IT Security Engineer – Application Security/ Business Information Security Div. (Assistant Manager ~ Manager)

(English follows)
 

【部署の説明】

情報セキュリティに関するアドバイスとガイダンスを提供し、ビジネスとITの間のギャップを埋めることで、デジタル化を促進・保護し、情報セキュリティの成熟度を向上させることを目指しています。

【職務内容】

ITセキュリティエンジニアは、ビジネスアプリケーションとインフラストラクチャー機器の安全な提供と保守を支援する重要な役割を担っています。ビジネスとセキュリティの適切なバランスを見つけるために、IT内外のパートナーやビジネスと協力することが求められます。また、この役割は国内外の色々なレベルの人々と連携して作業する必要があります。

この役割には以下が含まれます:
•サイバーセキュリティ目標が達成され、達成し続けるために、セキュリティ基準、ポリシーガイドライン、適切なアーキテクチャの設計および実装。
•NNグループのサイバーレジリエンス計画およびサイバーセキュリティロードマップに沿って、サイバーセキュリティプロジェクトの提供の監督、及び推進。
•NNグループのITおよび、ITセキュリティチームとの協力。
•セキュリティのプロセスドキュメントの更新およびレビュー。 またランドスケープの状況の変化に応じて反映更新。
•開発および運用チームと協力し、ソフトウェア開発ライフサイクルの各段階でセキュリティが考慮されるようにする。
•CICDのビルドおよびデプロイプロセスに統合されたSAST/DASTツールを維持。
•ITセキュリティ製品を導入および管理。
•ITセキュリティに関連する情報を収集、分析、可視化。
•技術的および非技術的な利害関係者に対してセキュリティリスクと推奨事項を伝え、ITセキュリティに関する内部トレーニング、ワークショップ、および情報提供を実施。

【入社後の教育・研修について】

NNグループによるOJT研修

【当該業務の魅力】

• リモートワーク（時折、対面での会議やイベントあり）
• 年次有給休暇に加えて、毎年4日のリフレッシュ休暇
• 渋谷駅直結のオフィス

【将来のキャリア展望】

シニアセキュリティエンジニア：より複雑なプロジェクトを担当し、セキュリティイニシアチブをリードし、ジュニアエンジニアを指導し、組織全体のセキュリティプラクティスに影響を与えます。セキュリティアーキテクト / シニアDevSecOpsエンジニア。

【経験・資格】
＜Must＞

• ビジネスレベルの日本語スキル
• ビジネスレベルの英語スキル
• セキュリティプラクティスとツールをDevOps CI/CDパイプラインに統合する専門性を持ち、少なくとも3年のプロフェッショナル経験
• セキュリティテストとコンプライアンスチェックを自動化するためのスクリプトとツールの開発および保守
• 人、プロセス、技術の観点からのセキュリティソリューションと設計に関する明確な理解; セキュリティ技術、コントロール、および評価手法を含む
• 確立された情報セキュリティフレームワークおよび標準（例: NIST, CISなど）に関する知識と、それらを多様な環境に適用する能力
• ITセキュリティ技術システムに関する広範な知識
•ハイブリッドITインフラストラクチャ（サーバー、ネットワーク、オフィスオートメーションシステム等）の構築および運用経験

＜Want＞

• DevOpsの原則、CI/CDパイプライン、および自動化ツール（例：GitLab、Azure DevOps）に関する深い理解
• Kubernetesおよびコンテナ化された環境におけるセキュリティコントロールの管理経験
• IT監査またはITリスク評価の経験
•CISSP、CISM、CISA、CRISCまたはその他の類似の認定資格
• 日本における関連する法的および規制要件の知識と理解
• ITセキュリティにおける最新の手法やトレンドに関する知識
• サイバーリスクガバナンスプロセスおよび指標
• セキュリティ情報とイベント管理ソリューションの運用と管理
• 脅威インテリジェンスプラットフォーム
• レッドチームツールを使用したアプリケーションおよびネットワークペネトレーションテストの手法
• データ損失防止技術
• Windowsデスクトップおよびサーバー環境、UNIX、Linuxを含むプラットフォームセキュリティ
• サードパーティおよびサプライチェーンリスクセキュリティプロセス
• ウェブサイトの開発および運用経験

【業界経験】                
 ・ 生命保険：不問     
 ・ 金融業界：尚可

【待遇/ Treatment】
 ・ 報告先/ Reporting To：ラインマネージャー Line Manager
 ・ グレード/ Grade：G15-G16
 ・ 募集人数/ Open Position Number：1
 ・ 雇用形態/Employment Status：正社員　Permanent Employee
 ・ 受入可能日/Expectation Start date：ASAP
 ・ 勤務地/ Office Location：エヌエヌ生命 本社 ​NN Life Tokyo Head Office
　（東京都渋谷区渋谷2-24-12 渋谷スクランブルスクエア)

【Explanation of division】

We provide advice and guidance on Business Information Security towards the business and bridge the gap between business and IT in order to enable and secure the digitalization and to improve the maturity level of Information Security.

