Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ゼロから始める全社横断プロダクトセキュリティ / Building Organizati...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Akira Kuriyama Akira Kuriyama
December 18, 2025
Programming
0
130

ゼロから始める全社横断プロダクトセキュリティ / Building Organization-Wide Product Security

プロダクト横断のセキュリティの取り組み

Avatar for Akira Kuriyama

Akira Kuriyama

December 18, 2025
Tweet

More Decks by Akira Kuriyama

See All by Akira Kuriyama
Datadog On-Calを本番導入しました / Datadog On-Cal now in production
Avatar for Akira Kuriyama sheepland
0
510
Datadog Logsで実現するオブザーバビリティの向上 / Enhancing Observability with Datadog Logs
Avatar for Akira Kuriyama sheepland
0
190
コンテナ脆弱性修正をRenovate,Dependabotのように行う / Fix Container vulnerabilities on CICD
Avatar for Akira Kuriyama sheepland
2
490
Docker Build Cloudを導入してコンテナイメージビルド時間を80%削減した話 / Speeding Up Container Builds with Docker Build Cloud
Avatar for Akira Kuriyama sheepland
0
200
Design Doc のすすめ / The Importance of Design Docs
Avatar for Akira Kuriyama sheepland
0
1.2k
Datadogのグラフにデプロイタイミングを表示する / deploy timing on datadog graph
Avatar for Akira Kuriyama sheepland
1
760
英語学習の始め方 / How to start learning English
Avatar for Akira Kuriyama sheepland
0
120

Other Decks in Programming

See All in Programming
AI 開発合宿を通して得た学び
Avatar for ニフティ株式会社 niftycorp
PRO
0
120
モックわからないマン卒業記 ~振る舞いを起点に見直した、フロントエンドテストにおけるモックの使いどころ~
Avatar for Tasuku Watanabe tasukuwatanabe
2
310
AI駆動開発の本音 〜Claude Code並列開発で見えたエンジニアの新しい役割〜
Avatar for hisuzuya hisuzuya
4
510
どんと来い、データベース信頼性エンジニアリング / Introduction to DBRE
Avatar for nnaka2992 nnaka2992
1
290
Angular-Apps smarter machen mit Gen AI: Lokal und offlinefähig - Hands-on Workshop!
Avatar for Christian Liebel christianliebel
PRO
0
110
The Ralph Wiggum Loop: First Principles of Autonomous Development
Avatar for Ryuichiro Semba sembayui
0
3.7k
オブザーバビリティ駆動開発って実際どうなの?
Avatar for yohfee yohfee
3
830
社内規程RAGの精度を73.3% → 100%に改善した話
Avatar for oharu121 oharu121
13
8k
Codex の「自走力」を高める
Avatar for yorifuji yorifuji
0
1.2k
20260313 - Grafana & Friends Taipei #1 - Kubernetes v1.36 的開發雜記:那些困在 Alpha 加護病房太久的 Metrics
Avatar for ChengHao Yang tico88612
0
190
AI時代のシステム設計:ドメインモデルで変更しやすさを守る設計戦略
Avatar for 増田 亨 masuda220
PRO
5
1k
Go Conference mini in Sendai 2026 : Goに新機能を提案し実装されるまでのフロー徹底解説
Avatar for Takahito Yamatoya yamatoya
0
590

Featured

See All Featured
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
Avatar for Aki / @LoveIdahoBurger aki_iinuma
128
55k
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
Avatar for Mfonobong Umondia mfonobong
2
310
Ruling the World: When Life Gets Gamed
Avatar for Sebastian Deterding codingconduct
0
170
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.6k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
249
1.3M
Utilizing Notion as your number one productivity tool
Avatar for Mfonobong Umondia mfonobong
4
260
Getting science done with accelerated Python computing platforms
Avatar for Jacob Tomlinson jacobtomlinson
2
140
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
140k
WCS-LA-2024
Avatar for Leonardo Collado-Torres lcolladotor
0
480
It's Worth the Effort
Avatar for 3n 3n
188
29k
Leveraging Curiosity to Care for An Aging Population
Avatar for Cassini Nazir cassininazir
1
190

Transcript

  1. Confidential ゼロから始める 
 全社横断プロダクトセキュリティ 
 ゆるSRE勉強会 #14 
 Akira Kuriyama

  2. Copyright Hacobu, Inc. 2 自己紹介
 栗山 あきら (@sheepland) 
 


    
 所属: 株式会社Hacobu
 プロダクト基盤部
 
 職種: SRE & プラットフォームエンジニア
 


  3. Copyright Hacobu, Inc. 3 SREにとってのセキュリティとは 
 SRE のミッションは サービスの信頼性を守ること 


    では、
 最大の「信頼性リスク」は? 


