システムリスク（自社向け）の転職求人

当社の全てのシステムに関してリスクの評価・分析やリスク低減策の検討・実施を推進し、 システムリスク管理態勢の構築及び運用状況の確認を行ないます。

全社的なシステムリスク管理体制の整備・維持
システムリスクアセスメントについて方針策定・推進
システム関連事故管理体制の整備・維持
システム担当部署のモニタリング
グループ会社対応
▼本ポジションの魅力
新しいアーキテクチャや技術、クラウドサービスの利用、様々や契約や規制の考慮など、幅広く、難度の高いシステムリスク管理に挑戦できる環境です。
当局対応、IT統制、監査対応、制度対応といった幅広い業務に対応するため、知見を活かす場も多く、多様な経験を積むことが出来ます。
「どのようなリスクをどのように管理すべきか」を考えて、制度設計から日々のモニタリングに至るまで、少人数体制であるからこその、幅広い業務への取組が可能です。
金融機関としての自覚と、ITベンチャーとしての冒険心をもち、「攻め」と「守り」の両方を担うリスク管理として、対応のバランス感覚、及びスピード感を重視して業務に従事頂けます。

・システムリスク管理、評価、提案、モニタリング
・システムリスクに関連する領域に関する各種リスク評価・検証、課題のフォローアップ
・社内・グループ会社からのシステムリスクに関する問い合わせ等について専門的知見を活かした助言・サポート
・システム関連事務ミス改善の推進業務

会社全体の成長戦略の実現に向けて、生成AIを含むAIや各種データ（顧客データ・契約データ・お客様対応履歴・行動履歴等の幅広いデータ）の利活用を進める攻めのガバナンス体制（方針、ルール策定からモニタリング機能まで）の企画、実行、推進を担って頂きます。

●具体的な業務
1.AIやデータの活用推進を企図したAIガバナンス/データガバナンス戦略の企画立案・実施
2.重要度に応じたAIガバナンス/データガバナンス関連の取扱規程・ルールの整理、管理・運用（周知、教育、徹底）
3.AIガバナンス/データガバナンスに由来するリスクの管理に関する社内・グループ横断的なプロジェクトの推進
4.社内のビジネス部門・システム部門・データ分析部門等と連携したプロジェクトマネジメント
5.AIガバナンス/データガバナンスの国内外動向等に基づく改善提案と推進
6.事業部門からの相談対応
7.プロジェクト全体のステータス管理（会議体報告等）
8.サービス・リリース時におけるサービス提供主体へのレピュテーションリスク等影響評価
9.外部専門家との連携、社内関係部会議やアドバイザリーボードの事務局

当社は大手証券グループの信託銀行として、グループ各社と連携し、資産流動化商品の開発及び販売、年金運用、投資信託の受託及、富裕層に対するローンビジネス、個人のお客様向けのバンキング業務等を行っております。
【業務詳細】
IT部門におけるシステムリスク管理業務全般。
具体的な業務の範囲：
・システムリスク管理態勢の整備
・システム開発・運用業務のフレームワーク策定
・システムリスク評価活動
・システム障害管理（品質改善に向けた活動を含む）
・監査（外部・内部）対応
・情報セキュリティ（ITセキュリティ領域での企画業務）

当社全体のオペレーショナルリスク管理フレームワークの企画/運営。特にサイバーセキュリティ領域施策の企画/運営。

当社全体のオペレーショナルリスク管理フレームワークの企画/運営。特にAI管理領域施策の企画/運営。

当アソシエイト / シニアアソシエイトは非常に重要な役割であり、ビジネスユニット間、およびグローバルなチーム内に関与する可能性があります。また、オペレーショナルリスク部門、法務、コンプライアンス、各監督局、ベンダーマネジメント、内部監査、外部監査、および日本の規制当局であるJFSA、日銀、SESCと緊密に連携することになります。
当ポジションは、CCOまたはリスク管理の実務的な経験とリスクとコントロールに関する知識を活用し、テクノロジーリスクマネジメントの中心になる機会をお探しの方には、理想的な機会です。ITビジネスユニットおよびグループCIOのシニアマネジメントと協力して、会社のテクノロジーリスクプロファイルを完全に理解し、かつ積極的に管理をします。リスク管理の監督の役割では、優先順位が競合する状況をナビゲートします。言い換えると、リスクの管理と特定のリスクの認知またはリスク受容との間で、どこでバランスを取るかを充分に理解することになります。さらに、この役割は、テクノロジー管理に対する注意事項と低重要度の事柄についてアドバイスをすることもあります。
また、チーム内でリスク＆コントロールリードとなり、リーダーシップと影響力のあるスキルを利用して、グローバルなテクノロジチームとビジネス関係者の間で強力な協力関係を構築する必要があります。

このポジションに関する主な領域:
・グループCIO全体のステークホルダーとの連携、助言やサポート、効果的なコントロール環境の実装と提供、および主要なリスクのプロアクティブな管理
・主要な成果物とドキュメントの定義、作成、および実装のサポート(方針、基準、管理、リスクアペタイト ステートメント)
・企業のリスク管理強化プログラム (RMEP) を含む企業のオペレーショナルリスク管理フレームワークがグループCIOに確実に組み込まれていること、およびその組み込みを検証するために管理情報 (MI) が利用可能であることを確認する
・コントロールのテストを実施し、コントロールの強化が必要な場所について助言する
・グループCIOの年次内部および外部監査を監督する
・オペレーショナルリスク管理フォーラム、テクノロジガバナンスフォーラムなど、必要に応じて企業のリスク管理フォーラムや委員会に参加する。
・第2および第3の防衛線と連携し、グループCIOリスク管理フレームワーク内で要件が考慮されるようにする
・クラウド、セキュア・バイ・デザイン、AIなどの新しいテクノロジーのリスク管理要件を評価し、助言する。

◇信頼されるパートナー
・クライアントのニーズや課題を理解し、グループのリソースを活用してソリューションを提供
・高いプロフェッショナリズムを持ち、当社サービスレベルと企業価値の向上に貢献
◇アントレプレナーシップ
・改善のために新しい挑戦を受け入れ、他の人が新しいアイデアを考え、自らに挑戦するよう促します。
◇チームワーク・コラボレーション
・すべてのレベルの従業員からの異なる意見や見解を尊重し、共通の価値を創造するために協力します。
◇影響力
・組織の成長に参加させることで、他の人を励まします。
◇誠実性
・ロールモデルとしての役割を果たし、企業哲学、職業倫理、コンプライアンス、リスク管理、行動規範に基づいて他の人が意思決定をする行動を促します。

当Vice Presidentのポジションでは、グループCIOのITビジネスユニット、グローバル最高管理責任者オフィス、リスク、法務、コンプライアンス、監査などといった、他の主要部門かつ複数の領域で働くユニークな機会が得られます。テクノロジチームや世界中の関係者との関係を構築するため、この役割におけるリーダーとして、強力なリーダーシップと影響力が必要となります。

このポジションは、次のような方に最適です。
・当社の技術的なリスクとサイバーリスクの管理方法において、中心となって活躍したい
・問題を解決したり、当社のリスク管理における最善のアプローチを定義する場面にて、その支援をしたりすることが楽しめる
・好奇心旺盛で、ビジネスの課題を解決するためにさまざまなアプローチの探求を希望している
・グローバルチームで働き、さまざまなバックグラウンドを持つ世界中の同僚の経験から学びを得たい
・リスクとコントロールの原則を理解している

主な業務は以下のとおりです。
・グローバルCCOチームと協力して、グループCIOのリスク管理アプローチを発展させる
・日本のCIO組織と協力して、リスク管理アプローチを展開する
・リスク管理とビジネスニーズのバランスをとる
・テクノロジーリーダーに対し、どういったリスクへ注意が必要で、そのようなリスクはクリティカル度合いを若干下げてもよいかを助言する
・クラウドや人工知能などの新しいテクノロジーのリスク評価を支援する

