- どんな仕事か
-
オンライン教育サービス「スタディサプリ」の開発・運用に必要なセキュリティ施策の実施をリードしていただきます。「スタディサプリ」は現在、BtoC/BtoB 領域いずれも AWS 上で動作しており、複数の開発チームでプロダクトを開発しています。
セキュリティはサービスの開発・運用、様々なフェーズで意識する必要があり、具体的には以下のような対策を行ってきました。(進行中のものも含む)
・Cloud Security
- AWS Organization / SSO の導入
- AWS Account の分離
- GitHub / AWS / Slack MFA の徹底と違反時の通知
- AWS WAF の導入
- ネットワークフォレンジックのための OSS Arkime の導入
- AWS SecurityHub / GuardDuty の有効化
- Terraform repository へ tfsec の導入
- OS やミドルウェアの EOL 対応
・Access Key の廃止
- Amazon EKS IRSA 導入
- AWS CodeBuild 導入
- GCP Workload Identity Federation 導入
- GitHub Actions OICD Provider 導入
・個人情報保護
- 個人情報が入りうるデータ・ログへのアクセスを特定端末のみに制限
- 個人情報が入りうるアプリケーションエラートラッキングサービスの特定情報のマスキング
- 開発環境へリストアされるデータの個人情報のマスキング
・DevSecOps
- Renovate / dependabot によるライブラリアップデートの自動化
- Secretlint による Credential が commit されることを防ぐ仕組み
セキュリティは開発者生産性とトレードオフの関係にあります。単純にツールやサービスを導入したり、多くのルールで縛るだけでは仕事が増えてしまい、生産性は著しく低下するでしょう。そのため、今自分たちに必要なセキュリティ施策を見極め、セキュリティと開発者生産性のバランスを考えながら導入する必要があります。
そのため、画一的な正解らしいものを単に導入するのではなく、リクルート全社横断で必要とされているセキュリティ施策と、実際にスタディサプリを開発している開発チームの間に立ち、スタディサプリというプロダクトに必要なセキュリティ施策を見極め、最終的には開発チーム自らセキュリティをコントロールできるようリードする必要があります。
これまでは SRE Team がセキュリティに関してもインフラを管理する上でリードしてきましたが、信頼性とは異なる専門性が必要です。SRE Team が開発組織における DevOps の実現を目指すために自己完結なチームを目指すのと同じ構図で、開発組織が DevSecOps / セキュリティシフトレフトを実現できるような Security Engineering Team が必要だと考え、今回ポジションをオープンしました。
入社された方には、クラウドインフラの運用管理をしている SRE チームと協力しながら、セキュリティに関する課題発見・解決およびセキュリティをコントロールできる能力を開発チームに実装することをリードしていただきます。志向によっては Security Engineering Team の Engineering Manager を務めていただき、チームを1から作っていくことを期待します。
- この仕事で得られるものは
- ・社会的意義の大きなプロダクトを支えるセキュリティに携われます。
・クラウドをサービスを活用し、問題発見から実装まで裁量を持って携われます。
・プロダクト開発チームと密に連携し、フィードバックを受けながらセキュリティ施策を実現することができます。
・始業終業時間の柔軟な調整やフルリモートワークにより、個々人の都合に合わせて働けます。 - 求められるスキルは
- 開発のスタイルは
-
開発環境 面接時にご確認ください。
- 雇用形態は
- 正社員
- どこで働くか
- 東京都
- 勤務時間は
- フレックスタイム制
標準労働時間帯:9時00分~18時00分
休憩時間:60分
時間外労働:有
※1日の標準労働時間は8時間としますが、出・退勤時間は、各自の職務内容と自由裁量に委ねています。 - 給与はどのくらい貰えるか
- 663万円 ~ 1149万円
- 待遇・福利厚生は
- 健康保険・介護保険・厚生年金保険・雇用保険・労災保険
深夜・休日勤務手当、追加割増手当、通勤交通費(当社規定による) ほか
社員持株制度・育児休職制度・介護休職制度・退職金制度 - 休日休暇は
- 年145日(会社休日 140 日+指定休 5日)
※土曜日、日曜日、国民の祝日等を考慮し、会社カレンダーの定めるところによる。
年末年始、夏季、GW、出産育児休暇、ケア休暇、転勤休暇、海外出張調整休暇、公傷休暇、慶弔休暇、産前産後休暇、看護休暇、介護休暇、裁判員休暇など - どんな選考プロセスか
