セキュリティを「ふつう」にやっていく技術、体制、文化の追求 / YAPC::Fukuoka 2025

by Hiroya Ito

Slide 1

Slide 1 text

1 セキュリティを「ふつう」にやっていく技術、体制、⽂化の追求 GMOペパボ、セキュリティ対策室から発信伊藤洋也｜シニアプリンシパルエンジニア｜GMO PEPABO,inc. 2025.11.14 YAPC::Fukuoka 2025

Slide 2

Slide 2 text

2 自己紹介 GMOペパボセキュリティ対策室 2007年入社伊藤洋也 Hiroya Ito ホスティングサービス、技術基盤チームを経て現在はセキュリティ対策室に所属。シニアプリンシパル (2025年4月〜) 過去登壇 YAPC::Asia 2009, YAPC::Kyoto 2003 (Reject Con) ● ID: @hiboma ● https://hiboma.hatenadiary.jp/

Slide 3

Slide 3 text

イントロダクション 3 登壇を考えていた後輩を⿎舞するつもりで、⾃分も CfP 出したら通った Perl の話は全然ありませんが、TMTOWTDI なマインド 🐪 「YAPC にセキュリティの話ですか? 」 https://hiboma.hatenadiary.jp/entry/2025/09/12/121848

Slide 4

Slide 4 text

「急」ちょっと本題に⼊る前に ... イベント登壇前⽇に “急” にボールが来た話 4

Slide 5

Slide 5 text

20分 ➡ 40分急遽トーク時間の延⻑ 5

Slide 6

Slide 6 text

Slide 7

Slide 7 text

P⼭ “hiroya さん、Go Bold ですよ” ... という声が脳内で聞こえたま、ほんとにそういう感じのことをよくペパボでも⾔ってた 7

Slide 8

Slide 8 text

先んじて謝辞過去、ペパボでお仕事をご⼀緒した⽅も含めていろんな⼈たちの⼒を借りてセキュリティ対策を為してきました / 為していますその成果を具に紹介したいと思いつつも、構成の都合上⾒送りました 🤲 ただし P⼭さんはキーノートスピーカーなので特別に掲載します! 8

Slide 9

Slide 9 text

会社の紹介 9

Slide 10

Slide 10 text

事業の紹介 10

Slide 11

Slide 11 text

11 サービスの紹介

Slide 12

Slide 12 text

「汲」汲めども尽きぬ 12

Slide 13

Slide 13 text

クレデンシャルスタッフィングビジネスメール詐欺国家レベルの攻撃ディープフェイクインフォスティーラー脆弱性情報漏洩世の中を騒がすセキュリティニュース 🔥 13 サプライチェーン攻撃ランサムウェア攻撃マルウェア不正ログインゼロデイ攻撃クラウドの設定ミスフィッシング不正持ち出し DDoS 攻撃プロンプトインジェクション地政学的リスク 😈🦠👾

Slide 14

Slide 14 text

OS ミドルウェアアップデートログ管理, 監査バックアップクラウドセキュリティ訓練、研修法令、コンプライアンス SIEM・SOAR DLP ゼロトラストアーキスパム対策 🛡 アクセス制御膨⼤なセキュリティ対策 14 ライブラリアップデート認証・認可 DDoS対策脆弱性管理 EPP, EDR, XDR, *DR CSPM AI ガバナンス暗号管理セキュリティ研修 IDS / IPS 脆弱性診断インシデント対応 BCP対応ライセンス管理 🛡🛡 脅威インテリジェンス CASB

Slide 15

Slide 15 text

15 いまのインターネットは、宇宙空間のようなものです。一度そこにシステムを浮かべたら、外は真空。もしその機体に、ほんの小さな穴があれば ——空気は自動的に漏れ出す。誰かが狙ってやっているわけではなくても、欠陥がある限り、侵害は必ず起こるのです。この現実を前提にした考え方を、私は「宇宙船モデル」 🚀 と呼んでいます。セキュリティの宇宙船モデル GMOペパボ株式会社取締役 CTO 栗林健太郎 (id:antipop)

Slide 16

Slide 16 text

宇宙船モデル 16 いらすとや宇宙船のイラスト（旅客機） https://www.irasutoya.com/2019/07/blog-post_45.html

Slide 17

Slide 17 text

“「攻撃」は、もはや “起きるかもしれないこと ”ではない” “セキュリティ＝環境ガバナンス ” “生き延びるための指針： AIとレジリエンス ” 17 セキュリティの宇宙船モデル GMOペパボ株式会社取締役 CTO 栗林健太郎 (id:antipop)

