IT･Web業界で生きるあなたのキャリアを共に創る

株式会社CARTA HOLDINGS											

正社員										

【業務内容】
　各事業子会社やバックオフィスの担当者とコミュニケーションをとりながら、セキュリティリスクに立ち向かうための総合的なサポートをします。サポートの内容については特定の手法に限ることはなく、担当者個人のセキュリティ専門性の強みを活かした方法を選択していただいて構いません。総合力を問われることは前提にありつつも、原則としては、セキュリティ技術の専門性や実務経験を基にした活動が求められます。
　各現場のセキュリティリスクに立ち向かう上で、ICT本部やCTO室によって管理・運用され全社に提供されている基盤や、過去にセキュリティチームが取り組んだ施策とその成果物などを利用できます。例えば、以下のような基盤や情報が存在します。

・認証基盤とシングルサインオン（SSO）：Microsoft Entra ID
・社内貸与端末のエンドポイント監視：Microsoft Defender for Endpoint
・基本的な業務基盤：Google Workspace アプリケーション
・ソースコード管理：GitHub
・主に施策の実行に用いる計算機リソース及びIaaS基盤：Amazon Web Services（セキュリティチーム用アカウント）
・Security Information and Event Management （SIEM）：Sumo Logic
・ツール利用と手動作業を交えたWebアプリケーションセキュリティ診断の実績
　‐ Burp Suite Professional
　‐ Tenable Vulnerability Management （Nessus）
　‐ WPScan
　‐ Trivy
　etc.
・オフィスネットワーク、オンプレミスのActive Directory、業務SaaS基盤などによって構成される社内業務環境のペネトレーションテスト実施と報告実績
　‐ Nmap
　‐ Metasploit Framework
　‐ AdAudit
　‐ John the Ripper
　etc.
・プロダクト開発の中でのセキュリティ脆弱性検知ツール組み込み支援
　‐ Dependabot
　‐ Semgrep
　‐ Dastardly
　etc.
・エンジニア職向け評価制度: 技術力評価会
・ISMS ISO27001 電通グループ認証により取得
など

　また、施策を展開する基盤の構築そのものに取り組む貢献をしていただくのも歓迎です。例えば以下のような基盤を新規に構築することなどが考えられます。
・資産および脆弱性の一元管理のためのダッシュボード、あるいは情報管理基盤
・クラウド業務基盤の利用状況監視やアラーティング、Cloud Access Security Broker （CASB）、Microsoft Defender for Cloud Apps の活用
・セキュリティ脆弱性の検出・デバッグのための知識習得に活用できる「やられ環境」基盤構築
・攻撃者の活動状況を収集し記録するためのhoneypot基盤
など

　以上、ここまで例示したように、業務で扱うセキュリティ技術の領域に制約はありません。
　一連のセキュリティ関連業務には、時に技術以外の面で調整が必要な状況に直面する可能性があります。そのような状況においてはセキュリティチームマネージャーが全力でサポートいたします。また、ICT本部本部長やICT本部担当役員を通じて、経営陣や外部チームとのコミュニケーションをとることで何らかの調整ができる場合もあります。

▼得られるスキルや経験
・多種多様な事業子会社がそれぞれ直面しているセキュリティリスクに、実際の業務遂行の現場に近いところで立ち向かうことができます。かつ同時に、1500名規模のホールディングス全体がスコープとなるセキュリティリスクマネジメントに携わることができます
・事業会社セキュリティの複数の領域に対して業務経験を積む機会があります
　‐ プロダクトセキュリティ強化
　‐ 監視、監査ログ分析、セキュリティリスク分析
　‐ インシデント対応　　など
・企業価値向上に資する新たなセキュリティの専門性を見出し、もし仮にその専門性が自身の得意領域から外れている場合でも、それらを体得する実務経験の機会を作ることができます

▼面白いところ・やりがい
・自身が持つセキュリティ専門性を活かした貢献とは何か？を常に模索し、各人の専門性を軸に成果を創出できる
・企業価値向上を主眼とするセキュリティ、事業推進のための実効性のあるセキュリティ施策を考え、自身の手でそれらに取り組む