・持株会社における個人情報管理、システムリスク管理に係るガバナンス整備、モニタリング、管理強化の推進や支援
・上記領域に関するフィナンシャルグループの会議体の開催
・子会社、関連会社との情報連携及び施策への支援・調整等
・その他、関連規程整備等

●コンプライアンス管理体制の整備・運営・高度化

・DX案件等に対するコンプライアンス面からの対応策提案・態勢構築等
・情報リスク管理業務（特にDXツール利用に係る情報リスク管理）等
・DX・AI等を活用したコンプライアンス業務の高度化・効率化等

●職務概要
中期計画の中で、ＩＴを一つの柱として掲げ、特にクラウド・ＡＩの活用拡大を進めています。そうした中、システムリスク管理の分野でも、新たなリスク視点への対応や適切なガバナンス整備が急務です。また、昨今のサイバー攻撃によるインシデントの発生状況をふまえて、特にサイバーセキュリティ取組強化も重要な課題です。加えて、事業拡大に伴い、グループとしてのガバナンス態勢の整備も重要性を増しています。
こうした背景の中、従来の枠組みにとらわれず、新たな発想や知識をベースに、当社のシステムリスク分野のガバナンス整備にチャレンジできる人材を募集します。

●職務詳細：ご経験に併せて1.または2.の業務を中心にご担当いただきます。
1.クラウドやＡＩ活用が今後も進む中での、システムリスク観点での新たなガバナンスの枠組みの企画・整備
2.サイバーセキュリティ分野の国内外のグループ会社管理態勢の強化に向けた企画・整備
3.当社・グループ会社・サードパーティに係るシステムリスク観点でのアセスメント
4.インシデント管理
5.危機管理態勢強化に向けた企画・整備

●特徴・魅力
1.規模の大きさ
業界のリーディングカンパニーならではの成長機会、影響力の大きさが実感できます。国内外含めグループ会社も多数あり、幅広くステークホルダーと関わることができます。
2.市場価値向上
多様な部署、グループ会社などと関わる中で、幅広な知見や専門性を高めていただくことができます。業界問わず、どの事業会社にも必要な機能であり、マーケットバリューを高めて頂ける業務です。また、経営層との日常的なコミュニケーション機会も多く、経営目線での知見も高めていただけます。

●キャリアパス
ＩＴ人材としてのキャリアパスを前提に、本人希望や適性に応じ、システムリスク管理室を含めたＩＴ部門内でのローテーションによるキャリア形成を想定しております。

・IT規程の改廃、IT規程実行アセスメント実施
・日本及び韓国グループ会社へのIT推進サポート
・組織内業務ルール策定・統制指導

以下の様なシステムリスク管理、企画を担当いただきます
・システムリスク評価・報告、対策検討
・CSIRT運営（サイバーリスク管理、対策）
・当局、社内外監査対応など
・行内のルール等の作成・見直し
・セキュリティ教育の計画、実施

●キャリアパス
・マネジメント職、特定のスキルや経験に特化した専門職の選択が可能
・システム開発部門、ATM企画・開発部門、システム企画、システム運用
　部門等へのキャリアアップも可能

●業務内容
・経営陣、法務部門、コンプライアンス部門などと連携し、システムリスク管理の適切な運用を行うために必要な組織体の組成および運営
・登録・認可制の各種金融事業に係る当局対応を事業部門とともに推進
・新規事業やサービスの開発、既存事業を取り巻く環境の変化に対して、システムリスク管理の観点からのモニタリングやインハウスコンサルティングの実施
・システムリスク管理に係る規程、基準、手順書等の整備と更新

●システムリスク管理
　　社内ルールの高度化、整備、簡素化対応
　　障害に係る影響度評価、当社フィナンシャルグループや社内2線・3線への報告対応
　　システム開発プロジェクトの進捗モニタリング、社内報告対応
●内部統制
　　ＳＯＸ業務全般（ＳＯＸ統制記述の見直し、運用状況評価、検知事項に係る改善活動の企画・運用、監査人や社内監査部門への対応）
　　当社のお客様が利用されるＳＯＣ1レポートに係る発行対応業務（レポート記述の見直し、監査人によるテストへの対応等）
●危機管理
　　障害訓練に係る施策策定やモニタリング、各種危機事象対応に係る高度化・改善対応
　　当社内における危機事象に係るビジネスインパクト分析やコンティンジェンシープランの策定支援

ウェルス・マネジメント部門のITに関するリスク管理を担うチームの一員として、ウェルス・マネジメント部門のIT統制や、業務継続に係る訓練の計画・実施を担っていただきます。
第2線部署の定めたポリシーに沿った運用が第1線部署でされているかのフォロー、サポートを行います。場合によっては運用の為の枠組みを企画していただきます。
また、IT統制・リスク管理に関する指標の集計やレポート作成を実施します。指標については実効性をもったサポートを行うためにウェルス・マネジメント部門のビジネスの理解や、システム開発への理解も求められます。

●リスク評価とモニタリング
・業界レギュレーションや、各種フレームワークを使ったリスク評価と改善対応のサポート
・セキュリティリスクに紐づく社内ポリシー、基準、ガイドラインの遵守状況の確認
・1線の各部門が実施しているセキュリティ活動のモニタリング

●インシデント管理
・各部門でのインシデント発生から再発防止策実施までを安定的に実施できる管理手順と仕組み作り、現場支援
・リスクカルチャーの醸成へ向けたトレーニング設計・実施

＜具体的にお任せしたいこと＞
以下の項目について実務を実施しつつ、3線モデルにおける2線としての仕組みの改善を継続的にお願いします。
・新規プロジェクト リリース判定時のレビュー、助言
・インシデント再発防止へのレビュー、助言
・システムロードマップ等作成へのレビュー、助言
・各種リスク評価とコントロールの推進（主にサイバーセキュリティ、情報資産リスク）
※適性に応じて、この他の業務にも携わっていただきたいと考えております。

＜期待する役割＞
・「3つのラインモデル（three lines model）」の第2線機能を担うリスク管理部としての役割
・リスク管理部のミッションは「リスクを全社横断的に把握し、リスクベースアプローチでリスクをモニタリングする態勢を整備する」ことです。
・業務執行部門である第1線とは独立した立場で、リスク及びその管理状況のモニタリングを行い、必要に応じてリスク管理上のアドバイスを行います。また、リスク管理フレームワークの設計および構築や運用、改善も行います。

＜本ポジションの魅力＞
・新しいシステム開発プロジェクトを成功に導く、もしくはパフォーマンスを最大化するための社内コンサルティングを行っていただきますので、会社の発展に貢献していることが肌で感じられます。
・新しい価値交換を実現するための取り組みに参加していただくなど、これまでの経験を活かして暗号資産という新しい分野での経験が積めます。
・リスク管理部が関与する領域は経営視点に近く幅が広いため、これまでご経験のなかった領域の業務に携わることができる可能性があります。

当グループは国内外に積極的に展開しており、いまや世界55カ国・地域約20万人となっています。情報セキュリティ推進室は、この巨大かつ広範囲にわたる企業規模の情報セキュリティガバナンスを統括するミッションを担っています。国内を担当するチームと海外を担当するチームに分かれており、当チームは海外を担当しています。全ての海外グループ会社を統括するCISOをはじめ、海外グループ各社のCISOおよびセキュリティラインと日々英語でコミュニケーションを取っており、どのメンバーも毎年1回以上海外に出張をするなど、海外メンバーとの接点が非常に多いチームとなっています。

