etc.

●Responsibilities:
・Administer and support production environments for SDLC Toolchain stack
・Engage closely with peers in other regions to provide operational support - user requests / production incidents / changes / releases etc.
・Mentor fellow support staff on technical issues, standards and procedures
・Identify and flag operational issues / risks and involve the engineering teams to address them
・Automate solutions for our supported SDLC tools (Jenkins, GitLab, Docker, Ansible etc.)
・Manage components of applications and participate in hands-on automation projects using Java, Python and/or shell scripting
・Evangelise and promote strategic tools supported by Toolchain SRE team
・Help standardize deployment and release process across organization
・Deliver high quality change within agreed timelines

新たな金融市場をリードする当社で、「守りのIT」 「攻めのIT」両面を担っていただきます。IT統制スペシャリスト募集！

職務の目的：
先端技術を活用しながら、開発を妨げないITガバナンスを構築すること

職務の責任：
IT統制およびITガバナンスに関する全域

職務内容・範囲
クラウドプラットフォームをベースとした開発を妨げないITガバナンスの実現に向けて、IT統制に関する規程やルールの整備、適用推進を担当いただきます。
新たな技術を活用し、開発環境を妨げることなく授業員が効率的に業務を推進できる”攻め”の要素を加味しながら、ガバナンスの構築に向けて”守り”の仕組みを作っていただきます。

◆具体的な業務例
情報セキュリティに関する方針策定、リスク評価及びモニタリング・システム開発における規程などの整備・IT監査対応、システム導入案件（委託先含む）における各種ITリスクチェックなど

●ポジションの魅力
・管掌範囲は多岐にわたるとともに、少数精鋭のチームで実務を推進していただきます。
裁量とスピード感ある環境でご就業いただくことが可能です。
・市場特性上加味すべきレギュレーションや規制が多い中で、積極的に攻めと守りの両面を意識してガバナンス構築を担っていただく、非常にチャレンジングかつやりがいの大きな仕事です。また、300万人を超える顧客の資産を守る仕事でもあります。
・グローバルな環境で、欧州・米国との連携も多数発生します

●キャリアパスについて
幅広くご活躍いただけるように、グループ全体の中で別の役割を担って頂ける可能性もございます。また、組織マネジメントを担っていただくマネジメントコース、技術を追求し技術者のスペシャリストとしてご活躍いただくプロフェッショナルコースのいずれかを、ご本人の志向に合わせて選択できるよう制度を整えております

35%　SSDLC業務
35%　セキュリティアーキテクチャ管理業務
20%　クライアントからのセキュリティアンケート対応業務
10%　ITセキュリティアセスメント業務

●アピールポイント
・サイバーセキュリティアーキテクチャ文書管理を当社グループ内全域に実施することでサイバーセキュリティ対策の強化を務める重要なポジションです。
・サイバーセキュリティの経験がなくても今までAWSやAzureのクラウドスキル経験等ITインフラのケーパビリティがあればご応募ください。積極的にサポートします。

●英語使用頻度
メールを使った海外メンバーとのやり取りが発生します。

●想定されるキャリアパス
Cyber security チームリーダ、グループリーダー、CISO

●働き方
コロナ禍以降のニューノーマルを見据え、原則在宅勤務とし、ZoomやTeamsなどのITツールの整備や、出社対応が必要な契約書締結や押印については、電子署名システムの導入により対応しております。
また、一部において「9:30〜17:30以外の業務依頼の原則禁止」、「毎週水曜日、金曜日のNo残業day」を実施しており、働き方改革の一環として、様々な状況にある方にも長期的なキャリアを築いてもらうため、「育児や介護と仕事を両立するための時短・短日勤務が可能なフレキシブル・ワーキング・プログラム」等の諸制度の導入と取り組みをおこなっております。

●D&I(ダイバーシティ＆インクルージョン)
当社グループでは、Diversity＆Inclusionを重要経営戦略の一つとして位置付け、激変する市場環境を柔軟に乗り切り、成長し続けるための重要施策と捉えています。
私たちはジェンダー、国籍・カルチャー、 LGBT、障がい等の個人の多様性を歓迎し、受け入れ、互いに尊重し、社員一人ひとりが成長を実感し、活躍できる環境をゆるぎないものとするためにDiversity＆Inclusionを推進しています。

リージョン・リスク管理-情報セキュリティにおいて、スーパーバイジングアソシエートとして監査法人における以下情報セキュリティ業務に従事して頂きます。

1　情報セキュリティ制度に係る企画及び立案に関する事項
2　個人情報保護制度に係る企画及び立案に関する事項
3　セキュリティ委員会の運営に関する事項
4　その他情報セキュリティに関する事項

将来的には情報セキュリティ、個人情報保護制度及びデータプロテクションにおけるプロフェッショナルな人物になって頂きます。
情報セキュリティの企画、規程、フレームワークの導入等の業務も担って頂きます。

知識の取得については、OJTだけではなく世間一般に認知されている
情報セキュリティ（サイバーセキュリティ含）の資格の取得についても
フォローアップいたします。

●主な業務内容
・デジタル戦略に係るリスクアセスメント
・「DX認定」対応支援
・デジタルガバナンス整備支援
・デジタル化推進プロジェクト第三者評価
・社会課題に資する地域のデジタル化推進支援
・データ分析とデータガバナンス支援

●ミッション
ガバナンス・リスクマネジメントのプロフェッショナル集団として、リスクやオポチュニティを踏まえたデジタルガバナンス整備の支援を通じ、デジタル化推進を加速化させることで、社会や企業との信頼構築と価値共創を実現します。

