Slide 1

Slide 1 text

えっ、ぜんぜん詳しくない 分野のチームを立ち上げるん ですか!? 2025.02.27 Thu. EMConf JP 2025@懇親会 スポンサーLT すがわら まさのり(@sugamasao) SmartHR エンジニアマネージャー

Slide 2

Slide 2 text

No content

Slide 3

Slide 3 text

だれ?

Slide 4

Slide 4 text

● SIer 5年 ● 自社サービス会社 10年 ● SmartHR 5年 <———— イマココ ● 長年プログラマーとしてやってきた ● ここ2.5年くらいは専業のマネージャー @sugamasao プログラマー 17.5年 EM 2.5年 自己紹介 期間

Slide 5

Slide 5 text

@sugamasao 自己紹介(趣味) Rubyチョットわかる > amazon著者セントラルより引用 ※共著含む

Slide 6

Slide 6 text

えっ、ぜんぜん詳しくない 分野のチームを立ち上げるん ですか!?

Slide 7

Slide 7 text

● マネージャーをやっていると(主語デカ) 未知のものもやっていかなくてはいけない ● どう考えて新しいチームを作るんだ……とい う参考になれば

Slide 8

Slide 8 text

今日お伝えしたいポイント

Slide 9

Slide 9 text

● 未知のものを考えていく事例 ● PSIRTというもの ● 組織立ち上げ時にやったこと 今日お伝えしたいポイント

Slide 10

Slide 10 text

● 未知のものを考えていく事例 ● PSIRTというもの ● 組織立ち上げ時にやったこと 今日お伝えしたいポイント

Slide 11

Slide 11 text

えっ、ぜんぜん詳しくない 分野のチームを立ち上げるん ですか!?

Slide 12

Slide 12 text

えっ、ぜんぜん詳しくない 分野のチームを立ち上げるん ですか!?

Slide 13

Slide 13 text

ぜんぜん詳しくない分野

Slide 14

Slide 14 text

● 長年Webアプリケーション開発をしてきた ● バックエンド、フロントエンド、プログラミ ング、インフラ、チーム開発…… ● 隣接する領域はある程度経験したと思ったが 私のバックグラウンド

Slide 15

Slide 15 text

ある日の上長(2024年当時のVPoE)との会話 VPoE「なんか、セキュリティ?ってやつ?必要っぽ くない?」

Slide 16

Slide 16 text

ある日の上長(2024年当時のVPoE)との会話 ワイ「なんか、セキュリティ?ってやつ?必要っぽ い気がする!」

Slide 17

Slide 17 text

● 社内にはすでにセキュリティ組織がある ● SmartHR全体のセキュリティ対策は行われ ていた ○ セキュリティ監視やペネトレーションテ スト、脆弱性診断 etc セキュリティ?ってやつ?(1)

Slide 18

Slide 18 text

● 他方で、プロダクトサイドにフォーカスした セキュリティ組織はなかった ● プロダクトサイドとして、適切にリスクをコ ントロールして開発できていたか?と問われ ると回答が難しい ○ (意識してないわけじゃないよ!) セキュリティ?ってやつ?(2)

Slide 19

Slide 19 text

● 3ラインモデルでいうところの、第1ライン がない ○ 既存の組織は第1.5〜2ラインに該当する セキュリティ?ってやつ?(3)

Slide 20

Slide 20 text

● ガバナンスとリスクコントロールのためのフ レームワーク 3ラインモデル(1) Three Lines Model Updated Japanese

Slide 21

Slide 21 text

● 第1ラインと第2ラインが協調することでリス クをコントロールできる 3ラインモデル(2) Three Lines Model Updated Japanese

Slide 22

Slide 22 text

ワイ「なんか、セキュリティ?ってやつ?必要っぽ い!」

Slide 23

Slide 23 text

ワイ「必要なのはわかったけれど、どうしたら良い か何もわからないんだが?」

Slide 24

Slide 24 text

えっ、ぜんぜん詳しくない 分野のチームを立ち上げるん ですか!?

