セキュリティを 「ふつう」にやっていく 技術、体制、文化の追求 / YAPC::Fukuoka 2025

Transcript

1. 1 セキュリティを 「ふつう」に やっていく 技術、体制、⽂化の追求 GMOペパボ、セキュリティ対策室から発信 伊藤洋也｜シニアプリンシパルエンジニア｜GMO PEPABO,inc. 2025.11.14 YAPC::Fukuoka

   2025

2. 2 自己紹介 GMOペパボ セキュリティ対策室 2007年 入社 伊藤 洋也 Hiroya Ito

   ホスティングサービス、技術基盤チームを経て 現在はセキュリティ対策室に所属。 シニアプリンシパル (2025年4月〜) 過去登壇 YAPC::Asia 2009, YAPC::Kyoto 2003 (Reject Con) • ID: @hiboma • https://hiboma.hatenadiary.jp/

3. イントロダクション 3 登壇を考えていた後輩を⿎舞するつもりで、⾃分も CfP 出したら通った Perl の話は全然ありませんが、TMTOWTDI なマインド 🐪 「YAPC

   にセキュリティの話ですか? 」 https://hiboma.hatenadiary.jp/entry/2025/09/12/121848

4. 「急」 ちょっと本題に⼊る前に ... イベント登壇前⽇に “急” にボールが来た話 4

5. 20分 ➡ 40分 急遽トーク時間の延⻑ 5

6. 6

7. P⼭ “hiroya さん、Go Bold ですよ” ... という声が脳内で聞こえた ま、ほんとにそういう感じのことをよくペパボでも⾔ってた 7

8. 先んじて謝辞 過去、ペパボでお仕事をご⼀緒した⽅も含めて いろんな⼈たちの⼒を借りてセキュリティ対策を為してきました / 為しています その成果を具に紹介したいと思いつつも、構成の都合上⾒送りました 🤲 ただし P⼭さんはキーノートスピーカーなので特別に掲載します! 8

9. 会社の紹介 9

10. 事業の紹介 10

11. 11 サービスの紹介

12. 「汲」 汲めども尽きぬ 12

13. クレデンシャル スタッフィング ビジネスメール詐欺 国家レベルの攻撃 ディープフェイク インフォスティーラー 脆弱性 情報漏洩 世の中を騒がすセキュリティニュース 🔥

    13 サプライチェーン攻撃 ランサムウェア攻撃 マルウェア 不正ログイン ゼロデイ攻撃 クラウドの設定ミス フィッシング 不正持ち出し DDoS 攻撃 プロンプト インジェクション 地政学的リスク 😈🦠👾

14. OS ミドルウェア アップデート ログ管理, 監査 バックアップ クラウドセキュリティ 訓練、研修 法令、コンプライアンス SIEM・SOAR

    DLP ゼロトラストアーキ スパム対策 🛡 アクセス制御 膨⼤なセキュリティ対策 14 ライブラリアップデート 認証・認可 DDoS対策 脆弱性管理 EPP, EDR, XDR, *DR CSPM AI ガバナンス 暗号管理 セキュリティ研修 IDS / IPS 脆弱性診断 インシデント対応 BCP対応 ライセンス管理 🛡🛡 脅威インテリジェンス CASB

15. 15 いまのインターネットは、宇宙空間のようなものです。 一度そこにシステムを浮かべたら、 外は真空。 もしその機体に、ほんの小さな穴があれば ——空気は自動的に漏れ出す。 誰かが狙っ てやっているわけではなくても、欠陥がある限り、侵害は必ず起こる のです。 この現実を前提にした考え方を、私は「宇宙船モデル」

    🚀 と呼んでいます。 セキュリティの宇宙船モデル GMOペパボ株式会社取締役 CTO 栗林健太郎 (id:antipop)

16. 宇宙船モデル 16 いらすとや 宇宙船のイラスト（旅客機） https://www.irasutoya.com/2019/07/blog-post_45.html

