サイバー脅威を打ち砕け!セキュリティの最前線で戦う、企業を守る盾になろう！◆開発経験者向け／セキュリティ未経験OK

仕事内容

【セキュリティテスト業務】 ABEMAやWINTICKET、Amebaブログなどを展開するサイバーエージェントグループの、 セキュリティテスト(脆弱性診断) を行っていただきます。 対象となるのは、主にWebブラウザ・Webアプリ・スマートフォンアプリです。 診断ツールを利用してシステムに対して攻撃者の視点から様々な疑似攻撃を行い、潜在的な脆弱性を発見し、安全性を徹底的に調査します。 ◼︎脆弱性診断とは?ーーーーーーーーーーーーーー Burp Suiteなどの診断ツールを利用して、システムやウェブサイトに潜むセキュリティ上の弱点(脆弱性)を検出し、診断結果を報告することです。これにより、セキュリティ対策を講じることができます。 ーーーーーーーーーーーーーーーーーーーーーーー 診断の業務は、以下の2つに分かれており、別のチームで構成されています。 【診断クロール業務】 事前にサイト調査や診断項目をリストアップする業務です。 効率的に脆弱性を検出するための準備となります。 【脆弱性診断業務】 Burp Suiteを利用して実際に脆弱性診断を行う業務です。 育成ステップとして充実した研修も用意されており、東京のセキュリティチームと一丸となって、高度な技術が求められる診断にも挑戦できます。 ーーーーーーーーーーーー 【診断実績】 ・ABEMA ・WINTICKET ・Amebaブログ など、年間100件以上のサービスを診断しております。 ーーーーーーーーーーーー 【育成ステップ】 脆弱性診断が未経験の方でも安心して業務に取り組んでいただけるよう、段階的な研修を用意しています。 ①脆弱性の基礎 　脆弱性に関する基礎情報をテキストで習得していただきます。 ②開発研修(やられサイト開発) 　わざと脆弱性を埋め込んだWebアプリケーション(やられサイト)を開発していただきます。 ③やられサイト診断 　脆弱性診断の流れに沿って、自分で開発したやられサイトを診断し、埋め込んだ脆弱性を見つけることで脆弱性診断の流れを掴んでいただきます。 ④並行診断（OJT） 先輩が担当している実際の案件で一緒に診断を行い、先輩が起票したのと同じ数の脆弱性を見つけられるようになったら、Webブラウザ診断としてひとりだち! ーーーーーーーーーーーー 【研修制度・OJTの流れ】 研修期間は 6ヶ月 を想定。 未経験スタートでも半年後には実案件で活躍できるよう、体系的な研修と丁寧なフォローを行っています。 ▼研修期間（6ヶ月のイメージ） 入社〜2ヶ月：基礎研修 ・Web開発の基礎 ・脆弱性の基本知識 ・HTTP／リクエスト／レスポンス／セキュリティの基礎 入社〜3ヶ月：開発実践 ・脆弱性を埋め込んだ Web アプリの開発 ・脆弱性の仕組みを “作る側” の視点から理解 入社〜6ヶ月：OJT（実案件での診断トレーニング） ・Webアプリケーション脆弱性診断（PCブラウザ） ・診断ツールの操作 ・先輩案件に並走して診断スキルを習得 入社7ヶ月〜：独り立ち ・主担当として案件診断を担当 ・スマホアプリ／API診断など、より高度な領域へチャレンジ可能 ーーーーーーーーーーーー 【キャリアパス・成長機会】 診断員として経験を積むことで、Web にとどまらず、モバイルや API、より専門性の高い検査領域にも挑戦できます。 ▼キャリアステップ例 1年目： ・Webアプリケーション脆弱性診断（PCブラウザ） 3年目： ・Webアプリケーション脆弱性診断（Android／iOS／API など高度領域） ※希望・適性に応じて、スマートフォンアプリ診断や API診断、さらには高度な脆弱性検証にも挑戦できます。