建設DXを支えるANDPAD: 2025年のセキュリティの取り組みと卒業したいセキュリティ

by ANDPAD inc

Embed

Start on current slide

Slide 1

Slide 1 text

Slide 2

Slide 2 text

© 2026 ANDPAD All Rights Reserved. Conﬁdential 派遣エンジニア企業にてインフラエンジニアとして勤務したのち、 2020年6月にアンドパッドに入社。 SREグループにて運用やセキュリティの課題に数年取り組み、 2024年〜セキュリティグループのテックリードに就任。宜野座清貴(Kiyotaka Ginoza) サービスプラットフォーム部セキュリティグループテックリード Proﬁle ｜経歴自己紹介 2 @kiyogino

Slide 3

Slide 3 text

Slide 4

Slide 4 text

Slide 5

Slide 5 text

Slide 6

Slide 6 text

© 2026 ANDPAD All Rights Reserved. Conﬁdential 幸せを築く人を、幸せに。住まいをつくる。ビルや施設をつくる。街をつくる。生活を豊かにする建築・建設業は、幸せづくりと例えられます。私たちは、その幸せづくりをする人たちをテクノロジーの力で後押ししていきたい。心からそう考えています。日々、進行状況が変わっていく現場は、設計や仕様の変更、それにともなう資料づくりや施工開始の遅延、電話やFAXでの情報共有、現場確認のための移動など時間との闘いでもあります。そんな慌ただしい現場に、心のゆとりを生み出す。質をさらに追求したり、技術を磨いたり、知識を蓄えたり、家族や仲間との絆を深めたり。お互いの仕事をたたえ合い、誇れる仕事を増やしていく。どれだけテクノロジーが進歩しても建築と建設が、人の手によって生み出される創造的な仕事であることは、これまでも、これからも、変わりません。その手で幸せを築く、すべての人たちを幸せにする。それが、私たちANDPADです。 Mission 6

Slide 7

Slide 7 text

© 2026 ANDPAD All Rights Reserved. Conﬁdential ANDPADサービス一覧現場管理を効率化したい工事写真の撮影・整理・台帳作成を効率化したい顧客と円滑にコミュニケーションしたい・顧客への提出物をスムーズに作成したい工程管理の手間を減らしたい円滑にコミュニケーションしたい検査や是正指示を効率化したい経営・営業データを可視化したい受発注・請求書受領を効率化したいｚ社内での承認フローを効率化したい断熱リフォームの効果を可視化したい現地調査を効率化したい現場訪問の回数を減らしたい安全衛生管理を徹底したい社外リソースを活用したいシステム連携で効率性を上げたい施工管理案件概要資料ボード写真写真台帳黒板黒板 AI作成豆図AI キャプチャーデジタルサイン報告出力レイアウト電子納品おうちノート工程表横断マイルストーンチャット報告図面検査 Analytics 引合粗利管理受発注請求管理資料承認サーモ 3Dスキャン遠隔臨場入退場管理 BPO API連携アプリマーケット 7 7

Slide 8

Slide 8 text

© 2026 ANDPAD All Rights Reserved. Conﬁdential ANDPADのセキュリティへの取り組み(2025) 8 昨年の取り組みをピックアップ ● 脆弱性診断の内製化に向けた取り組みを開始 ○ 主に Webアプリケーション診断, プラットフォーム診断を対象 ■ 第三者診断と最適なバランスを考慮しつつ、取り組んでいる ● Dependabotアラートの運用整備 ● クラウド・防御基盤の強化 ○ マルチクラウドCSPMの運用開始 ○ AWS WAFの運用を大幅に改善 ● 他グループで対応していたクラウドセキュリティ業務を引き継ぐ ○ クラウドセキュリティの改善対応と各種アラートの検出結果対応 ● ASM(Attack Surface Management)ツールの運用開始 ● ISO/IEC 27017 クラウドサービスセキュリティ認証の取得 ● セキュリティホワイトペーパーの公開 ○ https://andpad.jp/help/security_wp ● 歴代最多数百件のセキュリティチェックシート対応

Slide 9

Slide 9 text

© 2026 ANDPAD All Rights Reserved. Conﬁdential 改めてセキュリティ基盤作りに取り組んだ 9 巷ではサイバー攻撃へのAI活用が増えている。 ● 生成AIなどを用いて、攻撃側が精巧なフィッシングメールやマルウェアを迅速に作成できるように ● AIエージェントを用いた攻撃の増加 ● etc... ANDPADのセキュリティへの取り組み(2025) → AI時代もこれまで同様、地に足をつけたセキュリティ対策は重要。

Slide 10

Slide 10 text

Slide 11

Slide 11 text

Slide 12

Slide 12 text

© 2026 ANDPAD All Rights Reserved. Conﬁdential 昨年のさまざまな取り組みによって、セキュリティグループの業務範囲が大幅に拡大。これまで以上にグループが組織へ大きく貢献することに繋がった。 → 一方、定常業務が続々と増加... 例 CSPMの検出結果対応、AWS WAFのアラート対応、 GuardDutyの検出結果の調査、ライブラリの脆弱性評価、ウイルススキャンシステムの運用、etc.. → 結果として、グループのValue体現に向けた活動時間が減少。卒業したいセキュリティ 12

Slide 13

Slide 13 text

Slide 14

Slide 14 text

© 2026 ANDPAD All Rights Reserved. Conﬁdential ● 定常業務をどうするか ○ 運用整備後、他のグループ・チームへ移譲していく ■ 各グループ・チーム多忙で難しそう。。 ○ 事業インパクトの低い対応はやめていく ■ 組織運営上必要なものも多く、中々やめられない。。 → グループでAIを活用(自動化)して、効率化していくぞ!! 定常業務を卒業するには。。 14

Slide 15

Slide 15 text

Slide 16

Slide 16 text

© 2026 ANDPAD All Rights Reserved. Conﬁdential ＜これから＞ ● 各種アラートの調査へのAI活用 ○ WAF, GuardDuty の一次調査 ● ライブラリ脆弱性の脆弱性評価 ● セキュリティの設計レビュー ● etc.. 定常業務へのAI活用や自動化事例 16 ＜事例＞ ● GithubのPR作成 (Terraformのコード追加・修正など) ● セキュリティチェックへのAI活用 ● Dependabot アラートのトリアージ (1次評価の実施)

Slide 17

Slide 17 text

© 2026 ANDPAD All Rights Reserved. Conﬁdential ● セキュリティのシフトレフト ○ Web診断の内製化 ○ プロダクト設計フェーズからのセキュリティグループの参加 ○ セキュリティフレームワークに基づいたプロダクト評価定常業務を卒業したらやりたいこと 17 グループValueを体現する活動に一層取り組みたい Value ● より低いレイヤー(コンテナ/サーバー/etc)のセキュリティにも一層取り組む ● セキュリティを良くするための開発や改修 → より早い段階でセキュリティに取り組み、お客様や組織にエンジニアリングで貢献したい Security for Speed.（加速のためのセキュリティ） Security as a Value.（選ばれる理由を作る）

Slide 18

Slide 18 text

Slide 19

Slide 19 text

Slide 20

Slide 20 text

Slide 21

Slide 21 text

© 2026 ANDPAD All Rights Reserved. Conﬁdential Security Frontend Backend Apli QA Frontend Backend QA Frontend Backend Apli Project A Project B Project C Frontend Backend Project D セキュリティグループは横断的組織として活動 21 セキュリティグループの業務範囲 SRE