【Job Description】

IT Security Engineer is a key role with responsibility for supporting the secure delivery and maintenance of business applications and infrastructure equipment. Collaboration with other partners within IT and the business to achieve the desired security posture is required to find the right balance between business and security. The role requires to work with people at all levels domestic and international.

The role will include:
• Designing and implementing security standards, policy guidelines, and appropriate architectural principles for the continued achievement of cybersecurity objectives to ensure the firm's cyber security goals continue to be met
• Overseeing and driving the delivery of cyber security projects in line with the NN Group cyber resilience plan and NN Group's cyber cecurity roadmap
• Collaborating and cooperating with the IT Security teams of NN Group IT / NN International
• Updating and reviewing operational documentation to reflect changes in the security landscape
• Collaborating with development and operations teams to ensure security is considered at every stage of the software development lifecycle
• Maintaining SAST/DAST tools integrated into the build and deployment processes
• Implementing and managing IT security products
• Collecting, analyzing and visualizing information related to IT security
• Communicating security risks and recommendations to technical and non-technical stakeholders and conducting internal training, workshops, and information dissemination on IT security

【Education and Training after Joining the Company】

As an experienced candidate, you will be expected to demonstrate your skills and contribute to our team immediately upon joining. Our onboarding process will provide you with an introduction to our way of work, familiarize you with the company structure, and equip you with our toolset. We also look forward to leveraging your external experience and learning from your unique approach to getting things done.

【Selling Points of This Position】

• Remote work (occasional meetings and events on-site)
• 4 days of refresh holiday per year on top of standard annual leave
• Office connected to the Shibuya station

【Perspective of Future Career in this Position】

Senior Security Engineer: Take on more complex projects and lead security initiatives, guiding junior engineers and influencing security practices across the organization. Security Architect / Senior DevSecOps Engineer.

【Qualification (Experience/ Certification)】
＜Must＞

• Business-level Japanese language skills
• Business-level English language skills
• Professional experience with at least 3 years specializing in integrating security practices and tools into the DevOps CI/CD pipelines
• Development and maintenance of scripts and tools to automate security testing and compliance checks
• Demonstrable understanding of security solutions and designs from a people, process and technology perspective; including security technologies, controls and assessment methodologies.
• Knowledge of established information security frameworks and standards (ie NIST, CIS etc.) and their application into diverse environments
• Extensive knowledge of IT security technology systems
• Experience in building and operating hybrid IT infrastructure (servers, networks, office automation systems, etc.)

＜Want＞

• Strong understanding of DevOps principles, CI/CD pipelines, and automation tools (e.g., GitLab, Azure DevOps)
• Experience in managing security controls in Kubernetes and containerized environments
• Experience in IT auditing or IT risk assessment
• Certified Information Systems Security Professional (CISSP), Certified Information Security Manager (CISM), Certified Information Systems Auditor (CISA), Certified in Risk and Information Systems Control (CRISC) or other similar certifications or credentials
• Knowledge and understanding of relevant legal and regulatory requirements in Japan
• Up-to-date knowledge of methodologies and trends in IT Security
• Cyber risk governance processes and metrics
• Security Information and Event Monitoring solutions
• Threat Intelligence Platform's
• Application and Network Penetration Testing Methodologies using Red Team tools
• Data loss prevention technologies
• Platforms security including windows desktop and server environments UNIX, Linux
• Third party and supply chain risk security processes
• Website development and operation experience

【Experience in Industry】                
 ・Life Insurance：Not Necessary
 ・Financial Industry：Better to have

【Treatment】
 ・ Reporting To：Line Manager
 ・ Grade：G15-G16
 ・ Open Position Number：1
 ・ Employment Status：Permanent Employee
 ・ /Expectation Start date：ASAP
 ・ Office Location：NN Life Tokyo Head Office