政府情報システムのためのセキュリティ評価制度（ISMAP)のお仕事に携わって頂きます。

＜主な担当業務＞
・評価手続きに基づいた設定や証跡の確認、文書化作業
・それらに付随する業務

・ISMAP（政府のクラウド・バイ・デフォルト原則の方針に沿った政府情報システムのためのセキュリティ評価制度の通称）の制度設計等に関わり、ISMAPの案件に関わることが可能です。
（ISMAPについて：https://www.pwc.com/jp/ja/services/digital-trust/ismap.html）
・コーチと呼ばれるフォロワーと、アサイン担当が個人のキャリアや業務状態を加味してアサインを検討いたします。

サステナブル経営/ESG投資に関する期待・要求が高まる中、企業経営者は、不正・不祥事、情報漏洩、サイバー攻撃等、企業価値を毀損しうるリスクへの対応を迫られています。
　この潮流に応えるべく、Forensic Service部門では、最新の調査手法・会計知識・ITテクノロジーを活用し、不正・不祥事等の事実解明調査（第三者委員会による調査等）やこれらの予防・発見体制構築の支援を行い、企業の社会的価値の確立・維持・向上のための総合的なアドバイザリーサービスを提供しています。
　業容の拡大に伴い、以下のサービスを提供するフォレンジックITコンサルタントを募集します。
＜業務内容＞
　1. デジタルフォレンジック
　2. サイバーセキュリティ
　3. ITコンサルタント（ITデューデリジェンス、PMIサポート等）
　4. IT関連の各種監査（ソフトウェアライセンス監査、セキュリティ監査等）

【得られる知見】
・多彩なバックグラウンド（デジタルフォレンジック技術者、データサイエンティスト、AI専門家、ホワイトハッカー、公認会計士、弁護士、金融専門家、リスクコンサルタント、エコノミストなど）の専門家メンバーとチームを組み、プロジェクトを遂行しますので、幅広い分野の知見に囲まれ、密度の濃い実戦経験を積むことができます。
・プロジェクトを通じて、会計知識、IT知識、論理的思考能力、高度なコミュニケーション力を成長させることができ、キャリアアップにつながります。
・企業のニーズに対してフォレンジックサービスを提供できるプロフェッショナルが大きく不足しており、今後ますますの成長が見込まれる分野です。未経験者でも第一人者になれるフィールドです。

【ポジションについて】
世界を代表するグローバルクラウドベンダー等に対するプロジェクトを通して、クラウドやサイバーセキュリティに関する専門家としてのキャリアを構築できます。
クラウドやサイバーセキュリティに関する専門家は、Society 5.0などDXが推進されている現代社会において非常にニーズの高い職種となりますが、当部門では教育システムをはじめ手厚いサポート体制を用意していますので、未経験の方でも専門性を身につけていただくことができます。
また、リモートを前提とした新しい働き方の実現に向けた環境・制度・ITインフラ整備を進めている点、英語を業務に活かしていただける点も魅力です。

【業務について】
クラウドは企業活動に浸透し、リモートワークなどの新しい働き方を実現する上でも不可欠になっており、クラウドを積極的に活用することは世界的な潮流となっています。また、政府機関においては、かつてはセキュリティリスクの観点から、導入に懸念を抱くケースも多かったものの、現在ではクラウド・バイ・デフォルト原則により、業務効率化や競争力向上のためには、リスクに対応した上でクラウドを戦略的に利用することが求められています。
当社のシステム・プロセス・アシュアランス部（SPA）では、クライアントがこのようなデジタルを活用する際の新たなリスクに対応できる能力を強化し、その価値をステークホルダーに理解してもらうよう、サポートするサービス（コンサルティングとアシュアランス）をGlobalに展開しています。組織経営をする上で、利益最大化を実現するためには、「新たな利益を生み出すこと」と「利益を失うリスクを減らすこと」の2通りの方法があり、SPAは“守りのコンサルティング”でクライアントの利益最大化に貢献しています。
中でも、政府情報システムのためのセキュリティ評価制度（ISMAP）に携わるクラウドセキュリティを主とした”守りのコンサルティング”の領域における専門家のチーム拡充を積極的に行っています。
政府が求めるセキュリティ要求を満たしているクラウドサービスを予め評価・登録するISMAP制度は、日本政府のデジタル戦略の中心施策の一つであり、政府がクラウド・バイ・デフォルト原則を標榜していることから、日本でビジネスを行うIT関係者においては外資系国内事業者問わず多くの方に注目されています。

【当部門でISMAPに関与する魅力】
・ISMAP（政府のクラウド・バイ・デフォルト原則の方針に沿った政府情報システムのためのセキュリティ評価制度の通称）の制度設計等に関わったメンバーも在籍していますので、ISMAPに関する深い知見を得ることができます。
・外資系・日系問わずグローバルに展開する大手クラウドベンダーに対してサービス提供しており、これらのクライアント向けの案件に関与できます。
・特に外資系のクラウドベンダーのクライアントを多く抱えているため、英語を業務で活用できます。
・クラウド分野の専門家が多く在籍しているため、クラウドに関連する様々なナレッジを吸収することができます。
・ISMAPで得たナレッジは、クラウドを利用するエンドユーザー向けのコンサルティングにも活用できます。
・リモートワークによりライフスタイルにあわせた柔軟で多様な働き方が可能