【職務概要】
(1)グループ・グローバルのセキュリティ全体の施策（技術あるいはルール）の計画、実行
グローバルヘッドクォーターとしてグローバル全体のセキュリティガバナンスを推進しています。リスクの分析やリスクへの対策を検討し、施策の決定と計画立案を行います。施策の実行時には予算獲得から展開まで一貫して関わり、その中で、自社経営陣との折衝や、予算規模の大きな各施策のマネジメントを手掛けます。また、新規の海外製品をグループとして扱うときや、海外各拠点と連携して新規の施策を始めるといった新たな取り組みを始める際にも、当チームが対応方針を決定します。

(2)CISO対応
CISO（アメリカ在住）と連携し、海外グループ企業各社がグループのセキュリティポリシーに準拠した情報セキュリティレベルを維持・向上できるよう計画し実行します。

グループ全体で遵守する情報セキュリティポリシーは当部で規定しますが、海外での運用方針の企画・実行は、海外各国・各拠点の事情に精通している海外グループ会社に一任しています。CISO対してグループセキュリティポリシーを連携し、議論・交渉・調整を行い、CISOによる海外情報セキュリティポリシーの計画・実行を支援します。

(3)海外各国との連携
グローバルガバナンスの推進状況や各種施策の実施状況をモニタリングし、必要に応じて海外各グループ会社のCISOやセキュリティラインに対して直接コミュニケーションを取り、グローバルガバナンスの確実な実行と強化を推進します。

【入社後に想定されるキャリア】
まずは主担当の補佐からスタートし、海外各グループ会社のCISOやセキュリティラインと直接議論をして頂きます。その後は主担当として、CISOとの交渉を担当して頂きます。将来的には、施策の検討を主導して頂いたり、セキュリティポリシーの施策に関わっていただくことや、インシデント対応をする、より経営に近い経験を積むなど、新しいことへチャレンジして頂くことも可能です。

【アピールポイント（職務の魅力）】
○グローバルヘッドクォーターとして海外グループ会社を動かす経験ができる
外資系企業の場合、海外本社から指示を受ける立場となりますが、当社はグローバルヘッドクォーターのため、全世界の海外グループ会社に対する情報セキュリティガバナンスの企画・推進を指示することができます。

○グローバル対応の経験を積むことができる
CISOと日常的に英語でコミュニケーションを取るため、英語力を生かし伸ばしていくことができます。また、CISOとの仕事を通じて、グローバルでのセキュリティ動向を知ることができるだけでなく、海外の多様な考え方・価値観にも触れることができます。

○大規模かつ最先端技術を活用したグループの情報セキュリティガバナンスに携われる
世界55カ国・地域約20万人が働くグループ企業を対象とした大規模な情報セキュリティガバナンス経験を積むことができます。また、ZeroTrust、サプライチェーンセキュリティ、経済安全保障など、最新・最先端のセキュリティ技術・動向の最先端を把握し、推進する経験を積むことが出来ます。

○情報セキュリティガバナンス以外のセキュリティ知見を獲得できる
同じセキュリティ技術部内には、インシデント対応を行うCERT（Comuputer Emegencey Response Team）や、セキュリティビジネス（コンサル、システム構築、運用）を行うチームもあり、ご希望に応じて、ガバナンス以外のセキュリティ知見を得ることができます。

【職務内容】
●セキュリティガバナンスグループのミッション：人と組織で当社グループ（グローバル）のセキュリティを守る
　・セキュリティ全般のマネジメント・ガバナンス
　・セキュリティポリシー・ルールの策定・管理、ルール適用に際してのITシステムマネジメント
　・セキュリティカルチャー・アウェアネスの向上、教育・意識啓発・サーベイ・監査
　・外販営業支援

●セキュリティガバナンスグループの主要な担当領域において自らが責任を持ち、プロジェクトをリードしていただきます。特にグローバルセキュリティ施策の立案・展開に従事いただきます。
1．大規模/重要度の高い担当領域のビジョンと戦略の立案とその遂行
2．担当領域におけるプロジェクトリード、プロフェッショナリティの発揮
3．組織運営において組織長を補佐し、成果と指標を達成
4．プロフェッショナリティの観点からチームメンバへ指導やアドバイスを行い、チームの生産性やエンゲージメントを向上
5．内外のステークホルダーと適切なコミュニケーションをとり、連携効果を発揮
6．最新セキュリティ情報や業界トレンド等を調査し、当社グループ内導入やビジネスの方向性を判断

【ポジションのアピールポイント】
・当部は、CISOをはじめCxOとの距離が近く、トップマネジメント層の考え方に触れながら、高い視座・広い視野で業務に取り組むことができます
・新たな取組みを自ら提案し、自ら実行することで会社・社会に貢献することが可能です
・グローバル従業員10万人規模企業のHQにおけるITセキュリティマネジメントを経験できます
・最新のセキュリティマネジメント国際規格を習得できます
・様々な業種のお客様や業界トッププレーヤーとコミュニケーションでき、多彩なノウハウを蓄積できます

持株会社のセカンドラインディフェンスの一員として、システムリスク管理業務をサポートしていただきます。システムリスク管理の基本業務に加え、一線部門との調整やデータ分析、リスク報告書の作成などを通じて、リスク管理態勢の強化に貢献していただきます。

【主な業務内容】
●システムリスク評価およびモニタリングの実施・サポート
●リスクデータの収集、分析、整理
●内外規制（バーゼル委員会、日銀等）に基づいたリスク管理プロセスの補佐、リスク報告資料やプレゼンテーションの作成
●一線部門や関連部署とのファシリテーション業務
※なお、担当領域に関わらず幅広くチームの業務に携わって頂く可能性があります。

FISC安全対策基準等を始めとしたベストプラクティス・フレームワークを元に、当社のシステムリスク管理を推進いただきます。
リスク可視化のためのアセスメントにとどまらず、必要となるリスク対応を主導・支援するほか、開発部門が円滑な業務を行えるよう共通のルール策定とその運用を通じ、より健全なシステム開発・運用への貢献も期待します。
また、システムリスク管理担当部門のリーダーとしてチーム課題対応を牽引するとともに、メンバーの育成・支援にも期待しています。

【主な業務内容】
・リスク管理部門や監査部門と連携したシステムリスクアセスメントの実施
・自部門のリスク対応推進、他部門のリスク対応支援
・開発管理／インシデント管理に関わる業務プロセス・手続の整備と運用
・開発部門への各種ルール及びプロセスの浸透、継続教育
・システム障害等に関わる当局報告対応

【当ポジションの魅力】
・社内全部門と関わりを持ちながら仕事ができる
・開発チームとの距離が非常に近く、システムリスク管理が組織の成功にどのように貢献しているかをリアルタイムで体感できる
・未成熟な領域での業務も多く、自らの手で新しい仕組みを構築する「手触り感」を感じられる

IT本部　IT戦略企画部　ITガバナンスグループ　ITリスク管理チームにおいて、主に以下の業務を担当頂きます。

●システムリスク管理業務
●情報セキュリティ管理業務
●サイバーセキュリティ対策業務
●グループ各社との業務連携

詳しくは・・・
ITリスク管理チームのメンバーとして、
・セキュリティ対策、情報資産管理、サイバー対策を担当
・定期的なシステムリスク管理態勢のチェック
・システムリスク管理態勢改善計画の策定と実行

最終的には、上記業務のうち、これまでの経験や適性を見てお願いする業務を決定致します。
対象業務に興味と「やる気」を持ってチャレンジいただける方の応募を期待しております。

（変更の範囲）会社の定める業務

【魅力ポイント】
●業務拡大フェーズにつき、積極的なIT投資を実施しています。
●穏やかな社風から組織内の風通しも良く、主体的に動ける環境です。
●残業月30時間程度でワークライフバランス◎
●週2回程度の在宅勤務可能