Slide 18

Slide 18 text

「旧」/「窮」 18

Slide 19

Slide 19 text

現在のセキュリティ組織は 2018年のインシデントを機に再構築‧強化された「旧」/「窮」 19 GMOペパボのセキュリティ体制転換点 2018 2025 2003 2014 paperboy&co. 創業 GMOペパボに社名変更インシデント https://pepabo.com/news/information/201801260800

Slide 20

Slide 20 text

⚒ 「旧」/「窮」 20 再発防⽌に向けた取り組み規程‧ドキュメント策定技術対策組織体制の強化教育‧研修 📖 継続的な改善プロセス 🔁 📝

Slide 21

Slide 21 text

指示事業部事業部再発防⽌ 21 セキュリティ体制の整備セキュリティ対策室技術部事業部内部監査室セキュリティ監査チームペパボCSIRT 代表取締役社⻑ Computer Security Incident Response Team の略称他の部、室のメンバーが兼任で構成する報告指示報告指示報告連携

Slide 22

Slide 22 text

22 情報セキュリティ規程の整備 📖 (例: 体制に関する項⽬) 再発防⽌

Slide 23

Slide 23 text

セキュリティ対策室 23

Slide 24

Slide 24 text

24 “GMOペパボのセキュリティ対策室とは情報セキュリティ基本⽅針を遵守しお客様、お取引先様、従業員から預る情報資産を適切に扱える⽂化形成、技術的仕組みをリードする組織” セキュリティ対策室のミッション

Slide 25

Slide 25 text

当初は、インシデントの再発防⽌を最優先課題としたチームだったが、徐々に Cyber Hygiene* ( 環境ガバナンス) に重きをおいた活動にシフトしている 2018 〜 2025 25 セキュリティ対策室チームの変化 2025 2018

Slide 26

Slide 26 text

⽂化形成をリードする組織 26 ● 中途⼊社のメンバー受け⼊れで開催 ○ インシデントの記録を伝承 ■ 過去があっての今 ○ セキュリティ相談の拠り所を知る ■ 「セキュリティの相談はセキュ対に!」セキュリティオンボーディング研修

Slide 27

Slide 27 text

⽂化形成をリードする組織 27 ● セキュアコーディング研修 ○ 技術職向けに講習‧ハンズオンを実施 ● 情報セキュリティ研修 ○ 全職種対象に設問とアンケートで実施 ● 標的型メール訓練の実施* ○ バックオフィス向けに模擬攻撃メールを配信 ■ メール開封率、URL 遷移率を集計研修‧訓練例) 訓練内容は予め対象者に周知され実施される。望ましくない対応を取った場合でも叱責や懲罰とならないこともお伝えする

Slide 28

Slide 28 text

● 「⾃然⾔語⽣成モデル活⽤ガイドライン」の作成 ○ 事業部の裁量でツールを選択‧活⽤ ○ 外部サービス利⽤申請で承認されたサービス‧ツールを利⽤ ✅ ■ セキュリティ対策室 + 法務チェックの承認フロー ○ AI ツールで扱う情報資産の重要度に応じた注意喚起を促す ■ 例) 学習データの共有‧提供の設定を禁⽌する ● 「情報セキュリティに関するガイドライン」の作成 ■ セキュアコーディングガイドライン ■ 外部サービス利⽤のガイドライン⽂化形成をリードする組織 28 各種ガイドラインの作成

Slide 29

Slide 29 text

29 宣伝セキュリティ対策室の紫関 @n01e0 が登壇します

Slide 30

Slide 30 text

⽂化形成、技術的仕組みをリードする組織 30 ● セキュリティプロジェクトの進⾏役 ○ 例) DMARC ポリシー引き上げ, BIMI / VMC 対応 ○ 例) BCP 計画のリード ● 緊急のセキュリティ調査‧対応 ○ 重⼤な脆弱性、サプライチェーン攻撃、他社のインシデント... ● グループ会社間の連携窓⼝ ■ GMOインターネットグループの情報交換会に参加 ● 脆弱性報告制度の運⽤ ● 取引先からのセキュリティチェック依頼対応その他のリード

Slide 31

Slide 31 text

31 セキュリティ対策室 🤝 {事業部, 技術部} ● 事業部 / 技術部でセキュリティ対策を遂⾏する ○ 年間の計画を基に、継続的な改善プロセスを回す ● セキュリティ対策室は専⾨組織として⽀援‧協働 ○ 組織横断でのセキュリティ基盤‧サービスの提供、運⽤ ○ 網羅的な視点での点検 (宇宙船モデル 🚀) 注) 技術部は、複数の事業部(サービス) をみる横断組織ではあり SRE (インフラ) や基盤技術の展開に重点を置く