●IT・リスク関連アドバイザリー業務におけるIT技術領域の評価計画の立案、手続き等の手配、評価（システムテストなど）の実施、評価レポートの作成、および関連業務
●技術的な専門家としてプロジェクトを専門的見地からサポート（事例提供など）
●IT関連業務のハンズオンの経験がない新卒入社メンバーを対象にした研修講師、若手育成、および関連業務

【携わって頂くプロジェクト領域（参考）】
●DXガバナンス
DX推進に向けたガバナンス態勢の構築
DXプロセスの高度化・規程・モニタリング体制の強化等
●プロジェクトガバナンス
大規模システム開発プロジェクトに対する第三者評価の支援
●プロセス・システムの品質に関する支援
業務改善、システム評価等の支援
●サイバーセキュリティへの対応
サイバーセキュリティ態勢に関する第三者評価の実施

●Key Accountabilities
Security Education/Awareness
Planning and implementation of various security education and training programs
Translation of various security education programs, Reporting and coordination of various security education programs to Group Security, etc.

Security Project Management
Establish a security strategy for Japan in line with the Group’s security strategy and manage the security project portfolio.
Responsible for the day-to-day management of one or more complex project/programs in security domain. You may also manage project coordinator(s) and other members assisting with projects.
The role requires class-leading stakeholder engagement involving strong written and verbal communication skills, ability to empathize with and respond to internal customers’ needs, problem-solving skills and the ability to function effectively in a fast-moving, rapidly changing environment.
Collaboration with multi-location and cross-functional teams will be key to maintain and improve the project delivery.

Security Governance
Operate committees as part of security governance
Preparing and submitting quarterly reports to the group and explaining them to the management meeting of each company in Japan.
As SME, mainly responsible for the domain of security governance, security strategy and security education topics in ISMS assessment, with support from Assurance team
Budget management and planning for the next fiscal year for the security division

Risk Management
Implement and report to the Group companies in accordance with the ISO27K-like Group Risk Assessment Framework.
Compilation of security projects for risk reduction

Internal security guideline management
Review, update, and localize policies, procedures, and standards of the three our group companies, and collaborate with other departments.

Technical security verification
Desk review of technical security assurance
Support for assurance activities through penetration testing, development and implementation of corrective measures for issues raised

Others
Vendor management (security evaluation at the time of order placement, annual security evaluation, etc.)

当社の情報システム部門として、ITインフラストラクチャーに関する企画、導入、運用を行っています。当社は大きくリテール部門（営業店等）とホールセール部門で構成されますが、本募集ポジションはこのうちリテール部門に関するものです。

当部（リテール部門）では以下のサービスを提供しています。
●　デスクトップ、モバイル、Office製品、音声およびビデオコミュニケーションツールといったデジタル・ワークスペースをユーザへ提供
●　データセンタ、営業店/本社におけるネットワーク基盤の提供
●　業務アプリケーション開発部門へのサーバ基盤/クラウド環境等提供
●　データセンタの運営管理
●　セキュリティ対策の企画立案、実行
●　マーケットデータサービス（MDS）の提供　等

従業員数15,000名、約130営業拠点という組織を支える、数千万〜数十億という案件規模感のITインフラストラクチャーを担当頂きます。また主導的な立場で、中長期的なロードマップの策定やアーキテクチャの検討、導入〜運用まで一貫してみることができます。

●担当業務・責務：
社内ネットワーク管理及びインターネット・セキュリティに関わる新規構築や刷新における企画/設計/構築/プロジェクト推進をお任せします。
プロジェクトマネジメント、ベンダーコントロール、社内調整等を推進して頂きます。

【担当業務】
実務およびガバナンス両面における全社サイバーセキュリティ対策強化のための企画から実施までを担当いただきます。

・セキュリティに関する課題発見・企画~実行部隊をサポート
・実務およびガバナンス両面における全社サイバーセキュリティ対策強化のための企画・実施
・サイバーセキュリティ人材育成（経営、全社、専門人材）
・メンバーとして平時・有事におけるサイバーセキュリティへの対応

ニッチな仕事に見られがちですが、守備の仕事ではなく、会社の最前線で会社を前進させるような業務の担当をしていただきます。

<在宅勤務>週2程度
<残業時間>月平均20時間程度　※インシデント対応あり

当社における情報セキュリティ関連業務ISMS運用のメイン担当として、セキュリティ業務全般を実施していただきます。

システム面では、ネットワークからサーバ、アプリケーション、データ、クラウドまであらゆるレイヤーのセキュリティリスクの評価や新システムの導入に関する業務を行います。また、管理・運用面では情報セキュリティポリシーの策定や情報セキュリティマネジメントシステムの構築・運営を行っていただきます。

具体的には下記の業務となります。
・ISMS事務局の運営
・情報セキュリティ関連教育の実施
・情報資産管理体制の整備・推進
・セキュリティインシデントにかかわる各種対応
・情報セキュリティ関連の規定・ルールの策定、運用、改善
・クラウドセキュリティの運用、導入
・NW/Web脆弱性診断
・インフラ・アプリケーションのセキュリティにかかわる設計支援
・インフラ・アプリケーションに対する脆弱性診断の実施及び調査

法務・コンプライアンスに関する統括部署として、当社のビジネス展開に伴い必要となる社内の情報セキュリティに関わる業務をご担当いただきます。
具体的な業務は以下の通りです。

・社内セキュリティ／製品セキュリティのルール策定、評価、改善
・脅威インテリジェンスを活用したサイバーレジリエンス強化
・サービスやキャンペーンにおけるセキュリティ評価
・セキュリティ診断ツールを利用し、手動を含めたシステムの脆弱性診断／評価、ペネト・レーションテスト
・サイバー脅威シナリオの作成、シナリオに基づくレッドチーム演習の計画立案／実施／評価、各種レポート作成
・脆弱性マネジメント（対策支援、修正確認、危険度デモンストレーション、修正トラッキング等）
・技術的なセキュリティ施策、設計のコンサルテーション、提案、分析、立案

