セキュリティ部署をつくりました
こんにちは、SODAでCTOをしております @rinchsan です。
SODAは2024年10月、セキュリティへの取り組みを次のレベルに引き上げるため、新たにセキュリティ部署を設立しました。この新部署は、以下のチームで構成されます。
- コーポレートセキュリティチーム:ゼロトラストの推進、EDR/MDMの導入・運用、等の領域を担当
- プロダクトセキュリティチーム:プロダクトの脆弱性診断、脅威分析、DevSecOps体制の構築、等の領域を担当
そしてこのセキュリティ部署はCTOが管掌するプロダクト部門の中に組成されており、CTOと一緒に様々なセキュリティ領域の課題に取り組んでいきます。
特にプロダクトセキュリティエンジニアを大募集しています
プロダクトセキュリティエンジニア として専任で動いている人材は現在のSODAにはいません。
ですが、今後プロダクトセキュリティにより注力していくためには優秀な仲間にジョインいただき組織を作っていく必要があります。
SODAは スニダン というサービスを開発・運営しています。
スニダンは、
- MAUが600万人を突破した
- 出品者と購入者の間で取引を行うフリマのプラットフォームを提供している
- 決済情報や配送先なども含むユーザの個人情報を多く管理している
等の特徴があり、ユーザに安心してサービスを利用していただくためにもセキュリティ領域の取り組みの重要度はかなり高くなっています。
SODAのセキュリティ体制のこれまで
これまでのSODAでは、
- Corporate IT部署:ゼロトラストの推進、EDR/MDMの導入・運用、等の領域を担当
- 開発部署内のSREチーム:脆弱性診断、脅威分析、等の領域を担当
のように2つの部署やチームに分かれてセキュリティ関連の取り組みを進めてきていました。
包括的・戦略的にセキュリティに取り組めていない課題
もちろん、脅威分析では会社全体をある程度見る必要もありますし、ゼロトラスト推進では日々の開発フローを理解して進める必要があるため、お互いに日々連携を取りながら進めていました。
ですが、 CSF や CIS Controls などに代表されるセキュリティフレームワークではコーポレートとプロダクトはまとめて取り扱われていることからも分かる通り、 "セキュリティ" という大きな領域に包括的・戦略的に取り組んでいく場合には1つの部署として団結して動いていく必要があると考えています。
そのため、2つの部署やチームに分かれてセキュリティ領域に取り組んでしまっている現状に課題があると考え、セキュリティ部署を立ち上げ、コーポレートセキュリティチームとプロダクトセキュリティチームを組成するに至りました。
何をお任せしたいか
お任せしたい業務内容は プロダクトセキュリティエンジニアの求人票 にも記載がありますが、こちらでもご紹介させてください。
セキュリティ部署として全社を見ながらセキュリティに関する取り組みを包括的・戦略的に進めていく中で、特にプロダクト領域においてセキュリティ関連の取り組みを進めていただきたいと考えております。
下記に簡単な例を並べていますが、これらは一例であり、どんなことに取り組むべきかセキュリティ戦略を描くところから一緒にやっていけると嬉しいです!
- 製品で利用しているOSSなどの脆弱性管理(ツール選定や第三者機関選定を含める)
- ペネトレーションテストによる脆弱性診断の実施・リスク管理・対応(ツール選定や第三者機関選定を含める)
- セキュリティインシデント発生時のインシデントコマンダー
- 日常的にセキュアな開発を進められるDevSecOps体制の構築
- コーポレートセキュリティチームと連携した、セキュリティ体制の構築
一緒にセキュリティに強い組織を作りましょう
興味を持っていただけたら、ぜひお話を聞きに来てください!
現時点での転職意欲などは問いませんので、カジュアル面談として気軽にお話しする機会をいただけると嬉しいです。
株式会社SODAの開発組織がお届けするZenn Publicationです。 是非Entrance Bookもご覧ください! → recruit.soda-inc.jp/engineer
Discussion