Slide 25

Slide 25 text

● セキュリティに関するコンサルを見つけて相談 する? ● プロダクトサイドにおいてはインフラ方面のセ キュリティになるだろうから、セキュリティに 強いインフラチーム的なものを作る? 何もわからなさすぎて迷走

Slide 26

Slide 26 text

勘所がわからなさすぎてHowに飛びつきすぎてい た。冷静になりましょう

Slide 27

Slide 27 text

● 品質保証部で取り組んでいること、今後の方針 について聞いてみる ● 社内のセキュリティユニットに課題感や参考と なる情報を聞いてみる まずは社内で情報収集しましょう

Slide 28

Slide 28 text

💡ここら辺の情報をまとめて、社内異動や求人を出 せると良いかな

Slide 29

Slide 29 text

ワイ「プロダクトのセキュリティについて、課題感 や今後の見通しかありますか」 セキュリティエンジニア氏「プロダクトサイドだ と、PSIRTという概念があるんですよね!」 セキュリティエンジニア氏「課題感もあるので一緒 に調べていきましょう!」

Slide 30

Slide 30 text

ワイ「!!!!」

Slide 31

Slide 31 text

ワイ「PSIRT、そういうものがあるのか」

Slide 32

Slide 32 text

PSIRT

Slide 33

Slide 33 text

● 未知のものを考えていく事例 ● PSIRTというもの ● 組織立ち上げ時にやったこと 今日お伝えしたいポイント

Slide 34

Slide 34 text

PSIRT(Product Security Incident Response Team) 自社で製造・開発する製品・サービスに対するセキュリティの向上や、インシデント(不具合や 障害など)への対応を目的とする組織です。日本語では「製品セキュリティインシデント対応 チーム」となり、製品やサービスの安全性を高めることや、インシデントが発生した際にはユー ザーサポートを含む対応を行うことを目的としています PSIRT(ピーサート)とは? CSIRTとの違いも解説 | 株式会社 日立ソリューションズ・クリエイト

Slide 35

Slide 35 text

社内のセキュリティエンジニア氏に相談してみたと ころ、あらゆるものが劇的に動きはじめる

Slide 36

Slide 36 text

ワイ「やることはわかってきたので、求人票出して ユニット作るような体制作っていかねば💨」 セキュリティエンジニア氏「PSIRT組織やその立ち 上げに興味あるんですよね」 セキュリティエンジニア氏「PSIRT立ち上げ支援の ドキュメントが公開されているので、一緒に読みま しょう!」

Slide 37

Slide 37 text

ワイ「!!!!」

Slide 38

Slide 38 text

社内のセキュリティユニットの方に相談してみたと ころ、あらゆるものが劇的に動きはじめる

Slide 39

Slide 39 text

紆余曲折あったものの、こうなった

Slide 40

Slide 40 text

● 2025/1 PSIRTユニット立ち上げ ○ 構成メンバー ■ ワイ(兼務) ■ セキュリティエンジニア氏(兼務)

Slide 41

Slide 41 text

結論

Slide 42

Slide 42 text

● 社内での情報収集はだいじ ● Willがあり、スキルの高い人が見つけられれば儲 けもの(今回は儲けすぎである) ● やらなかったけど、やっても良かったこと ○ 社外で、あるていど組織規模が大きい会社に いるEMなど知り合いの伝手で相談してみても 良かった ○ コンサルや壁打ちをしてくれる人との契約

Slide 43

Slide 43 text

結論?