【将来のキャリア】
チームメンバー全員がプロフェッショナルとして活躍しているチームになります。
将来は、ラインマネージャーとしてチームを牽引頂くマネージャーやプロフェッショナルにスキル・経験を深めITスペシャリストとしてチームを牽引していくことを目指していただけます。

FISC安全対策基準等を始めとしたベストプラクティス・フレームワークを元に、当社のシステムリスク管理を推進いただきます。
リスク可視化のためのアセスメントにとどまらず、必要となるリスク対応を主導・支援するほか、開発部門が円滑な業務を行えるよう共通のルール策定とその運用を通じ、より健全なシステム開発・運用への貢献も期待します。

●主な業務内容
・リスク管理部門や監査部門と連携したシステムリスクアセスメントの実施
・自部門のリスク対応推進、他部門のリスク対応支援
・開発管理／インシデント管理に関わる業務プロセス・手続の整備と運用
・開発部門への各種ルール及びプロセスの浸透、継続教育
・システム障害等に関わる当局報告対応

●当ポジションの魅力
・社内全部門と関わりを持ちながら仕事ができる
・開発チームとの距離が非常に近く、システムリスク管理が組織の成功にどのように貢献しているかをリアルタイムで体感できる
・未成熟な領域での業務も多く、自らの手で新しい仕組みを構築する「手触り感」を感じられる

当社の証券ビジネスを支えるITシステムを安全かつ安定的に運用し、新たなサービスを創出する「プラットフォームの高度化」を推進しております。「プラットフォームの高度化」を実現するためには、日々巧妙化するサイバー攻撃への対策やシステムリスク軽減の対応としてリスクベースアプローチによるチェック体制の強化が不可欠です。
本施策を推進するためのシステムリスク管理、セキュリティ対策の企画・運営業務に従事いただきます。

＜主な業務内容＞
・システム監査
・システムリスク管理、アセスメント、改善活動
・システムに関する業務委託先チェック、クラウド評価
・個人情報管理
・セキュリティ要件定義、設計、アセスメント
・セキュリティ強化施策の企画検討、提案、推進
・システム（クラウド／オンプレ）セキュリティアセスメント
・CSIRT活動（平時、有事）

このポジションは技術チームや法務部門等と連携し、当社およびグループ企業のセキュリティ、個人情報保護に関する統制を設計、構築、運用します。主な業務内容は以下の通りです。

・NIST CSF、CIS Controls等のフレームワークを活用した情報セキュリティ統制を構築、運用
・事業部門に対してセキュリティ、個人情報を含むデータ保護に関するIn-Houseコンサルティング、法人顧客からのセキュリティ問い合わせ回答支援
・SOCやISMSなどの第三者認証取得

●本ポジションの魅力
・ハイスペックMacを標準支給します（Windowsもご要望に応じて支給可能です）。
・グローバルな開発体制を強化している中、多国籍のメンバーと仕事、コミュニケーションができます。

●技術スタック
・Webサーバーサイド：Rails, Go
・Webフロントエンド：React, Redux, webpack, TypeScript, Mocha, Jest
・データベース：MySQL(Aurora)
・インフラ・ミドルウェア
AWS(ALB, EC2, RDS, S3, SQS, ElastiCache, EKS...), sendgrid, kinsta
GCP (BigQuery, Firebase, GKE)
nginx, squid, memcached, kafka, logstash, filebeat, maxwell, kibana, elasticsearch,Fulentd envoy, Passenger, Puma, Unicorn, HAProxy, Docker, Redis, Memcached

●使用ツール
・Biz基盤：Marketo, SalesForce
・リポジトリ管理：GitHub
・CI/CD：CircleCI, bitrise, ArgoCD, CodeBuild, Github Action
・開発環境:Vagrant, Docker, Terraform Enterprise
・監視：DataDog, Rollbar, Bugsnag, Sently, New Relic
・コミュニケーション：Slack
・チケット管理:Jira, asana, trello, backlog
・セキュリティ・自動化: OWASP ZAP, Burp Suite, Sider (Brakeman), Snyk, VAddy, Dockle, Trivy

・システム開発プロジェクト監査（モニタリング、アセスメント、プロジェクトへのアドバイス、経営へのレポート）
・システム障害分析（真因分析、再発防止策の評価とアドバイス）
・サイバーセキュリティ、情報セキュリティ関連規定の整備と評価

当社グループにて、グローバルIT戦略策定、国内外拠点（主に海外拠点）の重要プロジェクト支援、拠点運営支援、ガバナンス強化、グループ共通施策推進を行っていただきます。

＜業務概要＞
当社グループのIT戦略や国内外グループ個社のITプロジェクト推進、拠点管理、ガバナンス強化に関するサポートを担う。
●国内外拠点の重要プロジェクトの支援（計画策定支援、プロジェクト運営支援）
●国内外拠点のIT態勢、開発、運営のモニタリング、ITガバナンス向上のための支援
●グループシナジー・コラボレーションの推進（グループのIT機能強化を推進）
　※セキュリティ、共同購買・共通基盤、IT人材育成、プロジェクト運営等

●システムおよび事務リスクのリスク評価を行います。
●監督官庁等の検査担当者として業務の有効性等を評価分析し、改善計画を立案します。
●制度要件に応じたシステムの開発や、事務整備等に関連する業務を担います。

●ポジションの魅力
●これまでのご経験や専門知識を内部監査業務においてフルに活用していただくことで、幅広く活躍して頂ける機会があります。
●中長期的には、役職者として部全体を牽引していただくことも期待しています。
●当社にはキャリア採用の社員が多数在籍し経歴も様々です。チームワークを重視しており、風通しもよくキャリア採用社員も早期になじみやすい雰囲気にあります。

Responsibilities:

・Develop and maintain governance framework for the IAM program, aligning it with the organization’s security strategy and business goals.
・Manage and mentor a team of IAM analysts, providing inputs on IAM architecture, design, and implementation.
・Govern authentication and authorization frameworks, including Single Sign-On (SSO), Multi-Factor Authentication (MFA), Access Management (AM) and Privileged Access Management (PAM) solutions.
・Govern identity/access lifecycle management processes such as ‘joiner, transfer, leaver’, recertification processes etc.
・Manage access control processes and ensure that IAM policies are enforced consistently across various platforms, including Windows, Unix/Linux, databases, and cloud environments.
・Govern the integration of IAM solutions with key platforms such as AD, LDAP, Unix/Linux servers, databases (Oracle, MS SQL) and cloud services (AWS, Azure, GCP).
・Govern and ensure the effective use of identity governance solutions such as Saviynt, Oracle Identity Governance (OIG), or similar.
・Govern and ensure the effective use of IAM tools such as Saviynt, Okta, Azure AD, or similar and PAM tools such as CyberArk, BeyondTrust, HashiCorp or similar.
・Design and govern periodic reconciliation and recertifications for I&AM
・Drive the adoption of automated identity/access management workflows to streamline provisioning and deprovisioning.
・Oversee the integration of IAM solutions with cloud platforms, enterprise applications, and third-party systems.
・Identify and propose automated IAM processes to improve efficiency and reduce manual intervention in identity and access management tasks.
・Work closely with IT, security, HR, and business units to understand IAM requirements and ensure alignment with organizational goals across global and regional teams.

