キャリア採用エントリー Application Form - Experienced Recruiting

このページは、株式会社ステラスのページです。 This page is provided by StellaS Co., Ltd.

IT: Other 【IT】Cybersecurity Analyst - Continuous Testing Associate / Senior Associate 職務内容 Job Description Job/Group Overview： Nomura is a global financial services group with an integrated global network spanning over 30 countries. Japan IT (Information Technology) is a diverse environment with employees of over 25 nationalities, who work on technical support, application development and implementation of system changes for Japan Retail Wealth Management Business and Global Wholesale (Global Markets and Investment Banking). Nomura provides competitive employee benefits, training and upskilling opportunities, and is committed to promoting diversity, equity and inclusion, employee health and well-being. Nomura in Tokyo is looking for an associate to join the Global Cyber Threat Defence team (CTD). The successful candidate will report to Group Head of Continuous Testing who is reporting directly to Group Head of CTD and work closely with other security functions within Nomura at a global level. The core focus of the role is to provide support to the wider CTD function and to build and run continuous cyber security control testing function in CTD. This key role will enable the wider security function within Nomura on both a regional and global level. 野村グループは、グローバル金融サービス・グループとして、世界約30の国や地域にネットワークを有しています。日本のインフォメーション・テクノロジー部門は、25以上の国籍のメンバーが在籍する多様な環境であり、日本のリテール・ウェルスマネジメントビジネス、グローバルホールセール（グローバルマーケッツとインベストメントバンキング）において、テクニカルサポート、アプリケーション開発、システム変更などの業務に従事しています。野村グループは、充実した福利厚生、トレーニングやスキルアップの機会を提供し、ダイバーシティー、エクイティとインクルージョンの推進、従業員の健康とウェルビーイングを重視しています。 野村グループ（東京）では、グローバル・サイバー脅威防御チーム（CTD）のアソシエイトを募集しています。採用された方は、CTDのグループヘッドに直属するContinuous Testing部門のグループヘッド（継続的テスト管理責任者）の下で働きます。また、Nomura内の他のセキュリティ関連部門ともグローバルレベルで密接に連携することになります。 本役割の主な目的は、CTD全体へのサポートを行うことと、CTD内において継続的なサイバーセキュリティ統制テスト機能を構築・運用することです。この重要なポジションは、Nomuraのセキュリティ部門全体をリージョナルおよびグローバルの両レベルで支援する役割を担います。   Responsibilities： ◆ Threat-Led Penetration Testing (TLPT) Design and execute comprehensive TLPT covering infrastructure, applications, people, processes, and technologies using real-world threat scenarios Plan and conduct social engineering tests (e.g., phishing, vishing) Develop and run Red Team/Blue Team exercises and scenarios in coordination with relevant teams Create attack paths and scenarios leveraging threat intelligence Evaluate detection, response, and recovery capabilities through advanced adversary simulation scenarios Conduct penetration tests at both network and application layers Develop multi-stage attack scenarios to assess resilience against sophisticated and persistent threats Propose training and process improvements based on TLPT outcomes インフラ、アプリケーション、人物、プロセス、テクノロジーを対象に、実際の脅威シナリオを用いた包括的な脅威主導型ペネトレーションテスト（TLPT）の設計・実施 ソーシャルエンジニアリングテスト（例：フィッシング、ビッシング）の計画・実施 関連チームと連携してレッドチーム／ブルーチーム演習やシナリオの開発・運用 脅威インテリジェンスを活用した、攻撃パスや攻撃シナリオの作成 高度な攻撃者シナリオを用いたシミュレーションによる、検知・対応・復旧能力の評価 ネットワーク層およびアプリケーション層でのペネトレーションテストの実施 高度かつ持続的な脅威に対する耐性を評価のための、マルチステージ攻撃シナリオの開発 TLPTの結果に基づいて、トレーニングや業務プロセス改善の提案   ◆ Penetration Testing ・Conduct Comprehensive Penetration Tests 　 − Perform internal and external penetration tests on company applications, infrastructure, and network systems to identify vulnerabilities and misconfigurations. ・Develop and Execute