▼本ポジションの魅力
・経験と知見を最大限に活かし短期間で多くのアウトプットを作り出す経験が積めます。
・脅威インテリジェンスや脅威分析による攻撃推測の設計やモデリングに関する経験が積めます。
・CSIRT との連携やスキルキャッチアップや協力、およびジョブチェンジの機会があります。

当グループは、EC・決済・FinTech領域のサービスを展開しており、多くの個人情報を取り扱っております。

情報漏洩事故などを未然に防ぎ、自社内における情報と情報システムの信頼性・安全性を確保する重要なポジションです。

サイバーセキュリティリスクの対策・最適化、危機管理・緊急対応を通じて、ショップオーナーや購入者の皆様が安心して利用できるよう、より良いサービスの提供を目指し取り組んでいただける方を募集します。

・セキュリティインシデント対応時の全体統括、社内・外部機関との連絡窓口、経営陣への説明
・リスク影響とビジネス継続を考慮した優先順位決定
・MDR、SIEM、SOARを利用した情報分析とセキュリティインシデント対応
・セキュリティインシデント対応の訓練企画と実施
・再発防止策の検討と実施、セキュリティインシデント対応プロセスの改善

法務・コンプライアンスに関する統括部署として、当社のビジネス展開に伴い必要となる社内の情報セキュリティに関わる業務をご担当いただきます。
具体的な業務は以下の通りです。

・一部のセキュリティ監査業務（AWSプラットフォームセキュリティ監査など）
・情報セキュリティの啓発活動（ルール策定、周知・教育・徹底）
・脆弱性情報収集、周知、対応推進
・社内外の関連組織、関連企業、関連団体と連携した情報交換および協力
・CSIRT（Computer Security Incident Response Team）業務
・脅威インテリジェンスを活用したサイバーレジリエンス強化

▼本ポジションの魅力
・経験と知見を最大限に活かし短期間で多くのアウトプットを作り出す経験が積めます。
・脅威インテリジェンスや脅威分析による攻撃推測の設計やモデリングに関する経験が積めます。
・他チームとの連携やスキルキャッチアップや協力、およびジョブチェンジの機会があります。

●PJ概要
・情報セキュリティ見直し・戦略立案
・高いセキュリティ水準を維持する仕組み作り

●役割
・経営陣と共に情報セキュリティを考える
・情報セキュリティ戦略の提案
・情報セキュリティの整備、構築
・会社全体の情報システム評価
・サイバーセキュリティ対策
・社内のセキュリティ啓蒙活動
・外部監査対応

●開発の流れ
社内セキュリティ状況の把握
社内規定・ルールを必要に応じ改定
社内のセキュリティ体制維持、啓蒙
必要な技術要素を検討
技術選定、ベンダー選定
ベンダー設計・構築の管理

●開発環境
ＯＳ：Linux、Windows Server
言語：Java、PHPなど（プログラミングは外部ベンダーへ委託）
ＤＢ：Oracle、SQL Server、Aurora
汎用機：なし
クラウド：AWS
スマホ開発：iOS、アンドロイド

データマーケティング事業拡大に伴う事業企画・事業推進・営業支援並びにそれらに付随するデータプライバシーコンサルティングサービスの実務支援により顧客のDX成功をサポートする。

【主な業務】
・データプライバシーコンサルティングサービスに関わる営業支援、実務支援
・データマーケティング事業拡大に伴う事業企画・事業推進・営業支援及びプレリーガル支援

【当ポジションの魅力】
・担当業界や領域に縛られず、クロスインダストリーでプライバシーコンサルの経験ができる。
・プライバシーコンサルのみで終わらず、実際の施策や数値改善といった顧客体験価値向上まで事業支援できる。
・経営層などビジネスサイドの責任者との関わり多いため、上流からビジネス変革に携わることが可能。
・クライアントは国内を代表する大手企業が中心。
・自由で闊達な風土のもとで、多くのプロフェッショナルたちと協業することができる。
・大手通信キャリア、大手広告代理店、データ基盤SaaS会社のノウハウを活用することが可能
・第2次創業メンバーとして、会社の成長にも寄与できる。

当社のシステム開発部署が立案したプロジェクト計画に対して、第三者の立場でプロジェクトリスクを評価いただきます。打つべき対策を提案するとともに、プロジェクト期間中は開発状況を適宜モニタリングし、事態に即した対策の提示などプロジェクトの円滑な推進をサポートする活動に従事いただきます。

【当部のやりがい】
・大手金融グループの海外ビジネスに関わる中で、国内・海外拠点の多国籍メンバーと協働して、海外システム開発・プロジェクト推進を経験できる（海外赴任、出張もあり）

【主な業務内容】
・サイバーセキュリティに関する診断計画策定・実施・評価
・脆弱性情報の収集、評価、インシデント対応(CSIRT活動)
・開発プロジェクトやシステム委託先に対するシステムリスクのアセスメント、管理体制の継続的改善
・セキュリティ製品・サービス導入プロジェクトの評価・ベンダー選定及びプロジェクト管理
・ITリスク管理業務、セキュリティ関連規定策定・見直し
・従業員向けリテラシー教育・啓発