  4. Copyright Hacobu, Inc. 4 SREにとってのセキュリティとは 
 それは「セキュリティ事故」 
 障害・バグ 


    セキュリティ事故 
 復旧: 数分〜数時間
 復旧: 数日〜数週間 (時にサービス停止)
 近年のランサムウェアの被害では長期停止も…
 セキュリティ事故は、最大級のSLO破壊要因。 


  5. プロダクトセキュリティやって いくぞ!!! 


  6. 
 • マルチプロダクト:6サービス 
 (毎年新サービス)
 • セキュリティ専任エンジニア: 0人
 • プロダクトごとに対応レベルがバラバラ

    
 
 
 
 → 「プロダクト横断で足並みを揃える仕組み」が必要 
 私たちのスタート地点 


  7. プロダクトセキュリティWGの発足 
 まず、仲間を集めた。
 体制: リーダー2名、各プロダクト代表1名
 役割: ロードマップ/ゴールの設定、基準作り、
 各プロダクトへの展開
 
 →「プロダクト開発とセキュリティ対策の両輪を回す」

  8. やったこと 
 1. セキュリティワークショップ 
 2. ゴールの設定 
 3. セキュリティSaaSの導入

  9. a 1. セキュリティワークショップ 
 エンジニア全員でワークショップの実施 
 
 • セキュリティ資産の洗い出し
 •

    セキュリティリスクの洗い出し
 得られたもの 
 • プロダクトごとの「守るべきもの」の共通 認識形成
 • セキュリティの当事者意識が高まった


  10. a 2. ゴールの設定 
 • Critical / High の脆弱性を 0

    件に
 • セキュリティSaaSの検証・導入
 • インフラセキュリティの強化
 • GitHubのセキュリティ強化


  11. a 3. セキュリティSaaSの導入 
 なぜ SaaS導入 を選んだか 
 
 •

    継続的に脆弱性を検知
 • プロダクトが増えてもスケール
 • セキュリティエンジニア不在のため、セキュ リティ特化のSaaSに任せる


  12. a 3. 導入したSaaS 
 
 
 Snyk (SCA) : ライブラリの脆弱性検知

    
 Snyk独自の脆弱性スコアでトリアージがしやすい
 ライセンスチェックも可能
 
 Shisho Cloud (DAST) : Webアプリの脆弱性診断 
 日次で脆弱性診断ができる
 Findy Tools の記事でも紹介
 
 Takumi (SAST) : セキュリティ診断AIエージェント 
 Slackからチャット形式で脆弱性診断ができる


  13. セキュリティ対応を進めるための 
 取り組みの一例を紹介 


  14. セキュリティ集中対応期間 
 課題:
 中々セキュリティ対応が進まない…。開発タスクが優先されがち
 
 解決策:
 基盤チーム全体で2週間通常開発をいったんストップ!
 セキュリティタスクに専念
 
 結果:


    優先度の高いタスクを一気に消化できた


  15. 取り組みの成果 
 Critical脆弱性: 
 69% 減
 
 High脆弱性: 
 53%

    減 
 
 全社レベルで継続的な脆弱性検知と可視化を実現
 しつつある


  16. 取り組みの成果 
 セキュリティが、各プロダクトの 
 「自分ごと」 になってきた 


  17. もちろん、まだ課題はある 
 脆弱性のトリアージと対応を開発タスクに 
 織り込む難しさ 
 → スプリントに一定の割合で入れる
 → 集中期間を設ける


    
 Renovate/Dependabot での 
 ライブラリ定期アップデート 
 → 既存ライブラリを最新化
 → テストの拡充
 ※きちんと出来ているプロダクトもあります
 


  18. プロダクトセキュリティWGを 
 通して得た学び 
 WG方式は有効 
 ・仲間を増やす
 ・リーダー二人体制だと相談して進めやすい
 
 ゴールの設定

    
 ・ゴールを明確にすることで足並みを揃えて動きやすい
 
 SaaSの活用 
 ・「自動で素早く検知、見える化」→「人は対応に集中」


  19. 最後に
 セキュリティは「プロジェクト」 ではない
 「継続的な運用の一部」 である
 
 


  20. None