Custom Attack Scenarios 　 − Design and execute tailored attack scenarios that simulate real-world threats against the company’s environment to validate security controls and identify gaps. ・Privilege Escalation Testing 　 − Identify and exploit privilege escalation opportunities to assess the impact of compromised credentials and misconfigured permissions. ・Network and Application Layer Testing 　 − Perform testing at both the network layer (e.g., firewall bypass, network segmentation) and application layer (e.g., OWASP Top 10) to uncover security weaknesses. ・Red Team Exercises 　 − Support or conduct red team exercises, including lateral movement, command and control setup, and data exfiltration to evaluate the organization’s detection and response capabilities. ・Test Automation for Penetration Testing 　 − Develop and integrate automation scripts to streamline penetration testing activities and increase test coverage. ・Retesting and Verification 　 − Conduct follow-up testing to confirm remediation effectiveness after vulnerabilities are addressed. ・Technical Reporting and Remediation Guidance 　 − Provide detailed technical reports on findings, including steps to reproduce vulnerabilities, root cause analysis, and prioritized remediation recommendations. ・Tool Selection and Configuration 　 − Evaluate, recommend, and configure penetration testing tools and frameworks to improve testing capabilities. ・包括的なペネトレーションテストの実施 　 − 企業のアプリケーション、インフラ、ネットワークシステムに対する、内部および外部のペネトレーションテストの実行、脆弱性や設定ミスの特定 ・カスタム攻撃シナリオの開発と実行 　 − 企業の環境に対し、現実の脅威を模擬したカスタマイズされた攻撃シナリオの設計・実行、セキュリティ対策の有効性や抜け穴に対する検証の実施 ・権限昇格テスト 　 − 権限昇格機会の特定、資格情報の漏洩や誤った権限設定が与える影響の評価 ・ネットワーク層およびアプリケーション層のテスト 　 − ネットワーク層（例：ファイアウォール回避、ネットワークセグメンテーション）とアプリケーション層（例：OWASP Top 10）でのテスト実施、セキュリティの弱点の発見 ・レッドチーム演習 　 − ラテラルムーブメント、コマンド＆コントロールのセットアップ、データ流出などを含むレッドチーム演習の支援、または実施を通じた組織の検知・対応能力の評価 ・ペネトレーションテストの自動化 　 − ペネトレーションテスト活動の効率化、テスト範囲を拡大するための、自動化スクリプトの作成・統合 ・再テストと検証 　 − 脆弱性に対する対応後、修正の有効性を確認するためのフォローアップテストの実施 ・技術報告書の作成と修正ガイダンスの提供 　 − 発見事項について、脆弱性の再現手順、根本原因の分析、優先順位付けした修正案などを含む詳細な技術報告書の提供 ・ツールの選定および設定 　 − ペネトレーションテスト能力向上のための、テストツールやフレームワークの評価、推奨、設定 ◆ Continuous Testing ・Automate Discovery of New Assets 　 − Develop automated processes to identify new external-facing and internal assets for continuous security evaluation. ・Implement Vulnerability Prioritization Framework 　 − Develop and maintain a risk-based prioritization framework to focus remediation efforts on the most critical vulnerabilities. ・Expand Coverage of Penetration Testing Scope 　 − Continuously identify and onboard additional systems, applications, and infrastructure into the penetration testing scope. ・Security Hardening Recommendations 　 − Provide guidance on configuration and hardening based on penetration test results and observed attack patterns. ・Incident Simulation and Response Testing 　 − Simulate breach scenarios to evaluate the company’s detection and response capabilities and recommend improvements. ・Support Secure Code Deployment 　 − Partner with development teams to ensure secure deployment of code by identifying security risks before production. ・Develop Test Cases Based on Industry Threat Intelligence 　 − Create penetration test cases aligned with emerging threat intelligence and attack techniques." ・新規アセットの自動検出 　 − 継続的なセキュリティ評価を行うための、外部公開資産および内部資産の自動識別プロセスの開発 ・脆弱性優先順位付けフレームワークの導入 　 − 