具体的な業務内容
【在宅可】DevSecOpsエンジニア(せキュリティエンジニア)◆世界最大級の経済メディア「日経」
■配属先について
当社のプロダクトセキュリティーチームは、エンジニア組織を横断するチームとして配置されており、プロダクト開発ライフサイクル全般をセキュア化するための取り組みを行います。 また、個別プロダクトの規模や成長に応じて、セキュリティ目線での助言やイベント開催といったかたちで開発チームをサポートすることもあります。
■業務内容
DevSecOpsエンジニア(セキュリティエンジニア職)として、システム開発の経験を活かして組織のプロダクトセキュリティを高めるための活動に従事いただきます。
<チーム全体の活動>
プロダクトセキュリティチームに所属するメンバーは、案件の特性や担当者のスキルセットに応じて以下のような業務にアサインされます。
・セキュリティレビュー
新規開発案件やセキュリティ要件変更時に、開発チームに所属するエンジニアが設計したアーキテクチャをセキュリティ目線でレビューし、技術的なアドバイスや脅威モデリングを行います。
・セキュリティインシデント対応
プロダクトを横断したセキュリティインシデントや広範囲に及ぶ脆弱性の影響調査が発生した際に、開発チームを支援するために一時的にアサインされます。
・プロダクトセキュリティ関連イベントの運営
不定期にバグバウンティプログラムやセキュリティ対応訓練を実施する際、運営メンバーとしてアサインされます。実際に取り組む内容は、チームの活動状況と担当者のキャリア目標等により半期ごとに決定します。
<DevSecOpsエンジニアの役割>
ソフトウェア開発の知見を活用してプロダクトセキュリティの向上を図ることです。 DevSecOpsエンジニアは、バックグラウンドにプロダクト開発経験やチーム開発経験を持つことが望ましく、他の開発チームがよりセキュアに開発できるよう開発基盤の整備に貢献します。
・SAST, SCAといった開発プロセスにおけるセキュリティを担保するための取り組み
・プロダクトセキュリティ関連OSSや商用製品の調査、PoC、導入プロセスを通じて普及するまでの一連のプロセス
・ソースコードの依存性管理などサプライチェーンセキュリティを担保するための取り組み
・セキュアコーディングのためのガイドライン策定
・クラウドセキュリティ監視基盤の実装や改善
など
チーム/組織構成
その他プロジェクト事例
開発環境
