Upgrade to Pro — share decks privately, control downloads, hide ads and more …

建設DXを支えるANDPAD: 2025年のセキュリティの取り組みと卒業したいセキュリティ

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for ANDPAD inc ANDPAD inc
March 19, 2026
Technology
250
0

建設DXを支えるANDPAD: 2025年のセキュリティの取り組みと卒業したいセキュリティ

Kiyotaka Ginoza @kiyogino
2026 年 3 月 19 日
Security.any #09 卒業したいセキュリティLT

Avatar for ANDPAD inc

ANDPAD inc

March 19, 2026

More Decks by ANDPAD inc

See All by ANDPAD inc
アンドパッドが提供する Drinks and Local Meals と Drinkup を大公開
Avatar for ANDPAD inc andpad
0
72
小規模 SRE チームで支える、 Atlantis で実現するインフラ管理のセルフサービス化
Avatar for ANDPAD inc andpad
1
68
Go コードベースの構成と AI コンテキスト定義
Avatar for ANDPAD inc andpad
1
220
「もっと正確に、もっと効率的に」ANDPADの写真書き込み機能における、 現場の声を形にしたエンハンス
Avatar for ANDPAD inc andpad
0
1.1k
複数チーム並行開発下でのコード移行アプローチ ~手動 Codemod から「生成AI 活用」への進化
Avatar for ANDPAD inc andpad
0
310
Building the Real World with Ruby
Avatar for ANDPAD inc andpad
0
76
Catch Up: Go Style Guide Update
Avatar for ANDPAD inc andpad
0
340
OSS開発者という働き方
Avatar for ANDPAD inc andpad
5
1.9k
Vue・React マルチプロダクト開発を支える Vite
Avatar for ANDPAD inc andpad
0
210

Other Decks in Technology

See All in Technology
制約を設計する - 非決定性との境界線 / Designing constraints
Avatar for soudai sone soudai
PRO
5
1k
Babylon.js を使って試した色々な内容 / Various things I tried using Babylon.js / Babylon.js 勉強会 vol.5
Avatar for you(@youtoy) you
PRO
0
220
出版記念イベントin大阪「書籍紹介&私がよく使うMCPサーバー3選と社内で安全に活用する方法」
Avatar for KintoTech_Dev kintotechdev
0
140
BFCacheを活用して無限スクロールのUX を改善した話
Avatar for Ryuya Yanagi apple_yagi
0
140
機能・非機能の学びを一つに!Agent Skillsで月間レポート作成始めてみた / Unifying Bug & Infra Insights — Building Monthly Quality Reports with Agent Skills
Avatar for bun bun913
2
770
Sansanの認証基盤を支えるアーキテクチャとその振り返り
Avatar for SansanTech sansantech
PRO
1
150
JAWS DAYS 2026でAIの「もやっと」感が解消された話
Avatar for Makky12 smt7174
1
120
"まず試す"ためのDatabricks Apps活用法 / Databricks Apps for Early Experiments and Validation
Avatar for NTT docomo Business nttcom
1
120
Datadog で実現するセキュリティ対策 ~オブザーバビリティとセキュリティを 一緒にやると何がいいのか~
Avatar for Shuntaro Azuma a2ush
0
190
最大のアウトプット術は問題を作ること
Avatar for ryoAccount ryoaccount
0
280
来期の評価で変えようと思っていること 〜AI時代に変わること・変わらないこと〜
Avatar for estie | エスティ estie
0
140
やさしいとこから始めるGitHubリポジトリのセキュリティ
Avatar for Yuta Matsumura tsubakimoto_s
3
2.1k

Featured

See All Featured
Scaling GitHub
Avatar for Zach Holman holman
464
140k
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
0
260
The Mindset for Success: Future Career Progression
Avatar for Greg Gifford greggifford
PRO
0
290
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
310
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
59
6.4k
Groundhog Day: Seeking Process in Gaming for Health
Avatar for Sebastian Deterding codingconduct
0
140
BBQ
Avatar for Matthew Crist matthewcrist
89
10k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
96
14k
Evolving SEO for Evolving Search Engines
Avatar for Ryan Jones ryanjones
0
170
Lessons Learnt from Crawling 1000+ Websites
Avatar for Charles Meaden charlesmeaden
PRO
1
1.2k
Building a A Zero-Code AI SEO Workflow
Avatar for Ian Lurie portentint
PRO
0
430
Fireside Chat
Avatar for paigeccino paigeccino
42
3.9k

Transcript

  1. © 2026 ANDPAD All Rights Reserved. 1 建設DXを支えるANDPAD: 2025年のセキュリティの取り組みと卒業したいセキュリティ 2026/03