重大な脆弱性への対応に注力できるよう、リスクベースで優先順位付けを行うフレームワークの開発・運用 ・ペネトレーションテスト対象範囲の拡大 　 − システム、アプリケーション、インフラを継続的に特定・追加、ペネトレーションテストの対象範囲への組み入れ ・セキュリティ強化推奨 　 − ペネトレーションテストの結果や観察された攻撃パターンに基づき、設定方法やシステムのハードニング（堅牢化）に関するガイダンスの提供 ・インシデント模擬および対応テスト 　 − 侵害シナリオを模擬し、企業の検知・対応能力を評価した上での、改善策の提案 ・安全なコードデプロイの支援 　 − 本番環境への投入前にセキュリティリスクを特定し、開発チームと連携し安全なコードのデプロイ支援の実行 ・業界脅威インテリジェンスに基づくテストケース作成 　 − 新たに発生する脅威インテリジェンスや攻撃手法に合わせた、ペネトレーションテストケースの作成   ◆ Phishing & Social Engineering Design and execute phishing simulations for employees Conduct targeted spear-phishing tests for high-risk users Validate credential leakage, reuse, and account takeover during phishing exercises Assess attack vectors across multiple channels (email, SMS, chat, etc.) Prepare educational and awareness materials based on test results Develop automated detection and alerting mechanisms for phishing campaigns Propose improvements in phishing response and authentication processes 社員向けフィッシングシミュレーションの設計・実施 ハイリスクユーザーを対象としたスピアフィッシングテストの実施 フィッシング演習中の資格情報の漏洩、使い回し、アカウント乗っ取りの検証 メール、SMS、チャットなど複数チャネルにおける攻撃ベクトルの評価 テスト結果に基づいた教育・啓発資料の作成 フィッシングキャンペーン用の自動検出・アラート機構の開発 フィッシング対応および認証プロセス改善の提案   ◆ Organizational Communication & Cross-functional Tasks Analyze and report on test results and trends; prepare regular reports Evaluate and introduce new technologies and tools Mentor and train junior members locally and globally Manage vendors and supervise their performance Promote organization-wide security awareness and communication initiatives Support HR-related activities such as recruitment, goal-setting, and organizational design テスト結果や傾向の分析・報告、定期的なレポートの作成 新しい技術やツールの評価・導入 国内外のジュニアメンバーの指導・育成 ベンダー管理、パフォーマンスの監督 組織全体のセキュリティ意識向上、コミュニケーション施策の推進 採用、目標設定、組織設計など人事関連業務の支援 登録資格 Requirements Requirements： ＜Required Qualifications＞ Strong interest in cybersecurity, especially in continuous testing of security controls, with proactive learning of trends and threats Deep understanding of continuous security control testing Minimum 3 years of hands-on experience in cybersecurity (or a related field such as penetration testing) Proven ability to manage and execute multiple projects simultaneously with strong planning and analytical skills High standards for personal achievement and a drive to deliver results Excellent teamwork and communication skills, including with diverse and international stakeholders Proficiency with office tools such as Word, Excel, PowerPoint Cybersecurity certifications such as OSCP, OSWE, OSEE or equivalent Experience with security testing tools such as Nessus Business-level English and conversational Japanese proficiency High ethical standards and a strong sense of responsibility サイバーセキュリティへの強い興味（特にセキュリティ統制の継続的テスト分野）、トレンドや脅威に関する積極的な学習意欲 継続的セキュリティ統制テストに関する深い理解 サイバーセキュリティ（またはペネトレーションテスト等の関連分野）最低3年以上の実務経験 複数のプロジェクトを同時に管理・遂行できる能力、および高い計画力・分析力 高い自己目標達成意識と成果達成への強い意欲 多様かつ国際的なステークホルダーとの優れたチームワーク・コミュニケーション能力 Word、Excel、PowerPointなどのオフィスツールの操作スキル OSCP、OSWE、OSEEなどサイバーセキュリティ関連の資格、または同等資格 Nessusなどのセキュリティテストツールの利用経験 ビジネスレベルの英語力および日常会話レベルの日本語力 高い倫理観と強い責任感 ＜Preferred Qualifications＞ Experience with ServiceNow Technical analysis experience (big data analysis, malware analysis, dark web research, etc.) Data analytics skills for reporting and trend analysis ServiceNowの使用経験 技術分析の経験（ビッグデータ解析、マルウェア解析、ダークウェブ調査など） レポート作成や傾向分析のためのデータ分析スキル 勤務地 Location  豊洲

←職種一覧へ / Open Positions  ↑このページの先頭へ / Page Top