【募集背景】
　CARTA HOLDINGS は約20社の事業子会社がそれぞれにオーナーシップを持っており、事業子会社自身が日々状況を判断し意思決定を行いながら事業を運営しています。各事業ごとのフェーズに合わせて成長を加速させる、各事業子会社の強みを伸ばしてゆく、という意味では、CARTA HOLDINGS は非常に効果的で柔軟性のある体制になっていると言えます。
　その一方で、すべての事業子会社を対象とするような横断的で網羅的な統制をとる施策は整っていない部分が多く、課題が残っている状況です。当然、セキュリティリスクマネジメントの文脈においても体制面の都合から上手く取り組めていない事柄が存在し、その結果として表出したセキュリティ上の課題が存在します。
　各事業子会社はそれぞれ多様なフェーズにあり、また多様な社員構成に基づく人員体制になっています。例えば、エンジニアがプロダクト開発チームに所属している会社もあれば、エンジニアが在籍していない会社もあります。開発チームの普段の活動の中でセキュリティリスクの低減策にまで取り組めている現場もある一方で、パートナー会社さんへの外部委託を中心に開発業務を回している現場もあります。ほんの一部の例を取りあげてみても、それぞれの事業と業務環境ごとに置かれた状況に差異があり、弱点となるポイントも異なる状況です。
　ICT本部セキュリティチームは、CARTA HOLDINGS やその配下の事業子会社の日々のセキュリティリスクマネジメントをサポートし、共に取り組んでゆくチームです。弊社ではあくまで事業子会社ごとのオーナーシップや体制のもとに（各種経営リスクと同様に）セキュリティリスクに立ち向かってゆくわけですが、上述した背景の中で触れたように各事業子会社ごとに強みと弱みがあります。我々セキュリティチームは、それぞれの現場で抱える課題を認識し、時にその現場のリスク判断に不足しがちな専門的な知識や情報を提供し、また機を見てホールディングス全体にわたる抜本的な改善施策に取り組みます。
　セキュリティチームが目指す大きな目標は、全社セキュリティリスクの把握と被害予防に努め、そのマネジメントを盤石にすることでCARTA HOLDINGSの企業価値を向上させることです。そういった活動や思想に共感いただける方、特に高度なセキュリティの専門性を基に事業会社の成長や価値向上に貢献したい方を広く募集します。

▼直面している課題
・事業成長のための柔軟さやスピード感を重視した体制を特色とする CARTA HOLDINGS グループにおいて、セキュリティリスクマネジメントや全社統制の課題が表出してきている
・事業子会社やコーポレート本部が各自で取り組むセキュリティリスクマネジメント体制は、その品質や成熟度合いにばらつきがある
・コーポレート全体にわたるセキュリティ施策の展開と運用、組織間の連携

▼目指す方向性
・セキュリティ技術の専門性や経験に基づいて、事業子会社自身によって日々行われているセキュリティリスクマネジメントを支援する
・セキュリティリスクマネジメント支援を通じて、全社のリスク判断の質と再現性を高めることにより、経営の持続性や安定性を向上させる
・セキュリティエンジニアリング活動の目標・目的として、「CARTA HOLDINGS の企業価値の向上」に主眼を置く

【組織】
▼ICT本部全体
約30名

▼チーム構成
情報基盤チーム
ITBPチーム
ヘルプデスクチーム
購買管理チーム
ISMSチーム
セキュリティチーム

また本組織とは別に、セキュリティ委員会を組成しています。セキュリティ委員会は、ICT本部、CTO室、各事業子会社などから選出されたメンバーによって構成され、代表取締役社長やボード（経営会議）へセキュリティにまつわる提言・具申を行う組織です。

【応募要件】
業務内容で例示した活動は非常に広い領域に触れた内容になっていますが、必ずしもすべての領域に深い理解を求めるわけではありません。自身が得意とする領域を軸にした上で、中長期的に業務範囲・専門領域を広げていくことも可能です。

▼必須スキル
・特定のセキュリティ技術分野に強みを持ち、その分野の知識や業務経験を軸とした専門性を備えていること
・企業価値向上に主眼を置いた提案や活動の経験があること

