【背景と目的】 - 情報セキュリティは、全社的なリスクマネジメントの一環として位置づけられている。 - そのため、障害管理・IT-BCP・監査対応など、システムリスク全体を俯瞰的に捉え、合理的に運用を遂行する体制構築が急務となった。 【作業内容】 - 横断的なリスクマネジメント方針として、経営と連動したリスク統制の仕組みづくりにおける体制設計とグループ展開を見据えた戦略的支援を通じたリスクマネジメント昇華の設計 - 部門横断の統制業務のため、リスクアセスメント設計や監査対応のドキュメント整備および管理レベルの底上げ - CSIRやSIEM/EDR運用の安定化と改善余地の抽出から、現場に即した実務設計 【期待される役割と動き】 [募集人数]：既存領域　2人 　　　　 ：新規領域　1人 〇既存領域においては以下を想定 - セキュリティインシデントの受付、一次対応、調査分析、対応報告 - セキュリティ対策の方針策定やツールの検討と運用評価（SIEM、EDR、脆弱性管理等） - 社内啓発活動の企画・運営（eラーニング、インシデント対応訓練など） - 各種規定、要領、マニュアルの整備および運用支援 - CSIRTメンバーとしての平時・有事の対応 〇新規領域においては以下を想定 - 新規システム導入・開発・委託時におけるリスクアセスメントの検討補助 - システムライフサイクル全体を通じたリスクの可視化と運用検討補助 - 障害管理のグループ各社への浸透の補助 - IT-BCPの整備・訓練の実施補助とグループ各社への展開補助 - 内部統制や監査（システムリスク・情報セキュリティ）への対応窓口補助 - リスク台帳やKPI指標作成の検討と整備の補助 - 本番移行時の評議会の整備へのプロセス整備補助

- SIEM/EDRのログ分析、インシデント対応、脅威インテリジェンスの活用（例：CrowdStrike, Splunk）ができること - インシデント管理、報告書作成、関係部門との連携、NIST CSFやISO/IEC 27035の理解があること - セキュリティ教育コンテンツの設計・実施、行動科学・心理学の知見、社内浸透施策の経験があること - 業務ヒアリング、フロー分析、改善提案、BPMNや業務可視化ツールの活用経験があること - IT-GRC、J-SOX、ISO/IEC 27001、COBITなどの知識、監査対応経験があること - IT-BCPのシナリオ設計・訓練運営、災害対策・事業継続の実務経験があること - リスク分析力、部門間調整力、法令知識、BCP・GRCとの連携ができること - リスク評価手法（FMEA、ヒートマップ等）、業務フローとの連動設計力があること - ポリシー・手順書の作成・レビュー、監査対応を意識した文書構成力があること - KPI設計、体制構築、経営層との折衝、IT戦略・経営企画の経験があること - リスク台帳整備、グループ展開支援、PMBOKやPMP資格、調整力があること - 移行プロセス設計、リハーサル支援、ITIL・DevOps・Change Managementの知識があること - リスクデータの分析・可視化、BIツール（Tableau, Power BI）やPythonの活用経験があること - 【既存領域】においては、上記の必須要件とあわせてサイバーセキュリティ分野のコンサルティングファームかセキュリティベンダーでの勤務経験があること ※必須スキルに対して、〇✕もしくはコメントでご回答よろしくお願いします。