【システム環境】
基幹系システム（汎用機ｚＯＳ／COBOL）/Web系システム（Windows/Unix等）/ネットワーク機器など

当社の全てのシステムに関してリスクの評価・分析やリスク低減策の検討・実施を推進し、
システムリスク管理態勢の構築及び運用状況の確認を行います。

【業務内容】
・全社的なシステムリスク管理体制の整備・維持
・システムリスクアセスメントについて方針策定・推進
・システム関連事故管理体制の整備・維持
・システム担当部署のモニタリング
・リスク管理事案発生時の事務局業務

ITに関連するリスク評価を中心に、主に以下のようなサービスを提供しています。

●会計監査におけるIT内部統制の評価業務、内部統制監査
企業のビジネス活動は最終的に財務諸表の形で社会に公表されます。そして現在、ビジネスを行なう上で情報システムを利用していない企業はないと言ってよいでしょう。公表される財務諸表が正しく企業の活動を表すように作成されているかについて検証するのが財務諸表監査であり、適正な財務諸表を作成するために企業が社内において適切な仕組み＝内部統制を構築・運用しているかを検証するのが内部統制監査です。当部門は、日本最大の監査法人のメンバーと協働し、監査におけるIT専門家として、当社グループのメソドロジーを活用してITの観点から企業の直面するリスクと対応する内部統制を評価する業務を担当しています。

●委託業務に係る内部統制の保証業務
企業が自社の業務プロセスの一部を切り出し、外部の専門業者に委託することで業務の効率向上を図ることは一般的に行われています。特に情報システムに関しては、クラウド化により外部の情報資源を活用することが一般的になってきました。外部に委託された業務が自社の財務諸表上重要なものである場合、企業は委託先の内部統制が有効であることを確かめなければなりませんが、各委託会社がそれぞれ委託先の内部統制を直接評価することは現実的ではないため、独立した監査人が委託先の内部統制を評価し、その結果を保証報告書として報告することが行われています。当部門のIT専門家は、グループ監査法人のメンバーと協働し、各国の監査基準に基づき委託先会社の内部統制を評価する業務を行っています。

●IT関連内部統制構築支援アドバイザリー
新システムの導入にあたり新たに情報システムに係る内部統制を構築したい、あるいは従来の内部統制の仕組みをさらに改善したいという企業のニーズに対して、当社グループのメソドロジーやIT専門家としての知見から、企業に最適な内部統制構築のための支援を行います。情報システムに係る知識だけでなく、企業の属する業界特有の慣習や規制についてのナレッジ、監査対応の観点、システムのユーザーとなる業務プロセス側からの視点等、多面的な検討に基づく最適なソリューションを提案する業務です。

●IT内部監査支援業務
企業の内部監査部門からの委託を受けて、あるいは内部監査部門と協働で、IT専門家として企業の業務監査をサポートします。企業の属する業界特有の慣習や規制、並びに業務プロセスにおけるITの活用状況に対応した適切な監査手続など、当社グループのメソドロジーやナレッジを活用して高品質な内部監査サポートを提供する業務です。

Risk Management Information Security (“RM-IS”) for our covers a variety of information security matters for the our working closely with Japan Region Risk Management Information Security Lead.

The RM-IS is responsible for helping the our business improve its information security posture with respect to delivering on commitments to their clients, as well as reducing risk both inside clients and throughout the entity. The RM-IS for

we are also responsible for developing, implementing and monitoring a strategic, comprehensive information security program for us. Areas covered under RM-IS for we include data privacy especially Personal Information and cybersecurity. The RM-IS for we will interact closely with various functions (e.g., Legal, Quality, Finance, IT, HR, Marketing and Communications, etc.) and the business to understand their requirements in order to solve their information security risks and implement necessary policies and measures.

This position reports to the our company Information Security Lead.

The role includes the following activities, however is not limited but is not limited there to:

1.Planning and handling of measures for Information Security in general (mainly handling Personal Information)
2.Responses to questionnaires from clients, and reviews of contracts relates to Information Security and Personal Information.
3.Initial response for information security incidents
4.Development and maintenance of simple tools used by our company Information Security team (“team”)
5.Administrative work within the team
6.Collaboration with IT department

Risk Management Information Security (“RM-IS”) for Our Consulting cover a variety of information security matters for the we working closely with Japan Region Risk Management Information Security Lead.

The RM-IS is responsible for helping the our business improve its information security posture with respect to delivering on commitments to their clients, as well as reducing risk both inside clients and throughout the entity. The RM-IS for we also responsible for developing, implementing and monitoring a strategic, comprehensive information security program for us. Areas covered under RM-IS for our include data privacy especially Personal Information and cybersecurity. The RM-IS for we will interact closely with various functions (e.g., Legal, Quality, Finance, IT, HR, Marketing and Communications, etc.) and the business to understand their requirements in order to solve their information security risks and implement necessary policies and measures.

This position reports to the our Risk Management Information Security Lead.