    株式会社アンドパッド サービスプラットフォーム部 セキュリティグループ テックリード Kiyotaka Ginoza

  2. © 2026 ANDPAD All Rights Reserved. Confidential 派遣エンジニア企業にてインフラエンジニアとして勤務したのち、 2020年6月にアンドパッドに入社。 SREグループにて運用やセキュリティの課題に数年取り組み、

    2024年〜セキュリティグループのテックリードに就任。 宜野座 清貴(Kiyotaka Ginoza) サービスプラットフォーム部 セキュリティグループ テックリード Profile | 経 歴 自己紹介 2 @kiyogino

  3. © 2026 ANDPAD All Rights Reserved. Confidential 2025年のセキュリティの取り組み 卒業したいセキュリティ まとめ

    1 2 3 3 今日お話しすること

  4. © 2026 ANDPAD All Rights Reserved. 4 2025年のセキュリティの取り組み

  5. © 2026 ANDPAD All Rights Reserved. Confidential 現場の効率化から経営改善まで一元管理できる クラウド型建設プロジェクト管理サービス 社 内

    社 外 営業 / 監督 / 設計 事務 / 管理職 職人 / 業者 メーカー / 流通 案件管理 資料 工程表 写真 報告 チャット 黒板 図面 受発注 • • • 5 (最初に)ANDPADとは

  6. © 2026 ANDPAD All Rights Reserved. Confidential 幸せを築く人を、幸せに。 住まいをつくる。ビルや施設をつくる。街をつくる。 生活を豊かにする建築・建設業は、幸せづくりと例えられます。

    私たちは、その幸せづくりをする人たちを テクノロジーの力で後押ししていきたい。心からそう考えています。 日々、進行状況が変わっていく現場は、 設計や仕様の変更、それにともなう資料づくりや施工開始の遅延、 電話やFAXでの情報共有、 現場確認のための移動など時間との闘いでもあります。 そんな慌ただしい現場に、心のゆとりを生み出す。 質をさらに追求したり、技術を磨いたり、 知識を蓄えたり、家族や仲間との絆を深めたり。 お互いの仕事をたたえ合い、誇れる仕事を増やしていく。 どれだけテクノロジーが進歩しても建築と建設が、 人の手によって生み出される創造的な仕事であることは、 これまでも、これからも、変わりません。 その手で幸せを築く、すべての人たちを幸せにする。 それが、私たちANDPADです。 Mission 6

  7. © 2026 ANDPAD All Rights Reserved. Confidential ANDPADサービス一覧 現場管理を効率化したい 工事写真の撮影・整理・台帳作成を効率化したい

    顧客と円滑にコミュニケーションしたい ・ 顧客への提出物をスムーズに作成したい 工程管理の手間を 減らしたい 円滑にコミュニケーショ ンしたい 検査や是正指示を 効率化したい 経営・営業データを 可視化したい 受発注・請求書受領を 効率化したい z 社内での承認フローを 効率化したい 断熱リフォームの効果を 可視化したい 現地調査を効率化したい 現場訪問の回数を 減らしたい 安全衛生管理を 徹底したい 社外リソースを 活用したい システム連携で効率性を 上げたい 施工管理 案件概要 資料 ボード 写真 写真台帳 黒板 黒板 AI作成 豆図AI キャプチャー デジタル サイン 報告出力 レイアウト 電子納品 おうちノート 工程表 横断 マイルストーン チャット 報告 図面 検査 Analytics 引合粗利管理 受発注 請求管理 資料承認 サーモ 3Dスキャン 遠隔臨場 入退場管理 BPO API連携 アプリ マーケット 7 7

  8. © 2026 ANDPAD All Rights Reserved. Confidential ANDPADのセキュリティへの取り組み(2025) 8 昨年の取り組みをピックアップ

    • 脆弱性診断の内製化に向けた取り組みを開始 ◦ 主に Webアプリケーション診断, プラットフォーム診断を対象 ▪ 第三者診断と最適なバランスを考慮しつつ、取り組んでいる • Dependabotアラートの運用整備 • クラウド・防御基盤の強化 ◦ マルチクラウドCSPMの運用開始 ◦ AWS WAFの運用を大幅に改善 • 他グループで対応していたクラウドセキュリティ業務を引き継ぐ ◦ クラウドセキュリティの改善対応と各種アラートの検出結果対応 • ASM(Attack Surface Management)ツールの運用開始 • ISO/IEC 27017 クラウドサービスセキュリティ認証の取得 • セキュリティホワイトペーパーの公開 ◦ https://andpad.jp/help/security_wp • 歴代最多数百件のセキュリティチェックシート対応

