Senior Product Security Engineer

3ヵ月
この間の給与・待遇等に変わりはありません

【募集背景】
私たちキャディは「モノづくり産業のポテンシャルを解放する」をミッションに、「製造業AIデータプラットフォームCADDi」を展開しています。
2022年にローンチした「製造業データ活用クラウドCADDi Drawer」は、製造業の中でも最重要といわれる図面データを機械学習など様々な技術により構造化し多様な情報と結び付けることで、情報資産としての活用を可能にしました。また、2024年にローンチした「AI見積クラウド CADDi Quote」は、調達部門における見積依頼、見積回収、相見積比較、見積査定までの一連のプロセスをワンストップで管理し、調達改善のためのデータを資産化することを可能にしました。
CADDiは既に国内の大手製造業から加工会社のお客様にまで活用いただいており、T2D3を大きく上回るスピードで成長しています。2023年からは海外（アメリカ・タイ・ベトナム）での販売も開始し、グローバル展開も加速させています。

今後のビジネス拡大やグローバル展開を見据えた際、プロダクト面におけるセキュリティ向上の重要性が飛躍的に高まっており、私たちはプロダクトセキュリティチームを設けています。
このチームで、主にプロダクトセキュリティの強化・推進を一緒に担っていく仲間を募集しています。

【業務内容】
CADDiのプロダクトセキュリティチームは、顧客から預かる機密性の高い図面データやCADデータなど大容量で特殊な知的財産を守りつつ、開発スピードを最大化するためDevSecOpsの推進とセキュリティ基盤の構築と運用を担っています。

本ポジションでは、「セキュリティ領域での実務経験」と「開発チームと伴走できる経験と知識」を求めています。
脆弱性を検知・指摘しレビューし、自らコードを書き、仕組みで解決するチームを目指しています。
セキュリティエンジニアとしての専門経験と、深いアプリケーションの設計・開発・運用経験を重視しています。

【具体的な業務内容】
1．脆弱性マネジメントの自動化と高度化
検知された脆弱性のトリアージ、開発チームへの展開、および修正のトラッキングを通じたリスクの早期発見と最小化を推進しています。

・SCA／SBOMを活用したサプライチェーン・セキュリティの構築と運用
・CSPMを用いたクラウドインフラ（GCP等）の構成不備の自動検知と是正
・検知からトリアージ、修正トラッキングまでのワークフローの自動化推進

2．セキュリティエンジニアリングとシフトレフト
シフトレフトを推進し開発組織全体のセキュリティレベルを底上げします。

・ADR／Design Docに基づく、設計フェーズからのセキュリティアーキテクチャレビュー
・開発者が自律的にセキュアなコードを書くためのガイドライン整備と、AIを活用したレビューシステムの開発

3．検知・応答基盤の構築と運用・インシデント対応力の強化
異常を早期に検知し、万が一の事態に迅速に対応できる体制を整備します。

・SIEM／クラウドネイティブな監視ツールを用いた、異常検知ロジックの設計・構築・運用
・インシデント発生を前提とした、フォレンジック環境の整備やレスポンス・プレイブックのコード化（SOARの検討など）

4．トラストセンター（信頼性の可視化）
顧客や社会に対する「信頼」を技術とプロセスの両面から支えます。

・SOC2等の認証維持を通じたセキュリティ・コンプライアンスのコード化
・顧客の技術審査に対する、技術的裏付けを持ったソリューション提案と信頼構築

【このポジションの面白さ・得られる経験】
▼「守り」を「売上」に変える手応え
製造業の受発注プラットフォームにおいて、セキュリティは最大の競合優位性です。設計が大手企業の受注を決め、事業を加速させることを実感できます。

▼カオスを仕組みに変えるフェーズ
決まった運用を回すのではなく、SBOM管理やAIレビューなど、最新のプラクティスをゼロから選定・実装できる裁量があります。

▼複雑なドメインへの挑戦
巨大なCADバイナリデータや、複雑なサプライチェーン構造など、一筋縄ではいかないデータを扱うための高度な認可設計やデータガバナンスに挑戦できます。

▼高度な技術への挑戦
AIを使ったセキュリティレビューの自動化や、製造業特有の複雑なデータ構造を守るためのアーキテクチャ設計など、技術的難易度の高い課題に取り組めます。

【開発環境】
※下記はプロダクト開発チームの開発環境のため、Security Engineerが利用する開発環境は必要に応じて決定します

フロントエンド：TypeScript、React、Next.js
バックエンド：Rust（axum）、TypeScript、Node.js（Express、Fastify、NestJS）
機械学習・アルゴリズム：Rust、Python、OpenCV、PyTorch、TorchServe、Elasticsearch、Vertex AI
インフラ：Google Cloud、Google Kubernetes Engine、Anthos Service Mesh、Istio、Cloudflare、Argo Workflows
Event Bus：Cloud Pub／Sub
DevOps：GitHub、GitHub Actions、ArgoCD、Kustomize、Helm、Terraform、Datadog、MixPanel、Sentry
Data：CloudSQL（PostgreSQL）、AlloyDB、BigQuery、dbt、trocco
API：GraphQL、REST、gRPC
認証：Auth0
開発ツール：GitHub Copilot、Figma、Storybook
コミュニケーションツール：Slack、Discord、JIRA、Miro、Confluence