The role includes the following activities, however is not limited but is not limited there to:

1.Develops information security strategy, awareness programs, architecture, and information security incident response
2.Drive consistent adoption of Information Security Policy and Standards across Our Consulting
3.Proactively identify information security deficiencies or opportunities for improvement and facilitate development of pragmatic solutions to drive consistency
4.Provide regular, timely reporting on information security initiative status across supported business units
5.Provides strategic risk guidance for IT projects, including evaluation and recommendation of technical controls
6.Educates IT and other functions on appropriate information security risk and mitigation strategies
7.Provides the direction for Our Consulting’s data privacy protection
8.Evaluates new cybersecurity threats and IT trends and develops effective information security controls. Oversees development of information security awareness programs
9.Develops and oversees effective disaster recovery policies and standards to align with company business continuity management program goals. Coordinates development ofimplementation plans and procedures to ensure business critical services are recovered
10.Evaluates potential security breaches, coordinates response, and recommend corrective actions
11.Define and report on information security metrics
12.Provides project management and leadership to staff and external resources in support of established goals and objectives, improved efficiencies, and problem resolution
13.Maintains current knowledge of industry and regulatory trends and developments for the enterprise technology

Because the information security risk landscape is constantly changing, the person will be required to be adaptable to changing needs and be flexible in prioritizing tasks

Key responsibilities

This position is a leading role in designing, developing, and accessing all aspects of security for market leading regional and global systems based primarily on Cloud technologies. As a security consultant for our Regional Technology Hub you will be an individual contributor capable of supporting multiple project teams operating in the latest technologies of Cloud-based, Agile developed systems, using automated deployment from CI/CD pipelines. In other words, it is not just an audit or oversight role, but one that requires detailed participation in the design, implementation, and certification of security controls across solutions. This requires knowledge of various IT system architecture and Cloud technology, as well as supporting technologies such as IAM, network security, Kubernetes, user account management, audit and logging, and other security concepts as outlined in ISO27001/2, OWASP and related regional security standards. Also, the successful candidate should have knowledge of 3rd party security assessments and applicability of SOC1 and SOC2 reports, and concepts of vendor risk management.

【職務概要】
当グループのセキュリティソリューションを強化する研究開発、新たなセキュリティソリューションを創生する研究開発を担当いただきます。
ソリューションの企画や技術開発戦略の策定、プロトタイピングを通じた技術開発活動、学会活動を通じた社会への成果の還元など、幅広い活動の一部または全部に関わることができます。

【職務詳細】
下記テーマにおける企画、戦略策定、技術開発、学会活動。
・企業情報システムのセキュリティ設計、セキュリティ運用を高度化する、ログ分析技術や攻撃検知手法、自動対処技術などの開発。
・コネクティッドプロダクトのライフサイクルセキュリティを向上させる、構成管理技術や脆弱性管理技術、ソフトウェア更新技術などの開発。
・オンライン生体認証技術や、データを暗号化したまま高度な演算を行う秘匿情報処理技術の開発。
・プロダクトの製造工程や組織の事業活動の安全性や正当性を証明するデジタルトラスト技術の開発。

【ポジションの魅力・やりがい・キャリアパス】
国内、国外を問わず、セキュリティ技術で安全・便利な社会を実現する一端を担える仕事です。
また、特筆すべき研究開発成果をあげた研究者は、関連学会からの表彰受賞や学会役員就任、大学での非常勤講師職や客員研究員、などの機会もあります。

未来サービス創造企業として、40期以上黒字経営を続ける同社。
IT部門では大手ベンダー・エンドユーザーと直接取引し、最上流からシステム開発を手がけています。
今年始まる中期経営計画では、プライム・社内受託案件を更に強化する上、モノづくりを担う他部門とのシナジーにより、AI・IoT分野にもチャレンジしていきます。

【具体的な業務詳細】
各プロジェクトにチームで参加していただきます。お客様は大手ベンダーまたはエンドユーザー企業等
コンサル、企画・要件定義〜設計・実装・運用まで最適なポジションからスタートします。

【具体的な】
◆大手システム会社への技術サポート（SES）
金融・流通・製造業界など
さまざまなシステムを支えます。

＜例＞
・ネットバンキングのシステム開発

◆一般企業が使う情報システムの受託開発
メディア、医療、航空業界などのシステムを作ります。
企画〜保守運用まですべてに対応します。

＜例＞
・スポーツコンテンツ配信サービスの開発
・シネマコンプレックスの物販や発券システムの開発

★自社での受託開発やチームでの参画が大半なので先輩に質問や相談がしやすい環境です。

下記職務を中心にご担当頂きます。他メンバーの繁忙状況等を踏まえて、他の職務への積極的な支援が求められる場合もあります。

●サイバーセキュリティ戦略立案、推進管理
●人材育成、啓発活動
●各種監査や照会対応
●諸会議運営
●インシデントレスポンス支援（内外の関係者との連携）
●行内・グループ会社からの相談事項について、専門的知見を活かしたアドバイス

下記職務の中からご経験を踏まえて、担当職務を決定します。他メンバーの繁忙状況等を踏まえて、他の職務への積極的な支援が求められる場合もあります。

●システムリスク管理戦略立案、推進管理
●弊行グループ向けの規程・ガイドラインの策定・改定
●案件審査、セキュリティレビュー
●各種監査や照会対応
●内部統制対応支援
●人材育成、啓発活動
●諸会議運営
●行内・グループ会社からの相談事項について、専門的知見を活かしたアドバイス　など

下記職務の中からご経験を踏まえて、担当職務を決定します。他メンバーの繁忙状況等を踏まえて、他の職務への積極的な支援が求められる場合もあります。

●システムリスク管理戦略立案、推進管理
●銀行グループ向けの規程・ガイドラインの策定・改定
●案件審査、セキュリティレビュー
●各種監査や照会対応
●内部統制対応支援
●人材育成、啓発活動
●諸会議運営
●行内・グループ会社からの相談事項について、専門的知見を活かしたアドバイス　など

・HDがグループ各社に提供する境界防御施策である共通基盤の企画・運営を通じて、グループ全体の対策水準の向上と維サイバーセキュリティグループの各種施策とグループ各社の施策全体の統括的な管理、各社への支援策の企画・推進を担い、グループ全体の対策水準の向上と維持を図る。