17. “「攻撃」は、もはや “起きるかもしれないこと ”ではない” “セキュリティ＝環境ガバナンス ” “生き延びるための指針： AIとレジリエンス ” 17 セキュリティの宇宙船モデル

    GMOペパボ株式会社取締役 CTO 栗林健太郎 (id:antipop)

18. 「旧」/「窮」 18

19. 現在のセキュリティ組織は 2018年のインシデントを機に再構築‧強化された 「旧」/「窮」 19 GMOペパボのセキュリティ体制 転換点 2018 2025 2003 2014

    paperboy&co. 創業 GMOペパボに社名変更 インシデント https://pepabo.com/news/information/201801260800

20. ⚒ 「旧」/「窮」 20 再発防⽌に向けた取り組み 規程‧ドキュメント策定 技術対策 組織体制の強化 教育‧研修 📖 継続的な改善プロセス

    🔁 📝

21. 指示 事業部 事業部 再発防⽌ 21 セキュリティ体制の整備 セキュリティ対策室 技術部 事業部 内部監査室

    セキュリティ監査チーム ペパボCSIRT 代表取締役社⻑ Computer Security Incident Response Team の略称 他の部、室のメンバーが兼任で構成する 報告 指示 報告 指示 報告 連携

22. 22 情報セキュリティ規程の整備 📖 (例: 体制に関する項⽬)    再発防⽌

23. セキュリティ対策室 23

24. 24 “GMOペパボのセキュリティ対策室とは情報セキュリティ基本⽅針を遵守し お客様、お取引先様、従業員から預る情報資産を適切に扱える ⽂化形成、技術的仕組みをリードする組織” セキュリティ対策室のミッション

25. 当初は、インシデントの再発防⽌を最優先課題としたチームだったが、 徐々に Cyber Hygiene* ( 環境ガバナンス) に重きをおいた活動にシフトしている 2018 〜 2025

    25 セキュリティ対策室 チームの変化 2025 2018

26. ⽂化形成をリードする組織 26 • 中途⼊社のメンバー受け⼊れで開催 ◦ インシデントの記録を伝承 ▪ 過去があっての今 ◦ セキュリティ相談の拠り所を知る

    ▪ 「セキュリティの相談はセキュ対に!」 セキュリティ オンボーディング研修

27. ⽂化形成をリードする組織 27 • セキュアコーディング研修 ◦ 技術職向けに講習‧ハンズオンを実施 • 情報セキュリティ研修 ◦ 全職種対象に設問とアンケートで実施

    • 標的型メール訓練の実施* ◦ バックオフィス向けに模擬攻撃メールを配信 ▪ メール開封率、URL 遷移率を集計 研修‧訓練 例) 訓練内容は予め対象者に周知され実施される。望ましくない対応を取った場合でも叱責や懲罰とならないこともお伝えする

28. • 「⾃然⾔語⽣成モデル活⽤ガイドライン」の作成 ◦ 事業部の裁量でツールを選択‧活⽤ ◦ 外部サービス利⽤申請で承認されたサービス‧ツールを利⽤ ✅ ▪ セキュリティ対策室 +

    法務チェックの承認フロー ◦ AI ツールで扱う情報資産の重要度に応じた注意喚起を促す ▪ 例) 学習データの共有‧提供の設定を禁⽌する • 「情報セキュリティに関するガイドライン」の作成 ▪ セキュアコーディングガイドライン ▪ 外部サービス利⽤のガイドライン ⽂化形成をリードする組織 28 各種ガイドラインの作成

29. 29 宣伝 セキュリティ対策室の紫関 @n01e0 が登壇します

30. ⽂化形成、技術的仕組みをリードする組織 30 • セキュリティプロジェクトの進⾏役 ◦ 例) DMARC ポリシー引き上げ, BIMI /

    VMC 対応 ◦ 例) BCP 計画のリード • 緊急のセキュリティ調査‧対応 ◦ 重⼤な脆弱性、サプライチェーン攻撃、他社のインシデント... • グループ会社間の連携窓⼝ ▪ GMOインターネットグループの情報交換会に参加 • 脆弱性報告制度の運⽤ • 取引先からのセキュリティチェック依頼対応 その他のリード