Slide 44

Slide 44 text

組織 is 作って終わりではない

Slide 45

Slide 45 text

とくに、立ち上げたけど周囲から「なんかよくわか らんな」と思われないようにしたい

Slide 46

Slide 46 text

SmartHRでのPSIRT組織はチートポ用語でいうとこ ろのイネイブリングチームなので、周囲への認知や 期待値を揃えるのがだいじ

Slide 47

Slide 47 text

組織をどう立ち上げていくか

Slide 48

Slide 48 text

● 未知のものを考えていく事例 ● PSIRTというもの ● 組織立ち上げ時にやったこと 今日お伝えしたいポイント

Slide 49

Slide 49 text

● インセプションデッキの作成 ● ロードマップの作成 ● 社内外へのPSIRTユニット立ち上げましたドキュ メントの作成 やったこと

Slide 50

Slide 50 text

アジャイルサムライ――達人開発者への道 | コンピュータ・一般書,プログラミング・開発,開発技法 | Ohmsha 'インセプションデッキは、プロダクトづくりに関わるメンバーが各々の意見を持ち寄っ て共通認識をつくり出すための大事な質問、もしくは対話の場を指す。インセプション デッキの内容は10個の手ごわい質問(タフクエッション)で構成される。 チーム立ち上げ時期やプロダクトの方向性を見直すタイミングで質問の解となるデッキ (スライド)をメンバーと対話しながら作成や更新を行う。インセプションデッキは書 籍『アジャイルサムライ』の中でJonathan Rasmussonによって紹介された。' インセプションデッキ | Agile Studio インセプションデッキ is なに

Slide 51

Slide 51 text

● 我々はなぜここにいるのか? ● エレベーターピッチ ● パッケージデザイン ● やらないことリスト ● ご近所さんを探せ ● 解決案 ● 夜も眠れなくなるような問題 ● 期間を見極める ● なにを諦めるかはっきりさせる ● 何がどれだけ必要なのか 10個の質問 is なに

Slide 52

Slide 52 text

インセプションデッキ詳細 インセプションデッキ | Agile Studio 我々はなぜここにいるのか? `顧客は誰か、なぜこの事業に取り組むのかの背景や目的が揃うようにする。 チームメンバーが同じ「なぜ」の目的にフォーカスできれば、各状況で的確 な判断をして、メンバー同士や周囲と対立解消に役立ち、また目的に沿った 斬新なアイデアを提案できる。` エレベーターピッチ `案件を知らない人向けにテンプレを使って30秒以内で簡潔明瞭に説明できる ようにする。周囲のステークホルダーの協力を要請しやすくなるほか、価値 にフォーカスしてプロダクトバックログの優先順位の判断材料にも使える。`

Slide 53

Slide 53 text

インセプションデッキの作成

Slide 54

Slide 54 text

エレベーターピッチの代わり(30秒では済まない) PSIRTを立ち上げました!プロダクトセキュリティを組織的に強化する仕組みづくりに向けて - SmartHR Tech Blog

Slide 55

Slide 55 text

● インセプションデッキを作成することでお互いの イメージがかなり言語化された ○ どんな方向性にしたいのか ○ どんな人たちと関わっていくのか ○ 懸念していることは何か インセプションデッキを作ってみて

Slide 56

Slide 56 text

ロードマップ作成の大きな参考になった インセプションデッキで話した内 容をベースにロードマップを作成 することができた 特に以下の2つが元ネタになりや すかった ● 解決案 ● 夜も眠れなくなるような問題

Slide 57

Slide 57 text

まとめ

Slide 58

Slide 58 text

● インセプションデッキべんり ● マネージャーとプレイヤー間で認識や期待値を調 整できて大変たすかる ○ 言語化だいじ ● インセプションデッキがあると、その後のアウト プットの指針になるのでオススメ

Slide 59

Slide 59 text

おわり

Slide 60

Slide 60 text

がんばって最高の組織を作っていこうな

Slide 61

Slide 61 text

Appendix ● PSIRT(ピーサート)とは? CSIRTとの違いも解説 ● PSIRT Services Framework と PSIRT Maturity Document ○ PSIRT立ち上げ支援のドキュメント ● PSIRTを立ち上げました!プロダクトセキュリティを組織的に 強化する仕組みづくりに向けて - SmartHR Tech Blog ● アジャイルサムライ――達人開発者への道 | コンピュータ・一 般書,プログラミング・開発,開発技法 | Ohmsha ● インセプションデッキ | Agile Studio