Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
開発生産性をむしろ向上させる セキュリティパートナーの作り方 / Dev Productivi...
Search
GMO Flatt Security
July 23, 2024
Technology
1
1.2k
開発生産性をむしろ向上させる セキュリティパートナーの作り方 / Dev Productivity Con 2024
開発生産性Conference 2024で執行役員・豊田が株式会社カミナシ セキュリティエンジニアリング・西川様と登壇した際の資料です。
GMO Flatt Security
July 23, 2024
Tweet
Share
More Decks by GMO Flatt Security
See All by GMO Flatt Security
Goに育てられ開発者向けセキュリティ事業を立ち上げた僕が今向き合う、AI × セキュリティの最前線 / Go Conference 2025
flatt_security
0
480
LLMアプリケーション開発におけるセキュリティリスクと対策 / LLM Application Security
flatt_security
7
2.5k
診断AIエージェントによるセキュリティの未来 – 著名OSS向け0-dayリサーチを例に
flatt_security
2
1.1k
セキュリティ診断AIエージェント「Takumi」の雇用によって実現する開発生産性の向上
flatt_security
0
370
AIエージェントの「作業場」としてのサンドボックス技術
flatt_security
1
75
セキュリティ診断AIエージェント Takumi がもたらす変化 - 著名OSS 向け0-dayリサーチを例に
flatt_security
0
100
「攻め」と「守り」で理解する PHP アプリケーション
flatt_security
1
400
セキュリティ視点からみる生成AIアプリケーションとMCP ~ 脅威とリスク、認可・権限 ~
flatt_security
5
4.2k
脅威をモデリングしてMCPのセキュリティ対策を考えよう
flatt_security
7
3.6k
Other Decks in Technology
See All in Technology
AIエージェントによる業務効率化への飽くなき挑戦-AWS上の実開発事例から学んだ効果、現実そしてギャップ-
nasuvitz
3
970
SRE × マネジメントレイヤーが挑戦した組織・会社のオブザーバビリティ改革 ― ビジネス価値と信頼性を両立するリアルな挑戦
coconala_engineer
0
200
SOTA競争から人間を超える画像認識へ
shinya7y
0
190
ヘンリー会社紹介資料(エンジニア向け) / company deck for engineer
henryofficial
0
360
オブザーバビリティが育むシステム理解と好奇心
maruloop
2
1k
オブザーバビリティと育てた ID管理・認証認可基盤の歩み / The Journey of an ID Management, Authentication, and Authorization Platform Nurtured with Observability
kaminashi
1
630
HonoとJSXを使って管理画面をサクッと型安全に作ろう
diggymo
0
180
webpack依存からの脱却!快適フロントエンド開発をViteで実現する #vuefes
bengo4com
3
3.3k
事業開発におけるDify活用事例
kentarofujii
5
1.4k
GraphRAG グラフDBを使ったLLM生成(自作漫画DBを用いた具体例を用いて)
seaturt1e
1
140
Observability — Extending Into Incident Response
nari_ex
1
250
マルチエージェントのチームビルディング_2025-10-25
shinoyamada
0
150
Featured
See All Featured
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.1k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
9
990
ReactJS: Keep Simple. Everything can be a component!
pedronauck
667
130k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
9
930
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
194
16k
BBQ
matthewcrist
89
9.9k
Git: the NoSQL Database
bkeepers
PRO
431
66k
Why Our Code Smells
bkeepers
PRO
340
57k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
Reflections from 52 weeks, 52 projects
jeffersonlam
353
21k
Product Roadmaps are Hard
iamctodd
PRO
55
11k
Transcript
開発生産性をむしろ向上させる セキュリティパートナーの作り方 株式会社Flatt Security 執行役員 豊田 恵二郎 株式会社カミナシ セキュリティエンジニアリング 西川
彰 2024/06/28
豊田 恵二郎 w (株)Flatt Security 執行役員CCV w 東京大学工学部航空宇宙工学科在籍時に共同創i w 96年生まれ、横浜出y
w 1人と2台で暮らしてま w ’88 マツダ FC3S / ’96 ビュイック リーガルワゴン 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
西川 彰 G (株)カミナシ セキュリティエンジニアリンU G (一社)鹿児島県サイバーセキュリティ協議会 代表理Y G AWS
Community Builder, CISS! G 84年生まれ、鎌倉出身(鹿児島県霧島市在住 G 妻と息子(9歳)と猫2匹と暮らしてます 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
2つの診断サービスを軸に、プロダクト開発組織を多角的に支える 手動・高度診断 セキュリティ診断 コード・仕様の分析も行い、 専門家が脆弱性を網羅的に発見 自動・継続診断 インフラからWebアプリまで、 脆弱性診断をスマートに内製化 2つを組み合わせた サービス提供も可能
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
Mission エンジニアの背中を預かる 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
モダンなプロダクト開発組織からの圧倒的支持 セキュリティ診断提供実績(一部) 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 皆さんの会社で、プロダクトセキュリティを 担うエンジニアは足りていますか?
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 いない or 足りていない
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 いない or 足りていない 内製で何に対処すべきか、 どの部分を外部パートナーに委託するか といったリソース配置を適切に行わなければならない
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 本日のイベントのタイトルを覚えている方〜?