  9. © 2026 ANDPAD All Rights Reserved. Confidential 改めてセキュリティ基盤作りに取り組んだ 9 巷ではサイバー攻撃へのAI活用が増えている。

    • 生成AIなどを用いて、攻撃側が精巧なフィッシングメールやマルウェアを迅 速に作成できるように • AIエージェントを用いた攻撃の増加 • etc... ANDPADのセキュリティへの取り組み(2025) → AI時代もこれまで同様、地に足をつけたセキュリティ対策は重要。

  10. © 2026 ANDPAD All Rights Reserved. 10 卒業したいセキュリティ

  11. © 2026 ANDPAD All Rights Reserved. Confidential 『卒業したいセキュリティLT』というイベントテーマ → 何を卒業したいだろう。。

    卒業したいセキュリティ 11

  12. © 2026 ANDPAD All Rights Reserved. Confidential 昨年のさまざまな取り組みによって、セキュリティグループの業務範囲が大幅に拡 大。 これまで以上にグループが組織へ大きく貢献することに繋がった。

    → 一方、定常業務が続々と増加... 例 CSPMの検出結果対応、AWS WAFのアラート対応、 GuardDutyの検出結果の調査、ライブラリの脆弱性評価、 ウイルススキャンシステムの運用、etc.. → 結果として、グループのValue体現に向けた活動時間が減少。 卒業したいセキュリティ 12

  13. © 2026 ANDPAD All Rights Reserved. Confidential 定常業務を卒業したい!! 卒業したいセキュリティ 13

  14. © 2026 ANDPAD All Rights Reserved. Confidential • 定常業務をどうするか ◦

    運用整備後、他のグループ・チームへ移譲していく ▪ 各グループ・チーム多忙で難しそう。。 ◦ 事業インパクトの低い対応はやめていく ▪ 組織運営上必要なものも多く、中々やめられない。。 → グループでAIを活用(自動化)して、効率化していくぞ!! 定常業務を卒業するには。。 14

  15. © 2026 ANDPAD All Rights Reserved. Confidential (1) 定常業務 洗い出し

    ↓ (2) AI活用できるところ、自動化できるところを検討 ↓ (3) AI活用、自動化対応を進める (テコの原理を意識) ↓ (4) 業務改善の評価を実施する ↓ (5) (2) ~ (4)を繰り返し 定常業務へのAI活用や自動化 15

  16. © 2026 ANDPAD All Rights Reserved. Confidential <これから> • 各種アラートの調査へのAI活用

    ◦ WAF, GuardDuty の一次調査 • ライブラリ脆弱性の脆弱性評価 • セキュリティの設計レビュー • etc.. 定常業務へのAI活用や自動化事例 16 <事例> • GithubのPR作成 (Terraformのコード追加・修正など) • セキュリティチェックへのAI活用 • Dependabot アラートのトリアージ (1次評価の実施)

  17. © 2026 ANDPAD All Rights Reserved. Confidential • セキュリティのシフトレフト ◦

    Web診断の内製化 ◦ プロダクト設計フェーズからのセキュリティグループの参加 ◦ セキュリティフレームワークに基づいたプロダクト評価 定常業務を卒業したらやりたいこと 17 グループValueを体現する活動に一層取り組みたい Value • より低いレイヤー(コンテナ/サーバー/etc)のセキュリティにも一層取り組む • セキュリティを良くするための開発や改修 → より早い段階でセキュリティに取り組み、お客様や組織にエンジニアリングで貢献したい Security for Speed.(加速のためのセキュリティ) Security as a Value.(選ばれる理由を作る)

  18. © 2026 ANDPAD All Rights Reserved. Confidential 1. AI時代もセキュリティの重要度は増しており、 引き続き地に足のついたセキュリティ対策は重要💪

    2. セキュリティの定常業務にもAI活用(自動化)は必須...!! まとめ 18

  19. © 2026 ANDPAD All Rights Reserved. Confidential 19 We are

    hiring! https://engineer.andpad.co.jp/ 技術スタックや募集ポジションを 掲載してます!

  20. © 2026 ANDPAD All Rights Reserved. 20 fin

  21. © 2026 ANDPAD All Rights Reserved. Confidential Security Frontend Backend

    Apli QA Frontend Backend QA Frontend Backend Apli Project A Project B Project C Frontend Backend Project D セキュリティグループは横断的組織として活動 21 セキュリティグループの業務範囲 SRE