【働き方】
▼働く場所について
・リモートワークをベースとしています。
　- メンバー同士の交流を目的として、週1回程度の出社推奨日や四半期に1～2回程度のオフサイトミーティングを設けています。
　- 詳細はチームにより多少異なりますので、面談や面接にてご質問ください。
・中部・関西・九州など、首都圏以外在住のメンバーも複数名活躍しています。
・出社を希望される場合、いつでもオフィスを使っていただくことも可能です。
※働き方にするご質問がございましたら、採用プロセスの中でお気軽にご相談ください。

【必須要件】
・Webアプリケーションの開発経験（5年以上）
・Webアプリケーション開発の高度なセキュリティ知識
・パブリッククラウドの基礎的なセキュリティ知識
・脆弱性やサイバーセキュリティに関する情報収集、および対策に関する知識・経験
・ガイドライン・オペレーションマニュアル等の提案・作成・維持などの実務経験
・PSIRT／CSIRT 等のセキュリティチームでの実務経験
・セキュリティインシデント対応経験
・日本語での流暢なビジネスコミュニケーション能力
　- テキストコミュニケーションやミーティングを含め、ドキュメント作成等の日常業務を日本語で完結できること
　- 例：日本語能力試験N2程度かつ日本語環境での3年程度の就業経験をお持ちである等

【歓迎要件】
・PSIRT／CSIRT 等のセキュリティチームでの実務経験
・自社サービス／プロダクトでのセキュリティに関する実務経験
・脆弱性診断の実務経験
・セキュリティインシデント対応経験
・パブリッククラウドの設計・構築・運用経験
・ビジネスレベルの英語力
・セキュリティ資格
　- Google Cloud Professional Cloud Security Engineer
　- AWS Certified Security - Specialty
　- CISSP
　- CCSP

【求める人物像】
・キャディのミッション「モノづくり産業のポテンシャルを解放する」に共感する方
・本質的な課題に向き合い、当事者意識をもって解決に向けた行動ができる方
・相手のコンテキストや解像度に配慮し、他者をリスペクトする姿勢でコミュニケーションや議論ができる方
・変化が早く不確実性の高い状況において、前向きな姿勢と建設的な議論を通じて業務を遂行できる方
・セキュリティ領域において、日ごろから情報収集するとともに得た情報を昇華して業務に役立てられる方
・未経験の技術や物事に対して貪欲に学び挑戦する姿勢がある方
・チームワークを大事にし、考えやアイデアを積極的に共有できる方
・様々なステークホルダーに対して、セキュリティ施策への合意形成に至るコミュニケーションを行える方
・セキュリティは、「制限ではなくエンジニアリングで解決するもの」という考えに共感いただける方

東京都台東区浅草橋4-2-2D'sVARIE浅草橋ビル　総合受付：6階
最寄駅：【最寄り駅】各線 浅草橋駅から徒歩2分
JR総武本線 馬喰町駅から徒歩8分

想定年収900万円〜1200万円
特記事項：昇給あり　年2回
【給与】
入社時年俸は900万円～1200万円程度を想定
年収を12で割った金額を月額固定給として支給いたします。

コアタイム：11:00〜16:00
特記事項：※働き方にするご質問がございましたら、採用プロセスの中でお気軽にご相談ください。
フレックスタイム制

・完全週休2日制（土日祝）
・年次有給休暇（入社6カ月経過後）・入社時特別有給（3日間）
・夏季休暇（3日間、7～12月で自由に取得可能）
・年末年始休暇（6日間）
・看護・介護休暇（年間4日間まで）※ペットも対象
・リフレッシュ休暇（勤続5年ごとに連続5日）
・慶弔休暇

健康保険,厚生年金保険,労災保険,雇用保険
交通費：交通費実費支給
諸手当：・通勤手当実費支給
・子ども手当（18歳以下の扶養家族1人につき1.5万円／月）
特記事項：【福利厚生】
▼社員同士の交流支援
・部活動支援費（1活動1500円／1名）
・Teaming Offsite費用補助（5,000円／1名、四半期1回まで）
・チーム内交流の食事代補助（2,000円／1名、月1回まで）
・異なるチーム同士の交流の食事代補助（3,000円／1名、月1回まで）

▼成長サポート
・サーバー代補助（1万円／月まで、エンジニアが対象）
・書籍購入支援
・外部研修受講費支給
・ライフイベント・ファミリー支援
・育児休業・介護休業（試用期間終了後から取得可能）
・結婚お祝い金（5万円）、出産お祝い金（10万円）
・引っ越し補助金

▼その他
・PC支給
・健康診断・婦人科検診費用全額補助、人間ドック費用補助
・全社表彰や部署ごとのアワード
・ストックオプション制度あり

【受動喫煙防止情報】
屋内受動喫煙対策：対策あり

学歴不問  英語力を活かせる  即日スタート  経験者優遇  駅から徒歩5分以内  10時以降出社OK  土日祝日休み  交通費支給  社会保険完備  家族手当  育児支援制度  完全週休二日制  リモートワーク（在宅勤務）可  フレックスタイム制（コアタイムあり）  研修・勉強会充実