▼歓迎スキル
・事業会社内のセキュリティチームにおける業務経験
・DFIR・バイナリ／ログ解析の業務経験
・監査ログ調査やユーザー行動分析、それらに伴うアラーティング設計
・Webアプリケーション／NWのセキュリティ診断・ペネトレーションテストの経験
・IPAやJPCERT／CC等への脆弱性報告実績
・ISMS構築や改善の経験、ならびにISMS認証審査員資格の保有

▼求める志向・スタンス
・多様な関係者を巻き込んだコミュニケーションを継続してとれる方
・様々なステークホルダーの立場に立って解決策や手法を提案できる方
・自ら考え、課題を見つけ、取り組むことができる方
・役割を限定した縦割り組織のような業務遂行ではなく、様々な専門領域に触れながら総合的なセキュリティ施策に取り組める方
・企業のリスクマネジメント全般と向き合いながら妥当なセキュリティ強化を実施できる方

東京都 港区虎ノ門2-6-1 
最寄駅: 東京メトロ日比谷線 虎ノ門ヒルズ駅から徒歩1分

想定年収900万円～1600万円
.
特記事項: 給与：
年俸制
前職の給与及び、能力・経験を考慮の上決定いたします。
業績により決算賞与別途支給の可能性あり
年2回半期毎の見直し

固定残業代：
・所定外労働45時間および深夜労働15時間相当（204,601円～）を給与に含み支給
・上記を超えた分の割増賃金は別途支給します。

賃金（基本給、定額手当 等）：
ベース給＋固定残業代＋残業手当（45時間超過分）＋諸手当

休憩時間: 60分
特記事項: 標準労働時間：8時間
※9:30～18:30の間を目安に勤務する社員が多いです

スーパーフレックス制度：
※フレックスタイム制が適用される為、始業時刻及び終業時刻については社員の自主的決定に委ねるものとする。
ただし、始業時刻及び終業時刻につき自主的決定に委ねる時間帯は、午前6時から午後10時までの間とする。
フレックスタイム制

健康保険,厚生年金保険,労災保険,雇用保険
交通費: 会社規定に基づき支給、月額5万円まで

特記事項: 【福利厚生】
・通勤手当：会社規定に基づき支給、月額5万円まで
・歯科検診、脳ドック（30歳以上対象）
・ベビーシッター割引
・アップル優待販売
・ローソンチケット
・不動産賃貸・購入割引
・英会話学校割引
・大手広告代理店の契約施設利用可能
・選択制確定拠出年金制度
・キャリア開発プログラム
・オンライン診療を活用した低用量ピル服薬支援制度
・保険（団体割引　GLTD任意保険）
・健康保険：関東ITソフトウェア健康保険組合に加入

【休日休暇】
完全週休2日制（土・日）、祝日、年末年始、年次有給休暇、慶弔休暇、ボーナス休暇、失効年次有給積立休暇

有給休暇（入社月によって以下変動。いずれも終期は12月31日で、翌1月からは次休暇年度となります）
1月～2月入社：14日
3月～4月：12日
5月～6月：11日
7月：8日
8月：6日
9月：4日
10月：3日
11月：2日
12月：1日
入社日問わず、次休暇年度より17日

【社内活性化のための施策】
オフィス内に社内BARを設けています。
18時30分以降はアルコールやソフトドリンクを自由に飲むことができます。
事業会社を超えた交流も活発に行われています。

【環境への投資】
PC：Macbook Pro、Windows、etc から選べます
ディスプレイ：2枚まで追加可能です
席：自席もありますが、それ以外にも仕事できる場所が豊富にあります
リモート：急な用事や災害時など、いつでもリモート可能です
OASIS：社内Library。技術書・ビジネス書・マンガなどが借りられます
※上記は、PC選択を除き出社時の環境となります

受動喫煙対策：
喫煙室設置

【受動喫煙防止情報】
屋内受動喫煙対策: 対策あり
対策: 喫煙室あり
特記事項: 喫煙専用室設置