31. 31 セキュリティ対策室 🤝 {事業部, 技術部}    • 事業部 / 技術部

    でセキュリティ対策を遂⾏する ◦ 年間の計画を基に、継続的な改善プロセスを回す • セキュリティ対策室は専⾨組織として⽀援‧協働 ◦ 組織横断でのセキュリティ基盤‧サービスの提供、運⽤ ◦ 網羅的な視点での点検 (宇宙船モデル 🚀) 注) 技術部は、複数の事業部(サービス) をみる横断組織ではあり SRE (インフラ) や基盤技術の展開に重点を置く

32. セキュリティ対策室 🤝 {事業部, 技術部} 32 • 事業部(サービス)でリスクアセスメント、改善を進める ◦ CIS Controls

    を基準に評価 ▪ 例) 継続的なソフトウェアアップデート ▪ 例) 脆弱性診断の実施 ▪ 例) インシデント訓練‧演習の実施 • 完遂までをセキュリティ対策室でフォロー ◦ 計画進⾏のファシリテート ▪ 毎⽉の定例MTG ◦ 技術課題の横断的な解決を⽀援 セキュリティキープアップ (年次のプロセス)

33. セキュリティ対策室 🤝 {事業部, 技術部} 33 • Wazuh (XDR, SIEM )

    を導⼊し情報を⼀元化 ◦ VM, オンプレサーバ対象に導⼊ ▪ agent 数は 2000+ ▪ Opensearch index で 100GB / day のログ量* ◦ 監視対象 ▪ ファイル整合性の監視 ▪ ルールベースで各種ログ、Audit ログの監視 ▪ サービス‧プロセスの状態監視 ◦ パッケージ‧脆弱性インベントリの提供 ◦ 収集したデータを脅威ハンティングに応⽤ 統⼀的なサーバ管理の⽀援 注) コマンド実行のログが支配的

34. 34 Wazuh の発表 @pyama86 さん (GMOペパボご在籍時)

35. セキュリティ対策室 🤝 {事業部, 技術部} 35 • 運⽤の所感 ◦ バージョンアップは頻繁に為されている ▪

    追記) GMOペパボでは OSS 版を使っています ◦ Kibana App + Opensearch の UI はちょい癖がある ▪ パーマリンクの扱いが難しい ▪ API でデータを抜き出して BI ツールで再構成 ◦ 検出ルールの追加、削除の匙加減 ◦ アラートトリアージは⼤変 ▪ ⼀部、機械学習 ( 異常検知 ) で省⼒化アプローチ 統⼀的なサーバ管理の⽀援 注) コマンド実行のログが支配的

36. 36 Wazuh の取り組み @pyama86 さん (GMOペパボご在籍時)

37. セキュリティ対策室 🤝 {事業部, 技術部} 37 • 内製のポートスキャナ + HTTP スキャナ

    + Shodan ◦ オンプレ、OpenStack、クラウドを対象に⾃社商材を定期スキャン ▪ ポートの開閉チェック （露出を是とするか否か ) ▪ 認証の不備がないかのチェック ◦ スキャン対象となる IP‧サブドメインの網羅が肝 ▪ ASM に限らず、インベントリ網羅は対策室の重要業務 全商材の ASM ( Attack Surface Management ) 👁

38. セキュリティ対策室 🤝 {事業部, 技術部} 38 • 脆弱性診断の実施 ◦ 外注 ...