AIガバナンス室は、AIシステムの提供・活用を安心安全なものとする仕組み・技術を提供し、当社グループのD&Iビジネスの拡大に貢献することをミッションとしています。
そのなかでもAIに関わるリスクマネジントをメインミッションとし、当社グループのグローバルレベルでのAIガバナンスを主導しています。

具体的には、採用時点での業務優先度やご本人の意向を考慮した上で、下記のいずれかの業務（複数の場合あり）を担当いただきます。
・グローバルレベルでのAIガバナンス体制（Global AI Governance CoE）の運営
・当社グループにおけるグローバルのAIガバナンスポリシー、ルール、ポリシーの整備
・当社におけるAI関連プロジェクトに対するAIガバナンス観点からのコンサルテーション
・グループ会社におけるAIガバナンス運用のサポート
・AIガバナンスの運用高度化を実現するITシステムの検討・構築
・当社社員に対するAIガバナンス観点からの教育施策の企画、実行
・政府、業界団体における連携活動、外部発信

【アピールポイント（職務の魅力）】
＜伸ばすことのできるスキル＞
・最新のAI・データ活用ユースケースに関する知見
・最新のAIリスクマネジメント、AI品質マネジメント手法
・グローバルコーポレートスタッフとして、経営層の経営方針を成長戦略及び戦術に落とし込み、グループ全体に展開する企画立案・推進力
・グループ内外の様々なステークホルダとの連携を通じた高度な調整能力

【働き方】
・勤務形態は出社とリモートワークのハイブリット型です。また、当社のコーポレート組織は一つの大部屋フロア内でフリーアドレスとなっており、上下関係・横関係ともに垣根なくフレンドリーにコミュニケーションを図る職場風土ですので、活力豊かにフレキシブルに働くことが可能です。ただし、海外関係者との会議などでは、早朝、深夜、休祝日の対応をお願いする場合があります。
・育児休職（男性の取得実績あり）、育児・介護による短時間勤務、育児休職からの復帰率100％等、勤務時間と場所の自由度が高く、ライフステージに合わせたワーク・ライフ・バランスが取りやすい職場です。

【チームの魅力】
AIガバナンスはAIに関わる技術だけでなく、法務、知的財産、リスクマネジメント、情報セキュリティなど多岐にわたる専門性が必要となる領域です。
その中でAIガバナンス室では様々なバックグラウンド・専門性を持つメンバが協業し、チーム一丸となって当社AIガバナンス施策に取り組んでいます。AIガバナンス室に配属されチームで業務を行う中で、AIに関わる様々な知識・技量を身につけることが出来ます。

【メッセージ】
「ガバナンス」というとお堅いスタッフ仕事といったイメージがあるかもしれません。ですが、生成AIをはじめとするAIビジネスを推進する上で、AIガバナンスは事業を推進するためのドライバであり、AIビジネスの成否を左右すると言っても過言ではありません。実際に我々の活動は、社内のルール作りだけにとどまらず、最新のAI・データ活用の技術動向調査、社会の流れを変えるための社会・マーケットへの積極的発信など、多岐にわたります。また、業務にあたっては、グローバルも含めて非常に多くのメンバと協業しています。

AIガバナンス室は2023年4月に設立された新しい組織です。新しい組織だからこそ、組織ミッションである「安心安全なAIシステムの実現、提供」につながる仕事であれば、どんどんテーマを挙げて自由に取り組んでもらいたいと考えています。正解の無い中で、粘り強く当社グループのAIガバナンスのあるべき姿を一緒に検討し、「攻めのAIガバナンス」を実現する仲間をお待ちしています！

◆情報セキュリティ体制の構築
リスクマネジメント本部の総合リスク管理部（2線）において情報セキュリティ体制の構築に力を発揮していただきます。

金融分野などでは、現場の「1線」に対して牽制/支援を行う「2線」、そして1線・2線を監査する「3線」という概念が一般的です。このポジションは「2線」において情報セキュリティに関する管理職として、事業系システム、社内OAシステムなどを所管する「1線」に対して、牽制/支援する人材を募集いたします。

「1線」を牽制するだけではなく、一緒に知恵を出し（支援）、ときにはその旗振り役として様々なシステムリスク（サイバー攻撃、障害、BCPなどを含みます）に主体的に取り組める方を募集いたします。「2線」としての業務経験がなくても、「1線」での知識を活かし、新たに2線としてチャレンジして行きたいという方も大歓迎いたします。

◆業務の具体例
・金融庁/経産省ガイドライン、FISC、PCIDSS、当社グループ情報セキュリティ基準など、各種ルールへの準拠状況を「1線（外部委託先を含みます）」からの情報を元にFIT＆GAP分析し、万が一GAPが見られた場合には、速やかにその対応を1線、経営陣と協議します。
・「経済安全保障推進法」の事業者指定を控え、経産省との折衝準備、折衝等を進めていただきます。
・内部関係者が誤操作等により重要情報を漏えいさせないよう、人の眼による牽制だけではなく、システムを最大限（外部商品の選定を含みます）に活用し、これらリスクを最小化するために何ができるのかを検討します。
・外部からのアタック、フィッシング、なりすまし等について、外部の専門家の情報を踏まえ、短期/中長期の視点で、今後システム面で何をすべきかを検討します。

◆ポジションの魅力
・金融事業会社ならではの厳格な関係省庁や関連法令など各種規制・ルールへの対応をする中で、より高度な知見と対応力を習得することが出来ます。
・「経済安全保障推進法」の事業者指定を控えておりますので、経産省との折衝準備、折衝等、滅多に得られない経験を積むことが出来ます。
・上述のような経験を経ることで市場でより貴重な「情報セキュリティ人財」としてご自身の評価と価値向上に繋がります。

●組織のミッション
リスク対策の専門組織として、規制対応、情報管理、システムリスク管理、AML対応などを的確に行い、当社が注力する金融決済サービスの着実な発展・拡大をサポートする
お客様に安心して利便性の高いサービスをご利用いただくことを共通目標とする

●組織の業務概要
組織：
グループの金融事業におけるリスク対策（態勢の構築・運用）
チーム：
金融・決済サービスの主管部門（第1線）から独立した第2線組織として情報セキュリティ観点でのルール整備やモニタリングによるリスクマネジメントの実施

<担当業務>
金融領域における戦略・統括業務
・2線、1.5線、1線の業務・役割・責任の整理
　−社内の各種規程類の整理
　−社内セキュリティ関連各部との連携体制構築　など
・リスクマネジメント業務のツール整備
　−問い合わせ窓口機能、事案管理、チケット管理など
・会議体の設置・運営
・全社PT、金融・決済サービスに関する規程外対応、例外対応
・当局対応、幹部対応
　−新セキュリティガイドラインへの対応に向けた企画・展開含む
・社員向け訓練の企画・実施
　−メール訓練など訓練・教育による社員のセキュリティアウエアネス向上、演習企画（TLPTによるレッドチーム訓練、内部での机上訓練など）
・サービス企画/開発段階でのセキュリティ観点助言・審査

<業務の魅力>
・我が国有数の顧客基盤をもつ企業で、通信事業と並んで社会的影響力があり、事業の中核となる金融・決済事業に携わることができる。
・グループとして取り扱う金融・決済サービスは、クレジットカードやQRコード決済の他、資金移動、融資、保険、投資など多岐にわたり、多様な経験を積むことができる。
・QRコード決済など、業界全体としてまだ確たる基準がないサービスにおいては、官民協力しての新規のルール作りなどにも従事できる。
・スペシャリストとして、自由な発想で自身の能力を更に伸ばし、事業の発展と共に成長することが可能。

●組織のミッション
リスク対策の専門組織として、規制対応、情報管理、システムリスク管理、AML対応などを的確に行い、当社が注力する金融決済サービスの着実な発展・拡大をサポートする
お客様に安心して利便性の高いサービスをご利用いただくことを共通目標とする

●組織の業務概要
組織：
グループの金融事業におけるリスク対策（態勢の構築・運用）
チーム：
金融・決済サービスの主管部門（第1線）から独立した第2線組織として情報セキュリティ観点でのルール整備やモニタリングによるリスクマネジメントの実施