○サイバーセキュリティ施策全体の企画・管理
○各社状況の管理・調整持を図る。や各社ニーズを踏まえたプラットフォームの機能拡充等の企画
・プラットフォームの開発・運用管理
・プラットフォーム利用にかかる各社へのアドバイザリ

プロアクティブなITリスク管理業務を通じ、リスクマネジメント観点からグループ各社をサポートし、グループ全体のサイバーセキュリティ管理態勢の成熟度向上とリスク管理の高度化を推進する。
○ＩＴリスクおよびサイバーセキュリティにかかるリスク分析・評価等のリスク管理業務
○ＩＴリスクおよびサイバーセキュリティにかかる実効的なＰＤＣＡプロセスの実行
○ＩＴリスクおよびサイバーセキュリティにかかるグループ各社の管理態勢構築のサポートとモニタリング
○経営および関連部署（リスク管理部門）への連携、報告業務

サイバーセキュリティ教育・啓蒙等を通じて、グループのサイバーセキュリティカルチャーの育成と全従業員およびサプライチェーンのセキュリティリテラシの向上と維持を図る。
○カルチャー醸成にかかるプログラムの企画・推進
○サイバーセキュリティ教育コンテンツの企画・作成
○各種セキュリティ情報のリサーチおよび分析
○定期的な教育啓蒙に関するニュースレターの企画および配信
○セキュリティ人材育成プログラムの企画・推進

グループのサイバーセキュリティの成熟度向上に技術的な観点から支援する。

○サイバーセキュリティのCoE（センター・オブ・エクセレンス）として、技術的なアドバイス等横断的にグループ各社の多層防御の成熟度の向上に貢献する。
○ITアーキテクチャーにおけるセキュリティレビュー(認証認可、データ保護、ネットワークセキュリティ等の観点) およびビジネス部門に対するセキュリティアドバイザリー業務を行う
○セキュリティベンダー、プラットフォーマー、SOMPOのシステムズ、SOMPOリスクマネジメント社、イスラエルのセキュリティラボ等と協力し国内外のグループ会社に向けて、セキュリティのシナジーをシェアードサービスという形で提供する。　
○有事の際には、HD内SOCチームやグループ各社のフォレンジック活動などインシデントレスポンスに技術協力する。
○チームが内部で研究・開発・テスト等が行える環境を整備し、持続性のある人材途用・育成・維持の態勢を整える。
○海外のグループ会社も視野にいれた知識共有の場（ワークショップ）を展開する。
○セキュリティテクノロジエリアで必要なグループスタンダード等を提供し、各社が当該スタンダードにのっとった多層防御の展開・運用ができる態勢を維持する。
○グループ各社の技術的セキュリティ態勢を評価、テスト、リスク管理などを行う。
○国内外のセキュリティ機関等と連携しセキュリティ担当者としての社会的責任を全うする。

グループのサイバーセキュリティの成熟度向上に技術的な観点から支援する。

○サイバーセキュリティのCoE（センター・オブ・エクセレンス）として、技術的なアドバイス等横断的にグループ各社の多層防御の成熟度の向上に貢献する。
○ITアーキテクチャーにおけるセキュリティレビュー(認証認可、データ保護、ネットワークセキュリティ等の観点) およびビジネス部門に対するセキュリティアドバイザリー業務を行う
○セキュリティベンダー、プラットフォーマー、SOMPOのシステムズ、SOMPOリスクマネジメント社、イスラエルのセキュリティラボ等と協力し国内外のグループ会社に向けて、セキュリティのシナジーをシェアードサービスという形で提供する。　
○有事の際には、HD内SOCチームやグループ各社のフォレンジック活動などインシデントレスポンスに技術協力する。
○チームが内部で研究・開発・テスト等が行える環境を整備し、持続性のある人材途用・育成・維持の態勢を整える。
○海外のグループ会社も視野にいれた知識共有の場（ワークショップ）を展開する。
○セキュリティテクノロジエリアで必要なグループスタンダード等を提供し、各社が当該スタンダードにのっとった多層防御の展開・運用ができる態勢を維持する。
○グループ各社の技術的セキュリティ態勢を評価、テスト、リスク管理などを行う。
○国内外のセキュリティ機関等と連携しセキュリティ担当者としての社会的責任を全うする。

当社はSaaS型サービスなどを提供するソフトウェア企業でありつつ、大手企業を中心としたお客様の人事業務に密接に寄り添い支援するサービスも行っています。大手企業の人事情報という重要情報に隣接しながら、当社の製品開発者やアプリケーションコンサルタントらは、高度かつ複雑な情報処理を行っています。

クラウド技術を前提にした製品開発やお客様サポートサービスなどの事業分野における情報セキュリティリスクをコントロールしつつ、ポストコロナに対応した新しい働き方を支えるコーポレートIT整備を積極的に推進していくポジションとなります。

ITやセキュリティの知見を駆使しながら、会社や事業を横断し多くの人と接し助ける仕事のため、非常にやり甲斐のある業務です。

【主な業務内容】
・AWSや各種SaaSサービス等、当社製品やサービスを支えるクラウドテクノロジーのリスクコントロールおよびガバナンス向上を推進していただきます。
・ゼロトラストアーキテクチャを前提としたコーポレートITを支える施策や制度の立案および推進を行っていただきます。（各種規程案の作成や設計のドキュメンテーションが業務に含まれます。）
・各部門からのセキュリティ管理やプライバシー管理に関する相談に乗っていただきます。