    契約‧スケジューリングをコーディネート ◦ 内製 ... 依頼ベースでオンデマンドに診断実施 • 脅威モデリングのファシリテート ◦ STRIDE メソッドをアレンジして実施 ▪ 機能追加、サービスリリースなどを機に • CSPM ◦ AWS SecurityHub のアラートトリアージ ◦ CloudTrail のログ監視 • SAST (静的解析) の GitHub Actions 提供 DevSecOps / シフトレフトの⽀援

39. セキュリティ対策室 🤝 {事業部, 技術部} 39 • @sssbot (内製)でチャンネル作成から解決まで⽀援 🚒 ◦

    障害、セキュリティインシデント、ソーシャル炎上に適⽤ ▪ 技術職以外の利⽤も多い ▪ ⽉間で 50〜70 件ほどのチャンネルが作成される ◦ 同期的なコラボレーション + 組織学習 ▪ 職種横断で問題を解決する + 失敗をオープンにする ▪ ただし、⻑期化すると「ダレる」感はある インシデント対応⽀援

40. セキュリティ対策室 🤝 {事業部, 技術部} 40 インシデント対応をテーマにした過去の登壇資料 @hiboma

41. セキュリティ対策室 🤝 {事業部, 技術部} 41 • 対策室 + CSIRT で「解決」までをフォローアップ

    ◦ 全てのチャンネルに join する ▪ 全てで初動対応に当たるわけではないが ◦ postmortem 実施、再発防⽌計画までをトラッキング ▪ コミュニケーションを「つっついて回す」役割 ▪ bot のリマインドより、より⼈間が聞いた⽅が良い ◦ 重⼤なリスクや防⽌策の⾒落としがないか インシデント対応⽀援

42. • 👀 CSIRT トラッキング • 📘ポストモーテム • ❓ドキュメント検索 • キープアップ進行

    • 📕 対応マニュアル • 💪訓練・演習 https:LFI Conf 23 | Brent Chapman | Incident Response and Incident Analysis: Two Great Tastes https://www.youtube.com/watch?v=QAl3tF9eZek 42 モデル図は Brent Chapman さんの発表を元に、発表者が GMOペパボの実情に合わせて 改変・解釈した図です インシデントマネジメントのプロセス 自動化がマネジメントプロセス全体を駆動する • チャンネルセットアップ • コミュニケーション支援 • 対応の記録 🛠準備 🚒対応 🔍事後対応

43. • 情報セキュリティ規程*に基づき実施 ◦ 訓練 ▪ 形式的な⼿続きを習熟する⽬的で実施 ▪ 新規加⼊のメンバー、技術職以外を対象 ◦ 演習

    ▪ 実践的なシナリオを想定した⾼度な内容で実施 セキュリティ対策室 🤝 {事業部, 技術部} 43 インシデント対応の訓練 / 演習 > （１） 情報セキュリティ最高責任者は、従業員に対して、計画的に本規程の教育を実施しなければならない。 > （２） 社長以下すべての従業員は、情報セキュリティの重要性を認識し、本規程を理解し、実践するために、教育・訓練を受講しなければならない。

44. 44 セキュリティ対策室 🤝 CEG (≒情シス)    • CEG = Corporate

    Engineering Group の業務 ◦ 業務⽤デバイス管理 ( キッティング, プロビジョニング...) ◦ SaaS ID ライフサイクル管理 ◦ ヘルプデスク‧ITサポート ◦ 機器管理‧ライセンス管理 • セキュリティ施策を対策室でカバーする

45. セキュリティ対策室 🤝 CEG (≒情シス) 45 • ⼤⼿製品による監視 ◦ アラート監視は SOC

    に外注、24/365 体制 ▪ 業務時間帯はセキュリティ対策室もトリアージする ◦ ポリシー設定、更新はセキュ対が実施 ▪ 基本的にベンダー推奨設定に従う • クエリ機能で脅威ハンティング* ◦ デバイスの例外的な利⽤を能動的に検出 ▪ 例) LAN 内で TCP ポートへの接続 (accept) を検出 ▪ 例) デバイスへのグローバルIP の付与を検出 エンドポイントセキュリティ (macOS, Windows) ⚠ 通常の業務利用では「ありえない」「逸脱した」デバイスの利用や状態を検出することを目的に実施