<担当業務>
金融領域における戦略・統括業務
・2線、1.5線、1線の業務・役割・責任の整理
　−社内の各種規程類の整理
　−社内セキュリティ関連各部との連携体制構築　など
・リスクマネジメント業務のツール整備
　−問い合わせ窓口機能、事案管理、チケット管理など
・会議体の設置・運営
・全社PT、金融・決済サービスに関する規程外対応、例外対応
・当局対応、幹部対応
　−新セキュリティガイドラインへの対応に向けた企画・展開含む
・社員向け訓練の企画・実施
　−メール訓練など訓練・教育による社員のセキュリティアウエアネス向上、演習企画（TLPTによるレッドチーム訓練、内部での机上訓練など）
・サービス企画/開発段階でのセキュリティ観点助言・審査

<業務の魅力>
・我が国有数の顧客基盤をもつ企業で、通信事業と並んで社会的影響力があり、事業の中核となる金融・決済事業に携わることができる。
・グループとして取り扱う金融・決済サービスは、クレジットカードやQRコード決済の他、資金移動、融資、保険、投資など多岐にわたり、多様な経験を積むことができる。
・QRコード決済など、業界全体としてまだ確たる基準がないサービスにおいては、官民協力しての新規のルール作りなどにも従事できる。
・スペシャリストとして、自由な発想で自身の能力を更に伸ばし、事業の発展と共に成長することが可能。

●システムリスクアセスメント：

当社のシステムにおけるリスクアセスメントレビュー。
システム障害やリスクアセスメントで生じた問題の調査・分析・報告。
残存リスクに対する提言等。
●監査対応：

システム監査の対応。
システムから監査部門への監査事項におけるフィードバック。
監査に準拠したマニュアル制定・改定
システム本部内の牽制部門的立ち位置で業務を推進いただきます。

※基本的にはフルリモートでの勤務となりますが、年に2~3回（1回2~3日）、監査の時期にオフィスでの作業が発生するため、出社が必要となります

当部署のミッションとして以下を掲げています。
・システムリスク管理態勢の整備・高度化（PDCAサイクルの実施）を通じて、リスクを許容レベルまで低減させる
・システムリスクに関する理解を向上させる取り組みを通じて、事業部門（1stライン）による主体的・自律的なリスク管理を促す
・その結果、強固なリスク管理を企業文化として醸成させ、グループのビジネス目標達成と持続的成長に貢献する

●業務内容：
＜システムリスク管理に関する企画推進＞
・全社サイバーセキュリティ管理態勢の成熟度向上に向けたプログラムの企画推進
・システムリスク管理フレームワークの企画/実施
・サイバーセキュリティ/システムリスクに関連した各種メトリクスの管理
・サイバーセキュリティ/システムリスクに関連したポリシー/スタンダードの整備及び遵守状況のモニタリング
　
＜システムリスクの評価及び改善＞
・EUC/クラウドを含めたITシステムに対するリスク評価
・リスク低減のための対策検討及び実施（社員への意識啓発や教育を含め）

＜ＩＴコンプライアンス関連事項の企画および推進＞
・SOX、法令、金融庁など各種ITコンプライアンス関連事項対応のための企画と推進

Job/Group Overview：
私たちは業界のリーディングカンパニーとして国内の金融機関の中で圧倒的なグローバルプレゼンスを持つ当社グループで、ビジネスをテクノロジーの力で変革するエンジニアチームです。
Japan Business Serviceグループは、当社の国内部署やグループ会社向けアプリケーションをアジャイル手法で開発するコーポレートITに所属しており、最先端のテクノロジーを駆使しながら、Made in Japanの品質でスピード感のあるアジャイル開発を行っており、ビジネスと一体となったDXの推進に貢献することが期待されています。
エンジニアは、担当や役割を固定することなく様々な内製開発やプロジェクトに携わっています。チーム内のコミュニケーションは主に日本語ですが、多国籍なメンバーで構成されており、英語を使う場面もあります。

本ポジションは、ITインフラストラクチャー部のリスク管理者として、ITシステムや情報資産を保護するための適切なリスク管理措置を監督する重要な役割を担っています。具体的には、リスクの早期発見、コントロールフレームワークの遵守、そして組織内でリスクベースの文化を推進することが求められます。
また、本ポジションでは、部内のサービスオーナーや関連IT部署と協力して、オペレーショナルリスクマネジメント（ORM）、内部監査チームとの効果的なコミュニケーションが求められます。データ分析に基づき、非遵守問題や原因を調査し、適宜リスク登録および是正計画の管理も含みます。

理想的な候補者は、金融機関や厳しい規制環境下において、リスク管理の十分な経験を持ち、現代のエンタープライズITプラットフォームに関する深い知識を有している方です。また、優れたガバナンス、プロジェクト管理、コミュニケーションスキルを持ち、業界標準のリスク管理や監査に関する資格を有していることが理想です。

Responsibilities：
・リスクの自主的かつ早期な発見: サービスオーナーと連携し、リスクを早期に特定して潜在的な脅威を軽減するためのコントロールフレームワークを実施します。データ分析に基づき、個別および体系的な問題を検出し、非準拠の課題を明らかにします。
・リスク文化: リスクベースの文化を醸成し、リスク評価が意思決定を導きます。
・責任とコミュニケーション: プロダクトオーナーにリスクおよび内部監査に関する責任を持たせ、運用リスク管理チーム（ORM）、監査チーム、その他のIT部門との明確なコミュニケーションを確保します。リスクプロセスを円滑に遂行し、アクションオーナーを明確にします。
・リスク登録: リスク登録の管理および監督、是正計画の透明性とレビューにより、内部監査に対応します。
・監査指摘事項の是正: アクションオーナーが是正活動について責任を持ち、コミュニケーションと報告の透明性を確保します。是正計画の「進捗を監視し、期限切れの可能性があるアクションについて適宜マネジメントへ報告します。
・ガバナンスと情報交換: 堅固なガバナンス構造を確立し、他IT部署との情報交換を促進します。ITガバナンスフォーラムに参加し、主要な指標のレビューを通して非準拠項目を特定し、是正措置を促進します。特定されたコントロールギャップは、ORMの要件に従って、記録および是正されること担保します。

・金融システムリスク管理規程類、付随ドキュメントの制定、管理
・金融システムの開発案件のリスク評価
・開発工程のモニタリング、開発モニタリング項目、手順書の改善
・金融システムのリスクアセスメント、フォローアップ
・金融システムの障害管理、分析
・1線組織に対する説明会/勉強会の企画、運営

<業務の魅力>
・当社の強力な顧客基盤を活かした金融・決済サービスに関わる事ができるため、社会に大きなインパクトを与える業務に従事できる
・当社が提供する金融・決済サービスの幅広い業務・システム知識を身に着ける事ができる
・決められたプロセス・ルールに従うだけでなく、自分自身で新たなプロセス・ルールを構築する事が出来る

IT戦略部は、(1) IT戦略や情報システムの中長期計画立案業務、ITファイナンスに係る全般業務の統括、(2) 情報セキュリティ、システムリスクやITガバナンスに係る全般的な業務、(3) AIなど新しいテクノロジーの社内活用に関する業務を所管しています。
その中で、主に(2) 情報セキュリティ、システムリスクやITガバナンスに係る全般的な業務について企画・立案から実行までご対応いただきます。その上で、本人の希望に応じて業務範囲をIT戦略部の他所管業務に広げていくことも歓迎しています。

【職務詳細】
●情報セキュリティ管理全般の企画・立案・実施として下記の業務
1. セキュリティに関する施策・ソリューション導入の企画・実行
2. セキュリティに関する教育・訓練の企画・実行
3. CSIRTの管理・運営
4. セキュリティ機器に関するログ管理・調査（SOC運用）

●システムリスク管理全般の企画・立案・実施として下記の業務
1. 情報システム・情報資産に関するリスクアセスメント
2. システム障害管理および原因・傾向分析、再発防止策の策定支援
3. 外部委託先管理（選定時評価・定期評価など）