【教育体制】
ご入社時のご経験に応じて専門性を発揮していただきながら、未経験の領域にもチャレンジを歓迎する社風です。チームや上長から密接な支援を受けられます。また、セキュリティ関連やクラウド技術関連の資格取得および維持費用費用に対して補助制度があります。

【働き方について】
主にリモートワーク中心の勤務形態で柔軟で働きやすい環境です。
※必要に応じて出社していただく場合があります。

情報セキュリティの維持管理に関わる各種業務を担当いただきます。

・ISMS(ISO 27001)をベースとしたセキュリティマネジメント運用
・社内規程及び法令等を踏まえた社内ルールの策定、維持管理
・策定した社内規程・ルールに関する社内からの相談対応
・セキュリティ教育の企画、立案、作成、運用
・官公庁関連要求事項の取りまとめ、対応　など

グループ・ＩＴ統括部は、海外拠点を含む当社グループ全体のＩＴガバナンスおよびＩＴセキュリティを担う部署です。ＩＴに関する管理ポリシーやセキュリティポリシーの策定、当社グループの各社のＩＴ環境およびその運用状況の把握と、モニタリングおよび支援を行っています。
ITセキュリティに関しては、当社グループ全体のセキュリティ対策方針の立案と、その方針に基づく対策の推進を行っています。また、特にサイバーセキュリティについて、CSIRT（Computer Security Incident Response Team）の事務局機能を持ち、サイバー対策の推進およびインシデント発生時の対応を行っています。

●担当業務、責務:
当社グループ全体のITセキュリティ担当として、以下の業務から適性、希望に応じていくつかを担当して頂きます。
・ITセキュリティポリシーの立案
・ITセキュリティ対策の企画、推進
・当社グループ各社（海外も含む）のIT担当チームとの連携、協業
・当社グループのITセキュリティ対策に関する経営への報告、提案
・ITセキュリティベンダーの選定、管理
・ITセキュリティ（とくにサイバーセキュリティ）に関する情報の収集と分析
・ITセキュリティに関する社内向け研修、訓練、情報発信
・インシデント発生時の情報集約、分析、報告
・金融ISAC、日本シーサート協議会など外部機関との連携

下記のいずれかの職務をご担当頂きます
1．サイバーセキュリティに関する戦略企画
2．グループ・グローバル連携の強化推進
3．サイバーセキュリティに関するポリシー・プロセス・手順書等の整備管理
4．国内外セキュリティ機関との連携による、インテリジェンス調査・分析

・サイバーセキュリティに関するシステム監査
　当社およびグループ会社が対象（含む海外拠点）
・サイバーセキュリティに関するリスクアセスメント及び監査計画の立案
※サイバーチームは4-5名。

暗号資産（仮想通貨）交換業におけるクリプト審査担当として2線の立場で以下業務をリードしていただきます。
リスク管理およびプロダクトコントロール全般に関わる業務（ただし、トレーディングを除く）

・暗号資産（仮想通貨）の新規取扱い（取引、交換サービス開始）に向けた業務全般のリスク分析、管理
・ブロックチェーン・ウォレット・秘密鍵など新規/既存暗号資産に関する技術的なリスクに関する監視・管理（2線）
・新規/既存暗号資産に関する調査や審査業務の監視、管理（2線）
・ハードフォークや各種アップグレード時の入出コイン停止の有無などの判断が安全基準を満たすかの確認（2線）
・新規取扱いに必要な監督官庁への申請、取引システムへの実装プロジェクト等、新規取扱いに関連する業務のリスク評価
・新規施策、プロジェクトなどのリスクアセスメントの作成
・各種リスク関連規程、マニュアル類の整備
・上記に関するリスク管理プロセスの改善

サイバーリスクの高まりに伴い、SOC(*1)/ CSIRT(*2)等の1線としてサイバーセキュリティ企画推進業務(*3)を担っていただきます。
　(*1)Securiy Operation Center：サイバーインシデント、システム障害等を監視し、検知情報を分析
　(*2)CSIRT：サイバーインシデント、システム障害等が発生した際に、経営陣・関係部署への連携および業務影響分析、対策検討・実行、予防策の企画等を担当
　(*3)検知された脅威やサイバーインシデントの分析、サイバーインシデント発生時の素早く確実な報告・情報連携、サイバーセキュリティ分野に関する最新情報の収集等

・システムリスクに関する幅広い専門分野における企画立案・推進
・関連部署との連携や経営メンバーへの報告、金融庁をはじめとした対外機関向け報告

●業務内容
・サイバーセキュリティイベント発生時の対応実施 (スタッフへの指示や工程管理含む)（50％）
・サイバーセキュリティのインシデント対応におけるプロセスの新規策定、維持、改善（50％）

●アピールポイント
当グループ内におけるサイバーセキュリティオペレーションにおいて、これまでのご経験を活かしつつ幅広くご活躍いただくことができます。・グローバルSOCなどとの協業を通じて、最新のセキュリティ動向に応じた施策の策定や運用の経験を身に着けていくことができます。・国内外の関係各所と広く協業の機会があり、チームを横断したプロジェクトの推進や管理の経験を積むことができます。

●想定されるキャリアパス
サイバーセキュリティグループにおけるチームリーダー、グループリーダー、CISO
その他 IT内でのキャリアパス

●英語使用頻度
当のグローバルもしくはアジア・パシフィック地区との情報交換（メール・資料）や電話会議

●求める人物像
・サイバーセキュリティのオペレーションのリード経験がある方
・サイバーセキュリティ施策の運用に関する経験、及び強い関心を持っている方
・コミュニケーションが円滑な方