46. • MDM で デバイス hardening ◦ ポリシーの設定‧更新をセキュリティ対策室で⾏う ▪ 例) Attack

    Surface Reduction ルールの展開 (Windows) ▪ 例) Microsoft セキュアスコア 対応 ▪ 例) CrowdStrike ゼロトラストアセスメント対応 ◦ Microsoft Defender for Endpoint plug-in for WSL ▪ インベントリ化され WSL 利⽤者を網羅 ▪ WSL 環境 (プロセス) の可視化 セキュリティ対策室 🤝 CEG (≒情シス) 46 エンドポイントセキュリティ (macOS, Windows) 注) Windows の場合。macOS は不定期にリリースされるので、そのタイミングで実施

47. セキュリティ対策室 🤝 CEG (≒情シス) 47 • OS アップデートの先⾏検証、展開 ◦ パッチチューズデイ*に

    CEG, セキュ対で先⾏検証するフロー • EOL 管理 ◦ 直近だと Windows 11 23H2 (Professional) ▪ 24H2 に上げると BitLocker 回復キーを求められるトラブル多発 • 外部機器の利⽤制限 ◦ 例) USB マストレージの利⽤制限 エンドポイントセキュリティ (macOS, Windows) 注) Windows の場合。macOS は不定期にリリースされるので、そのタイミングで実施

48. セキュリティ対策室 🤝 CEG (≒情シス) 48 SaaS アプリケーションの監査ログ集約と監視 • Splunk Cloud

    を SIEM + SOAR 活⽤ ◦ 監査ログの検索基盤 ▪ 例) メールアドレスやIPで串刺し ◦ 監視‧脅威ハンティング ▪ 例) 過度の認証失敗や不審な IP を監視 ▪ 例) 異常‧エラーログを監視

49. セキュリティ対策室 🤝 CEG (≒情シス) 49 SaaS アプリケーションの監査ログ集約と監視 • Splunk Cloud

    を SIEM + SOAR 活⽤ ◦ 特権アカウントの重要操作を通知 ▪ 例) 管理画⾯へのログイン ▪ 例) セキュリティポリシーの変更 ◦ 異常検知で複数 SaaS のセッションリセット ▪ 安全に倒して⼀旦切る

50. セキュリティ対策室 🤝 CEG (≒情シス) 50 SaaS のポリシー‧設定をバージョン管理 + LLM で分析

    • 定期的に設定をダンプし差分を PR 化* ◦ LLM で不審な変更がないかを分析 ▪ 正常な変更 ▪ 内部不正, ミスオペ, 脅威による改竄 ◦ 最新の設定追加にも気がつくこともある ▪ 例) セキュリティ製品のポリシー追加 ⚠ terraform 等の Iacツールで構成管理するのが望ましいが、コード化の複雑さ・メンバーの習熟度などの事情で全部は自動化されていない

51. 51 セキュリティ対策室 🤝 CSIRT*    部⾨と連携 • CSIRT メンバーは兼任で構成 ◦

    CTO, 技術責任者, 法務, セキュリティ監査チーム, セキュリティ対策室 ▪ 情報セキュリティ規程、及び、ペパボCSIRT規則に基づいて組織される • 組織スコープのセキュリティマネジメント ◦ 世の事例を省みてのリスクアセスメント‧リスクマネジメントの執⾏ ◦ インシデント対応のフォローアップ ◦ 外部 組織、CSIRT との情報交換‧連携 注1) 一般社団法人日本シーサート協議会 - PEPABO CSIRT https://www.nca.gr.jp/member/pepabo-csirt.html 注2) Computer Security Incident Response Team ... 一般的には “セキュリティインシデントが発生した際に、専門的に対応する組織・チーム” を指すが、GMOペパボではマネジメント寄りか?