●ITガバナンス管理全般の企画・立案・実施として下記の業務
1. システム監査対応
2. IT関連・情報セキュリティ関連法令・規制への準拠対応
3. システムリスク・セキュリティ関連規程・ガイドラインの整備

【環境】
・ネットワーク機器： Cisco製品（L2, L3, ASA）、Paloalto、A10、BigIP
・サーバ： Linux、Windows、VMware、HCI
・セキュリティ：CrowdStrike、Taegis(SOC)、InterSafeCat、NetSkope、Tenable、ImpervaWAF
・ミドルウェア：Squid、Apache、Tomcat、Hulft、JP1
・データベース：Oracle、PostgreSQL、SQL Server、MySQL、MariaDB、DynamoDB, RDS（MySQL)
・クラウド： AWS（EC2、ALB、Cloudfront、Route53、VPC、S3、RDS、GatewayAPI、Lambdaなどサーバ/サーバレスの公開系システム環境）
・言語：Web Frontend JavaScript/Backend Java
・フレームワーク：Web FrontendVue.js, Nuxt.js, Node.js/ Backend Spring Boot, Serverless Framework
・インフラ：Web Frontend：CloudFront, S3 / Backend：API Gateway, Lambda, Anypoint Platform

【ポジションの魅力】
・ネットワークエンジニア、アプリケーションエンジニアの経験を保有されている方で、キャリアアップしてセキュリティ領域にチャレンジされたい方、歓迎します。
・金融機関のセキュリティエンジニアとして、経営に直結する大きな取り組みを担って頂きます。

当社のIT統括部にて、サイバー・情報セキュリティ関連の戦略策定、施策の企画・実行、管理態勢整備等にご従事いただきます。セキュリティに関する当グループの統括部署として、上流の企画立案・実行、グループ会社の進捗・課題等の管理業務や各種調整等のフォローアップ業務を中心にお任せする想定です。また、当社は金融持株会社という組織形態であることから、フィナンシャルグループ全体を俯瞰した超上流フェーズのセキュリティ戦略企画にもご従事いただくことが可能です。

＜業務の具体例＞
●セキュリティ戦略のグランドデザイン、ロードマップ開発
●各種KPI及びアクションプランの策定・管理
●グループ会社のセキュリティ関連の取組に関するリスク評価
●グループ各社共通のセキュリティガイドライン等の制定・改廃
●セキュリティソリューションの導入・運用管理
※上記は一例です。ご本人の適性、ご経験、ご希望を考慮して業務をアサイン致します。

具体的には下記業務内容を想定しています。
●システム障害への対応力強化（コンティンジェンシープランの定着化・実効性強化、障害発生の真因分析、障害未然防止策の策定)
●システム部門のオペレーショナル・レジリエンス強化施策の企画・立案・推進
●システム障害発生時の復旧サポート（経営陣・業務部門⇔システム部門間の円滑な情報連携、社内外向け報告資料作成等の後方支援）

【配属予定部署】
システム企画部 企画グループ

【配属予定部署_詳細】
当行及びフィナンシャルグループ全体のIT戦略策定や資源運営の中枢を担い、様々なIT企画を立案・遂行します。

【魅力・やりがい】
経済活動を根底から支える金融システムには、最高レベルの堅牢性・信頼性が求められます。顕在化したITリスクに対応しつつ、未然防止策を企画・立案・推進する業務は高難度ですが、スケールの大きさや社会貢献性の高さは他の企業にない魅力であり、ITリスク管理のプロとして成長するまたとない機会です。

【想定キャリアパス】
ITリスクのプロフェッショナルとしてキャリアを重ねていくことを想定しています。将来的にはマネジメントとして同業務をリードしてもらうことを期待します。また、同業務の経験を活かし、他のIT関連業務やIT以外のリスク管理業務、業務部門側のIT/リスク管理担当者などにチャレンジすることも可能です。

（80%）システム導入時におけるリスク評価関連業務における審査担当
（20%）その他個別案件、ガバナンス関連業務担当

●アピールポイント
リスク評価業務では、当社グループが利用・構築する多様なITシステムに対して、グループ統一の基準による審査業務をご担当頂きます。
本業務では、社内システム部門に籍を置きながらも、当社がお客様にお届けする、AWS等のパブリッククラウド中心の最先端システムに触れるという貴重な経験に恵まれます。また審査のためのリスク評価基準の構築改善など、企画業務にも携わる幅広い経験ができます。

業務上必要な連携としてCyberグループと情報交換や育成プログラムも準備あり、当社グループにおけるサイバーセキュリティ施策や導入に関する技術情報、最新のテクノロジに触れる機会も得られます。

AWS等のパブリッククラウドを中心にインフラシステムの企画開発経験があればサイバーセキュリティに関する経験は必須ではありません。
インフラエンジニアやシステム企画人材としてキャリアを歩んできたが、新たにサイバーセキュリティ領域に挑戦したいという方、大歓迎です。
一方でサイバーセキュリティ領域の経験者であれば、これまでの経験を生かしたセキュリティリスク評価やセキュリティアーキテクトとして、さらなるスキル向上を目指すことが可能です。
Azureのクラウドスキル経験等ITインフラのケーパビリティがあれば、ぜひ、ご応募ください。メンバーは全員サポーティブですので、すぐになじんで頂けるものと思います。

●英語の使用頻度
英語資料、メールのやり取り（会話は尚可）

●従事すべき業務の変更の範囲
変更の範囲　会社の定める職務

【システムリスク管理部の位置づけ】
・自社で管理する情報システムに障害が起きないよう適切に管理されているか検証・改善指摘し、システムの安定化を図るために、全社にまたがるシステムリスク管理を行います。

【主な業務／役割／職責】
システム障害のリスクを管理し、システムの信頼性・安全性を確保することで、会社業績へ貢献します。

お客様に影響するシステム障害を抑制するために、発生したシステム障害の根本原因を掘り下げ、改善策を立案/組織へ周知することでシステム障害の耐性能力を高める職責です。1.5線として1線である開発や運用側を牽制する重要なポジションです。

主担当として、以下の職責を果たすことが期待されています。
・再発防止策の有効性確認および対策完了までの管理業務
・システム障害の傾向分析と改善提案
・障害管理チームのマネジメントまたはそのサポート


◆変更の範囲: 会社の定める業務。出向を命じられた際は、出向先が定める業務。

IT管理課リスク&コントロールGは、テクノロジーオペレーションをサポートするための全体的なテクノロジーガバナンスとコントロールフレームワークを提供しています。チームの目的は次のとおりです。
　
・全体的なシステムリスク管理フレームワークと関連するコントロールを定義する。
・システムリスク管理フレームワークへのコンプライアンスを確保し、コントロールフレームワーク/コントロールが堅牢であることを保証するために、適切なガバナンスを定義して実装する。
・ガバナンスフレームワークを遵守するために、地域およびグローバルなテクノロジーコントロール環境を維持および監視する。
・テクノロジー管理、内部および外部監査、規制当局、コンプライアンスおよびリスクコントロールの要件を確実に満たしながら、効率的かつ効果的に運用できるように、適切なコントロールの運用を促進する。
・コントロールを強化する必要がある場合は、監視および改善支援する。
・ガバナンス、リスク、コントロールのベストプラクティスについて、スタッフに助言する。
・年1回のSOX監査のIT部門を監督する
・規制に関する問い合わせとIT部門の検査に直接対応する。
・内部監査のレビュー/監査を支援する。

