セキュリティエンジニア(事業チーム内)

■ミッション

エムスリーの各サービス・アプリケーションの開発チームにおいて、エンジニアとして開発を行いつつセキュリティの向上に取り組みます。

■担当事業、サービス

サービスの開発チーム内部に参加し、セキュリティを中心としたエンジニアリング全般への貢献を行っていただきます。

■担当業務

個々の開発チームに所属し、アプリケーションの要件・構成を深く理解した上で広義のセキュリティ面を改善し、機密性と開発生産性を高いレベルで両立させます。 例として以下の業務が挙げられます:

  • ミッション新規サービス開発時のインフラの設計・構築・運用
  • 既存サービスの設計・機能・インフラのセキュリティ面の弱点の発見・改善
  • スキャンツール(QualysGuard やコンテナのスキャナ等)やクラウドのマネージドサービス(AWS GuardDuty, Config 等)の導入・活用

上記にとどまらず、サービスの本質的な課題や成長のために必要な打ち手を自発的に打つことが期待されます。 またセキュリティ技術のみならず、プログラミングや要件定義それ自体への貢献も大いに歓迎されます。

■技術スタック
  • 環境: AWS, オンプレミス, GCP
  • アプリケーション技術: Kotlin (Spring Boot), Ruby (Rails), Scala (Play) Python, go 等
  • OS: Linux (システム開発・動作環境), macOS (エンジニア端末)
  • セキュリティスキャン: QualysGuard, Fortify WebInspect
■チーム体制

弊社の多数ある web サービスの多くにおいて、要件調整から開発・デプロイまでを開発チーム内部で行っております。 各チームはおおむね10名程度であり、チームが設計・開発・運用を別け隔てなく担っています。 個々人のスペシャリティなどに応じたチーム間の移動も随時行われています。 インフラとアプリの担当の壁はなく、インフラとアプリケーションの開発・運用・障害対応等を包括的に開発チームが担っており、チーム内で分担しつつ運営されています。

■得られる経験・スキル例
  • 新規サービス・microservice 開発において事業とセキュリティのバランスを保つスキル
  • 既存 Web サービスの要件・ビジネス課題から技術の詳細までを包括的にアセスメント・改善するスキル
  • Web 開発エンジニアやビジネスサイドと直接対話しながらセキュリティ要件と打ち手を作り上げ、実行・推敲するスキル
■応募条件 (必須)
  • いずれかの web フレームワーク・言語によって web サービスを 0 から実装できる能力
  • Web システムにおける一般的攻撃ベクタに対する知識 (OWASP のガイドラインを理解出来る程度以上)
  • OpenID Connect ないし OAuth2 の基本的知識
  • TLS および TCP/IP に対する基本的知識

なお、選考プロセスにおいてプログラミング能力を確認することがあります。

■応募条件 (できれば)

歓迎される経験の例として以下が挙げられます:

  • Web アプリケーションの脆弱性診断・attack surface 分析の経験
  • パスワード、個人情報等の機密性の要件の高い情報の取り扱い経験
  • Web フレームワーク・ライブラリ脆弱性の PoC コード解析およびトリアージの経験
  • クラウド環境における IAM, ACL および各種セキュリティ系マネージドツールを利用する設計・構築・運用経験
  • WAF 等による攻撃検知の設計および運用の経験
  • CTF における一定の実績または出題経験