52. 52 セキュリティ監査チーム 👁 { セキュ対, 事業部, 技術部 }    部⾨と連携

    • セキュリティ監査チームが対策の実効性を点検 ◦ コンピューター‧システム監査 ▪ “情報管理システムの信頼性、安定性及び効率性についての監査” ◦ 情報セキュリティ監査 ▪ “情報資産のリスクマネジメントについての監査” 危険のある業務執⾏⾏為を発⾒した場合、経営会議及び監査等委員会に報告

53. セキュリティ対策室 🤝 CEG (≒情シス) 53 セキュリティ監査の点検事例 • コンピューター‧システム監査 ◦ Wazuh

    の通知が機能しているか? ▪ アラートのトリアージがなされているか • 情報セキュリティ監査 ◦ ID ライフサイクル管理が為されているか ▪ 例) アカウントの棚卸し 忌憚なくご指摘をいただける関係が⼤事 ⚠ terraform 等の Iacツールで構成管理するのが望ましいが、コード化の複雑さ・メンバーの習熟度などの事情で全部は自動化されていない

54. “及” 普及 ... 組織⽂化 とか カタい話をしようと思っていた 54

55. 「20分 ➡ 40分」 何か好き放題話⼊れちゃおう 55

56. 20分 ➡ 40分 いきなりトークのアングル変えます 個⼈的な話、聞いておくれ 56

57. 何か好き放題話⼊れちゃおう 57 2021年に⾃分のキャリアをふりかえる発表をしました

58. @pyama さん 紹介ありがとうございます "最後に、 @hiboma さんは P山の同僚であり、 Linuxの低レイヤーの トラブルシュートから、 WebAPIの開発、メンバーのメンタリングなど

    幅広い領域 を、書籍などを通じた体系的な学習や、これまでの経験か らとても高いレベルで日々実践しているエンジニアです。社外から見え る情報としては hiboma/hiboma というリポジトリや、氏のブログを見 ていただくとして、ペパボの社内においては端的に言うと、とても美しい コードを書き、多くのテストケースを実装するプログラマであり、一見原 因がわからないような障害、たとえば VMのレイヤーで起きる、カーネ ルパニックも再現コードを見つけ出し、確実に仕留める、そういうエンジ ニアです。もっと @hiboma を皆さんに知ってほしい、そんな思い半 分、これまでのキャリアについて改めてお聞きしたく声をかけました 。 58

59. 59 【当時のスライドより引⽤】 私のキャリアに影響を与えた⼈々

60. 60 • 2025年春にシニアプリンシパル‧エンジニアに昇格もできた ◦ もっとやっていこうと意を新たにした !!! ◦ が、その後 なんか空回りしている ▪

    職位の責務を過剰に捉えているか? ▪ 周囲の期待を背負いすぎていないか? ▪ 「pyama みたいにやれているか？」 • や、ほんとこういう気分あるんすよ 先の発表でキャリアの悩みに区切りをつけたつもりだった ...

61. 61 専⾨領域における執⾏役員または取締役の定める技術戦略の実⾏において 重要項⽬を単独で担当し、遂⾏できる シニアプリンシパルエンジニア 役割及び求められる能⼒レベル

62. 62 • 新たに取り組みたい課題は⼭積み • ⼀⽅で、導⼊済み対策の実効性の担保も重要 ◦ 「導⼊したけど、活⽤されていない」で形骸化 ... ◦ 宇宙船モデル🚀

    での危機 全然⾜りないことはある... もがき 💥

63. 63 • セキュリティが常に優先事項ではない • 協働するアングルをどう作るか 🤔 ◦ 「べきろん」「正論」だけでは押し進めない 上位等級としてどのように切り込んでいくのがいいだろうか (悩)

    事業の課題は他にも無数にある

64. P⼭ “hiroya さん、Go Bold ですよ” また脳内で声が聞こえてきた (昨⽇も今⽇も、本⼈は何も⾔っていない) 64

65. 65 • 対策室は様々な同僚の「リーダーシップ」に引っ張られてきた • セキュリティを「特別なもの」でなく「ふつう」にやれていく⽂化醸成 セキュリティ対策室の過去をふりかえる 💪 💪

