【セキュリティエンジニア】『スタディサプリ』担当／クラウドセキュリティ／DevSecOps／フルリモート可

＜業務詳細＞
オンライン教育サービス『スタディサプリ』の開発・運用に必要なセキュリティ施策の実施をリードしていただきます。
『スタディサプリ』は現在、BtoC/BtoB 領域いずれも AWS 上で動作しており、複数の開発チームでプロダクトを開発しています。

セキュリティはサービスの開発・運用、さまざまなフェーズで意識する必要があり、具体的には以下のような対策を行ってきました。（進行中のものも含む）

・Cloud Security
　- AWS Organization / SSO の導入
　- AWS Account の分離
　- GitHub / AWS / Slack MFA の徹底と違反時の通知
　- AWS WAF の導入
　- ネットワークフォレンジックのための OSS Arkime の導入
　- AWS SecurityHub / GuardDuty の有効化
　- Terraform repository へ tfsec の導入
　- OS やミドルウェアの EOL 対応
・Access Key の廃止
　- Amazon EKS IRSA 導入
　- AWS CodeBuild 導入
　- GCP Workload Identity Federation 導入
　- GitHub Actions OICD Provider 導入
・個人情報保護
　- 個人情報が入りうるデータ・ログへのアクセスを特定端末のみに制限
　- 個人情報が入りうるアプリケーションエラートラッキングサービスの特定情報のマスキング
　- 開発環境へリストアされるデータの個人情報のマスキング
・DevSecOps
　- Renovate / dependabot によるライブラリアップデートの自動化
　- Secretlint による Credential が commit されることを防ぐ仕組み

セキュリティは開発者生産性とトレードオフの関係にあります。
単純にツールやサービスを導入したり、多くのルールで縛るだけでは仕事が増えてしまい、生産性は著しく低下するでしょう。
そのため、今自分たちに必要なセキュリティ施策を見極め、セキュリティと開発者生産性のバランスを考えながら導入する必要があります。

そこで、画一的な正解らしいものを単に導入するのではなく、リクルート全社横断で必要とされているセキュリティ施策と、実際にスタディサプリを開発している開発チームの間に立ち、スタディサプリというプロダクトに必要なセキュリティ施策を見極めます。
最終的には、開発チーム自ら、セキュリティをコントロールできるようリードする必要があります。

これまでは SRE Team がセキュリティに関してもインフラを管理する上でリードしてきましたが、信頼性とは異なる専門性が今後は必要です。
SRE Team が開発組織における DevOps の実現を目指すために自己完結なチームを目指すのと同じ構図で、開発組織が DevSecOps / セキュリティシフトレフトを実現できるような Security Engineering Team が必要だと考え、今回のポジションをオープンしました。

入社された方には、クラウドインフラの運用管理をしている SRE チームと協力しながら、セキュリティに関する課題発見・解決およびセキュリティをコントロールできる能力を開発チームに実装することをリードしていただきます。
志向によっては Security Engineering Team の Engineering Manager を務めていただき、チームを1から作っていくことを期待します。

【仕事の特色】
＜プロダクトの魅力＞
・プロダクトブログ
https://blog.studysapuri.jp/archive/category/Engineering-Native-iOS

＜ポジションの魅力＞
・社会的意義の大きなプロダクトを支えるセキュリティに携われる
・クラウドをサービスを活用し、問題発見から実装まで裁量を持って携われる
・プロダクト開発チームと密に連携し、フィードバックを受けながらセキュリティ施策を実現できる
・始業終業時間の柔軟な調整やフルリモートワークにより、個々人の都合に合わせて働ける

＜職場環境＞
・年間休日：145日（会社休日 140 日＋指定休 5日）
※土曜日、日曜日、国民の祝日等を考慮し、会社カレンダーの定めるところによります。