Responsibilities：
・当社グループのITリスク&コントロール業務を担当します。これには、グローバルに運用されているコントロールのグローバルな監視も含まれます。
・グローバルなITポリシーと標準の構築とレビューをサポートし、IT運用のコンプライアンスを監視します。
・必要に応じて、ITポリシー、手順、標準、およびプロセスドキュメントの作成を支援します。
・既存のプロセスと手順を積極的にレビューし、改善のための提案を行います。
・ITリスクコントロールライブラリ内で定義されたコントロールのコントロールテスト、モニタリング、および保証レビューをサポートします。
・ポリシーおよび標準の所有者とグローバルに連携して、コントロールテストの結果を評価し、必要に応じて、合意された修復計画を作成し、例外/アクションの追跡を管理します。
・コントロールテストと保証アクティビティの成熟度を継続的に向上させるように努めます。
・ITリスクアセスメントを実行して、潜在的なリスクを特定し、軽減するコントロールを開発します。
・内部および外部の監査/検査、およびテクノロジ関連の規制評価を調整します。
・ITプロジェクトがガバナンスポリシーとプロセスに準拠しているかどうかを監視します。
・必要に応じて、ラインマネージャーとの議論を行い、DR、ベンダー管理、管理レポートなどの他のITリスクとコントロールのイニシアチブをサポートします。
・ITスタッフの全体的なITリスクとコントロールの認識を向上させる
・グローバルと地域の両方のガバナンスフォーラムの更新と指標の照合を支援する

当社のシステムを利用するすべての方に対して「安全」と「安心」を提供するためにリスク管理の観点から以下の対応を行っております。

システムリスク管理
　・当社システムに対するリスク評価（FISC安全対策基準を用いたチェックリストでの評価、シナリオベースの評価、過去に発生した障害などの対応状況の確認などを踏まえた総合的な評価を実施）
　・外部委託先管理（システム開発を行う委託先の適切性の評価、定期的なモニタリング実施）
　・ASP／EUC管理（業務所管部にて管理するASPやEUCに対するリスク評価、所管部への指導等）
　・システム部門所管規定類の改廃
　・システムリスク管理業務における金融庁との折衝
　・金融庁検査、日銀考査、監査法人による外部監査（J-SOX含む）への対応
　・各種会議体運営事務局

システム障害管理
　・発生したシステム障害の集計
　・原因や再発防止策の策定内容の妥当性評価、対応状況のモニタリング
　・発生したシステム障害の再発防止を図るためのナレッジ共有

サイバーセキュリティ対策
・サイバーセキュリティ対策の企画・立案
・サイバーセキュリティリスクの評価、改善策策定
・当社システムへの脆弱性診断、脆弱性対策の指示
・各種モニタリング（SOC）
・当社員への教育、啓蒙活動
・サイバーセキュリティインシデント対応

システム品質管理
「システムが正しく作られていること」「システムが正しいプロセスを経て作られていること」の両側面からチェックを行い当社システムの品質強化に貢献いただきます。
1）スマホアプリを中心としたテスト自動化を行うためのツールの開発、実行。
　・自動テストの環境構築
　・自動テストシナリオの作成/保守
　・自動テスト実行時のトラブルシューティング
　・自動テスト実行結果の確認
2）テスト自動化に向けた開発部門、ベンダーとの各種調整
3）設計書レビュー　→　STケース作成
4）UX観点での品質診断
5）システム開発プロセスの策定
6）各種工程終了時のレビュー、品質チェック

特徴・魅力
当社のスピード感を損なわずにいかに安全と安心を提供するシステムを維持管理させるか、正解がない業務に対して日々試行錯誤しながら業務を進めています。

強い興味関心、やる気があるかたを歓迎いたします！
専門性を身に着けたい、セキュリティ領域が好き、一つのシステムだけでなく全体としてどのような動きをしていくか幅広く知りたいなど、どんな動機でも構いません。

・サイバーセキュリティ目標の継続的な達成のためのセキュリティ標準、ポリシーガイドライン、および適切なアーキテクチャ原則の設計と実装
・グループのサイバーレジリエンス計画に沿った当社のサイバーセキュリティ対応方針の策定、プロジェクトの計画および推進
・グループ会社のITセキュリティチームとの連携・協力
・ITセキュリティ製品/ベンダーの導入と管理
・CSIRTの統括・運営
　ITセキュリティに関する情報の収集・分析
　ITセキュリティに関する社内研修、ワークショップ、情報発信の実施
　セキュリティインシデント時の情報の編集、分析、および報告
・ITセキュリティ機能の継続的な改善 −
当社におけるITセキュリティにかかる学習および開発計画の策定及び実施（従業員教育、セキュリティチームの育成等を含む）

ITセキュリティ統括部システムリスク統括Gｒにて、システム障害の発生抑制や発生時対応策の企画立案および推進業務を行っていただきます。
また、当部門は3線防衛の中の2線的な役割を担い、進行中の開発プロジェクトに対し牽制する役割を担う重要なポジションです。
リスク評価については金融庁のマニュアルに沿い、年度ごとにフレームワークを作成しています。他にもServiceNow内製化含む、社内のシステム品質管理の高度化や全社に適用するルール作り等にも従事頂きたいと考えております。
このように、常に10PJTが走っており、企画を行いながらも、実務も同時に経験できるハイブリットな環境です。

具体的には
　・ハード面・ソフト面や銀行内外のリスクを考慮した対策　　
　・システム開発の委託等の外部発注にかかるリスクを考慮した対策　
　・災害対策　　
　・障害発生対策
　・ServiceNow内製化
　・クラウド管理強化
　・その他、システム品質管理全般

＜働き方＞
・残業時間：30〜40時間（19時頃に退社している方が多いです）
・テレワーク：週2日程度

＜業務の変更範囲＞
◆原則変更なし。ただし、本人の同意ある場合を除く

＜セキュリティアーキテクチャの高度化＞
クラウドの利用促進やDXの進展に合わせ、新たなリスクや課題に対処するためのセキュリティアーキテクチャーの高度化を図る。
(1)アーキテクチャ文書の整備
(2)ゼロトラストセキュリティの推進
(3)認証・認可の強化
(4)サイバーセキュリティ対策の強化
(5)クラウドセキュリティの推進

＜脆弱性管理の推進と高度化＞
(1)SSDLC（セキュアソフトウェア開発ライフサイクル）の強化
(2)APIセキュリティソリューションの活用
(3)脆弱性のモニタリングと改善
(4)ペネトレーションテストの実施

＜ITセキュリティ管理業務の実施、改善＞
(1)セキュリティ関連社規/ガイドラインの整備
(2)当社情報システム（クラウドを含む）のITセキュリティリスク評価
(3)メールセキュリティ・鍵管理・WAF等に関するセキュリティ管理業務

1.AIガバナンス
　　当社グループ・グローバルのAI関連ポリシーの制定、リスクベースの管理枠組整備、
　　統制デザイン（プロセス・システム・組織）、第3者検証等。
　　当社グループが加入するAIガバナンス協会で産業界の取組発展への貢献も展望。　
2.リスク領域へのテクノロジー活用(AI)
　　社内外事案収集分析、当局規制動向分析、ソーシャルリスニング等のリスク管理活動をAIにより高度化・省力化、予兆捕捉に取り組む。出資先先進企業と協業等もあり。

1.オペレーショナル・レジリエンス
　・自然災害をはじめ、システム障害、テロやサイバー攻撃、感染症等、様々なリスクが
　　金融機関を取り巻く昨今の環境下では、手を尽くしても全てに備えることは現実的には困難。あらゆる対策を尽くしても業務中断が生じることを前提に考えたうえで、金融インフラとしての機能の早期復旧・影響の軽減を図れるように、レジリエンス（復元力）の強化にPDCAで取り組むもの。
2.プロジェクト管理
　・レガシーシステムの複雑化・老朽化に伴うプラットフォームのモダナイゼーション、海外ビジネス展開に伴う標準化等の大規模プロジェクトが複数並行して推進中。プロジェクト成否に大きな影響をもたらす傾向を定量的・定性的に分析、要因を特定のうえ対策枠組みを構築する。