66. 66 • 過去のふりかえりは OK • ほいじゃ、次の「ふつう」をどうやって⽬指すべか? ◦ ⾃分、それやる⽴場だよなぁ ... (過剰な⾃意識)

    セキュリティ対策室を過去から未来へ 💪

67. GMOペパボエンジニアバリュー 67 すべてが⾃分ごと チームの課題は私の課題、サービスの課題も私の課題、会社の課題だって私の課題。組織の垣根を越えて課題解決に 取り組もう。 最⾼‧最速の両⽴ 最⾼の体験を最速で提供することで、ユーザーの期待を超え、熱狂を⽣み出そう。現状に満⾜せず、常に最⾼と最速 を更新し続けよう。 アウトプット前提 "⼈類のアウトプットを増やす"ミッションを背負っている私たちはアウトプットするのがデフォルト。常に新しい表

    現活動に挑戦し続けよう。 https://tech.pepabo.com/engineers/

68. • ⽣成 AI の寄与は、セキュリティでも疑うべくもない ◦ シフトレフト化を強⼒に推し進める武器 ▪ 例) セキュリティレビューの⾃動化 ▪

    例) 脆弱なコードの発⾒、テスト‧修正の⾃動化 • ⽣成 AI へセキュリティ課題をオフロード ◦ 対策室の責務を、⼀部、オフロード ▪ 開発の中で「ふつう」にセキュリティやってもらえる ▪ 別の課題に取り組める余裕 68 すべてが⾃分ごと + 最⾼‧最速の両⽴ 🤖 🛡

69. • 翻って、対策室は事業部の優先課題も⽀援、解決できるだろう • 互いの課題を協働解決する中で、次のレベルへ辿り着けるだろう ◦ 綺麗な理想論ではあるが ▪ AI 前提の働き⽅だと夢ではない ▪

    ガシガシやってるところもいるだろう 69 すべてが⾃分ごと + 最⾼‧最速の両⽴

70. 💦 「ところで御社、〇〇 やってないの? △△ とってないの? 」という声はあろう (お客様からも含め) 今のペパボの姿を世にアウトプットして感想もらって、世の「ふつう」とのギャップを噛み締めよう それを⼿⼟産にするカンファレンス参加にしようと思いが巡る 70

    アウトプット前提 ➡ 外の⽬線で課題を⾒つける、突きつける 注) スライドと時間の都合で 事業部・サービス主導で進めてる対策で連ねてないものもあります！

71. 71 “組織の地⼒は「当たり前のレベルがどういう⽔準か」に現れる” “この"当たり前レベル"を上げていくにはどういうステップが必要か” “1. トップオブトップを知る” 「 Konifar's ZATSU "当たり前レベル"の上げ⽅」 がヒントでした

    https://konifar-zatsu.hatenadiary.jp/entry/2025/09/09/200924

72. 72 “組織において 「⽂化」と「リーダーシップ」 という２つの側⾯が表裏⼀体である” 引用: [『組織文化とリーダーシップ【原著第５版】』監修者 あとがき抄録 | エドガー・シャイン ポータルサイト

    (https://www.edgarschein.jp/20250516/1033.html 組織⽂化とリーダーシップ E.H. シャイン

73. 73 “GMOペパボのセキュリティ対策室とは情報セキュリティ基本⽅針を遵守し お客様、お取引先様、従業員から預る情報資産を適切に扱える ⽂化形成、技術的仕組みをリードする組織”

74. P⼭ “hiroya さん、⼈⽣相談にきたんすか?” そうだったかも YAPC = Yabai Attouteki Pyama Conference

    74

75. 75 Thank you!

76. 76 おまけ キャリアの話だと相当に個⼈的 (家族的) 過ぎる「壁」がある いつかどこかで区切りつけてキャリアトークで披露したい (ちゃんと真⾯⽬な話ですよ) この⼿の⾃⼰開⽰は好きなのかもな 注) ベンチプレスは勝てると思ってます