今回募集するのは、当社“初”となるセキュリティ専任ポジションです。 単一プロダクトの担当ではなく、自社プロダクト・受託開発の両方に関わりながら、 セキュリティを軸にQCD（品質・コスト・スピード）全体を引き上げる役割を担っていただきます。 ■ このポジションの特徴 ・初のセキュリティ専任として、ゼロから仕組みを作れる ・特定プロダクトに閉じない「横断的なセキュリティ設計」 ・自社プロダクト＋受託開発の両方に関与 ・セキュリティを通じてQCD全体に影響を与えるポジション ・2名体制で、大きな裁量を持って意思決定できる ■ なぜ今、セキュリティエンジニアなのか これまでセキュリティは各チームで対応してきましたが、プロダクトの成長・案件の拡大に伴い より体系的にセキュリティを組み込む必要が出てきました。 また当社では、自社プロダクトだけでなくユーザーからの受託開発も行っています。 その中で求められるのは、単なる脆弱性対策ではなく、 ・品質を担保しながら ・開発スピードを落とさず ・コストバランスを意識した 現実的で強いセキュリティ設計です。 この役割を担う“中核メンバー”として、セキュリティ専任を立ち上げます。 ■ 業務内容 ・セキュアコーディングを考慮したアプリケーション開発 ・セキュリティ観点でのコードレビュー ・脆弱性対策の設計・実装 ・セキュリティツール（SAST / DAST / SCA）の導入・運用 ・開発チームへのセキュリティガイドライン策定 ・クラウド環境（AWS / Azure）のセキュリティ設計 ・受託開発案件におけるセキュリティ・品質担保 ■ このポジションの面白さ ・プロダクト単体ではなく「組織全体」に影響できる ・セキュリティ専任の立ち上げを経験できる ・DevSecOpsの設計・導入をリードできる ・少人数（2名）で裁量大きく意思決定できる ・理想論ではなく、現実的なQCDバランス設計が求められる ■ チームについて 現在は2名体制。 ざっくばらんに議論しながらも、技術には非常に貪欲なチームです。 コミュニケーションを取りながら、「どうすればより良くなるか」を常に考え続けています。 ■ 必須スキル 【セキュリティ知識】 ・Webアプリケーション脆弱性の理解（SQL Injection / XSS / CSRF / SSRF 等） ・OWASP Top10 の理解 ・認証・認可の設計経験 ・暗号化（TLS / ハッシュ / 鍵管理）の基本理解 【開発スキル】 ・Webアプリケーション開発経験（3年以上） ・コードレビュー経験 ・Git等のバージョン管理 【セキュリティ対策】 ・セキュアコーディングガイドラインの理解 ・脆弱性対策の実装経験 ■ 歓迎スキル ・セキュリティ診断 / ペネトレーションテスト経験 ・SAST / DAST / SCAツールの利用経験 ・DevSecOpsの経験 ・クラウドセキュリティ（AWS / Azure / GCP） ・セキュリティ資格（CISSP / CEH / 情報処理安全確保支援士） ■ 技術スタック ・言語：Node.js、C#、Java ・フレームワーク：Next.js、Astro ・クラウド：AWS、Azure ・CI/CD：GitHub Actions ■ 求める人物像 ・セキュリティを“部分最適”ではなく“全体最適”で考えられる方 ・開発者と協力して改善できる方 ・セキュリティと開発スピードのバランスを理解している方 ・新しい脆弱性情報をキャッチアップできる方 ■ 最後に セキュリティは、プロダクトだけでなく、開発体制そのものの質を左右する要素です。 「守る」だけでなく、「より良くするためのセキュリティ」を一緒に作りたい。 そんな方とお会いできるのを楽しみにしています。