None
開発生産性 vs セキュリティ 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 トレードオフだが、セキュリティは欠かせない(しかし100%もない) 自社にフィットしたセキュリティソリューションを選定し、 開発生産性を下げず、 むしろ向上させるような取り組みが必要
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 トレードオフだが、セキュリティは欠かせない(しかし100%もない) 自社にフィットしたセキュリティソリューションを選定し、 開発生産性を下げず、 むしろ向上させるような取り組みが必要 = 本日の参加者層的には... エンジニアファーストな セキュリティサービス
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 課題 1 プロダクトセキュリ ティのリソース不足 内製/外部委託など 適切なリソース配置 課題 2
開発生産性vsセキュリ ティのトレードオフ エンジニアファースト なセキュリティ
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 この2つのポイントを抑えて実現する 「むしろ開発生産性を向上させるセキュリティ」
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “セキュリティエンジニアリング” のミッション プロダクトセキュリティの 「開発組織全体にセキュリティの意識や知識が根付 いており、 」を目指す
イネーブルメンx セキュリティエンジニア以外もセキュリ ティの実践に関して自律的な意思決定ができる状 態
自動でライトがつく 無灯火を知らせる 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “セキュリティエンジニアリング” の具体的取り組み t リスクマトリクスの作k t 社内セキュリティ競技会の開j t セキュリティニュースの配f
t 各チームとセキュリティに関する定w アドバイスや相y 他チームのインシデントの共a 総じて情報の横展開を意識
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 しかしここで身も蓋もない事を言うと... イネーブルメントに動ける西川さんのような です シニアセキュリティ人材がいなければ このような内製の取り組みは難しい
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 セキュリティエンジニア採用の難易度は格段に高く 多くの組織で人材が不足 外部パートナーを頼ることがプライオリティの高い選択肢に なってくるのではないでしょうか (カミナシさんですら外部の力を借りる)
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 課題 1 プロダクトセキュリ ティのリソース不足 内製/外部委託など 適切なリソース配置 課題 2
開発生産性vsセキュリ ティのトレードオフ エンジニアファースト なセキュリティ
1 2 3 https://blog.flatt.tech/entry/security_assessment_vs_bugbounty
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 しかし、外部パートナー選定こそ という観点が必要(内製は後からでも舵を取り直すことができるので) 「自社にフィットしたソリューションを選定し、開発生産性 を下げず、いやむしろ向上させるような取り組み」
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 課題 1 プロダクトセキュリ ティのリソース不足 内製/外部委託など 適切なリソース配置 課題 2
開発生産性vsセキュリ ティのトレードオフ エンジニアファースト なセキュリティ
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 エンジニアファーストなセキュリティ外部委託
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 エンジニア・開発組織に最適化されたセキュリティサービスは少ない コーポレート部門 セキュリティサービスを提供 従来の多くの セキュリティ企業 エンドポイント保護、ネットワーク防御、 情報セキュリティ研修、アイデンティティ管理... プロダクト・ソフトウェア開発に携わる人
最適化されたセキュリティサービスを提供 ソフトウェア産業の拡大とともにニーズが 増えているにも関わらず、最適化された サービス提供が少ない
エンジニア ファーストな セキュリティ 外部委託 コミュニケー ションで 寄り添う 技術で 寄り添う 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 コミュニケー ションで 寄り添う HowだけでなくWhat・Whyをサポートする z わかりやすいリスク・対策の解i z 脆弱性再現方法のJavaScript
PoCを提w z 事後的な検査だけでなく、上流工程でのコンサル ティングを提供
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “診断実施”をゴールにしないコミュニケーション 取締役CTO 原さん:Flatt Securityさんは最初から「『カミナシ』をよりセ キュアにするにはどのようにすべきか」という点に重きを置いてコミュニケー ションを取ってくださったので、伴走力の強さを感じました。
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 “課題解決”に向き合うオンボーディング 取締役CTO/CISO 田島さん:製品導入のレクチャーに留まらず、週次のミー ティング等を通じて運用課題の整理や運用体制構築に対するアドバイスをいた だけるという内容で非常に魅力的でした。プログラムの内容も画一的ではな く、一緒に課題解決に向けて動いてもらえそうな印象を受けました。
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 技術で 寄り添う 開発の要素技術・フェーズ・サイクル等 の制約をクリアする サーバーレスな環境に対して最適な診断手法を提案 してくれ
自動診断と手動診断の使い分けができ DevOpsサイクルに組み込んだ運用やシフトレフトが 実現可能
再掲 2つの診断サービスを軸に、プロダクト開発組織を多角的に支える 手動・高度診断 セキュリティ診断 コード・仕様の分析も行い、 専門家が脆弱性を網羅的に発見 自動・継続診断 インフラからWebアプリまで、 脆弱性診断をスマートに内製化 2つを組み合わせた
サービス提供も可能 開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 認証・認可・決済など重要 なビジネスロジックの機能 も検査したい 手動診断でなければ 対処できない 大きなコードベースの変更 を控えているのに数百万円 かけて手動診断を実施する
手動診断は現実的ではない が高コスパ 自動診断
まとめ
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 プロダクトセキュリティ内製の心得 u セキュリティは力を持っているからこそ u 開発者は常に生産性をいかに上げられるかを考え て、そこに向き合っているはず。そのような気持ち にいかに寄り添うことができるか、 が求められる
生産性を奪 いかねなo 力を持っている からこその振る舞い
開発生産性をむしろ向上させるセキュリティパートナーの作り方 開発生産性をむしろ向上させるセキュリティパートナーの作り方 プロダクトセキュリティ外部委託の心得 v 内製と同様、開発生産性を奪わないために であることが大y v そのために の2点を持つパートナーを見つけたい エンジニ
アファースト (1)コミュニケーションで寄り添う (2)技 術で寄り添う