Slide 32

Slide 32 text

セキュリティ対策室 🤝 {事業部, 技術部} 32 ● 事業部(サービス)でリスクアセスメント、改善を進める ○ CIS Controls を基準に評価 ■ 例) 継続的なソフトウェアアップデート ■ 例) 脆弱性診断の実施 ■ 例) インシデント訓練‧演習の実施 ● 完遂までをセキュリティ対策室でフォロー ○ 計画進⾏のファシリテート ■ 毎⽉の定例MTG ○ 技術課題の横断的な解決を⽀援セキュリティキープアップ (年次のプロセス)

Slide 33

Slide 33 text

セキュリティ対策室 🤝 {事業部, 技術部} 33 ● Wazuh (XDR, SIEM ) を導⼊し情報を⼀元化 ○ VM, オンプレサーバ対象に導⼊ ■ agent 数は 2000+ ■ Opensearch index で 100GB / day のログ量* ○ 監視対象 ■ ファイル整合性の監視 ■ ルールベースで各種ログ、Audit ログの監視 ■ サービス‧プロセスの状態監視 ○ パッケージ‧脆弱性インベントリの提供 ○ 収集したデータを脅威ハンティングに応⽤統⼀的なサーバ管理の⽀援注) コマンド実行のログが支配的

Slide 34

Slide 34 text

34 Wazuh の発表 @pyama86 さん (GMOペパボご在籍時)

Slide 35

Slide 35 text

セキュリティ対策室 🤝 {事業部, 技術部} 35 ● 運⽤の所感 ○ バージョンアップは頻繁に為されている ■ 追記) GMOペパボでは OSS 版を使っています ○ Kibana App + Opensearch の UI はちょい癖がある ■ パーマリンクの扱いが難しい ■ API でデータを抜き出して BI ツールで再構成 ○ 検出ルールの追加、削除の匙加減 ○ アラートトリアージは⼤変 ■ ⼀部、機械学習 ( 異常検知 ) で省⼒化アプローチ統⼀的なサーバ管理の⽀援注) コマンド実行のログが支配的

Slide 36

Slide 36 text

36 Wazuh の取り組み @pyama86 さん (GMOペパボご在籍時)

Slide 37

Slide 37 text

セキュリティ対策室 🤝 {事業部, 技術部} 37 ● 内製のポートスキャナ + HTTP スキャナ + Shodan ○ オンプレ、OpenStack、クラウドを対象に⾃社商材を定期スキャン ■ ポートの開閉チェック（露出を是とするか否か ) ■ 認証の不備がないかのチェック ○ スキャン対象となる IP‧サブドメインの網羅が肝 ■ ASM に限らず、インベントリ網羅は対策室の重要業務全商材の ASM ( Attack Surface Management ) 👁

Slide 38

Slide 38 text

セキュリティ対策室 🤝 {事業部, 技術部} 38 ● 脆弱性診断の実施 ○ 外注 ... 契約‧スケジューリングをコーディネート ○ 内製 ... 依頼ベースでオンデマンドに診断実施 ● 脅威モデリングのファシリテート ○ STRIDE メソッドをアレンジして実施 ■ 機能追加、サービスリリースなどを機に ● CSPM ○ AWS SecurityHub のアラートトリアージ ○ CloudTrail のログ監視 ● SAST (静的解析) の GitHub Actions 提供 DevSecOps / シフトレフトの⽀援

Slide 39

Slide 39 text

セキュリティ対策室 🤝 {事業部, 技術部} 39 ● @sssbot (内製)でチャンネル作成から解決まで⽀援 🚒 ○ 障害、セキュリティインシデント、ソーシャル炎上に適⽤ ■ 技術職以外の利⽤も多い ■ ⽉間で 50〜70 件ほどのチャンネルが作成される ○ 同期的なコラボレーション + 組織学習 ■ 職種横断で問題を解決する + 失敗をオープンにする ■ ただし、⻑期化すると「ダレる」感はあるインシデント対応⽀援

Slide 40

Slide 40 text

セキュリティ対策室 🤝 {事業部, 技術部} 40 インシデント対応をテーマにした過去の登壇資料 @hiboma

Slide 41

Slide 41 text

セキュリティ対策室 🤝 {事業部, 技術部} 41 ● 対策室 + CSIRT で「解決」までをフォローアップ ○ 全てのチャンネルに join する ■ 全てで初動対応に当たるわけではないが ○ postmortem 実施、再発防⽌計画までをトラッキング ■ コミュニケーションを「つっついて回す」役割 ■ bot のリマインドより、より⼈間が聞いた⽅が良い ○ 重⼤なリスクや防⽌策の⾒落としがないかインシデント対応⽀援

Slide 42

Slide 42 text

● 👀 CSIRT トラッキング ● 📘ポストモーテム ● ❓ドキュメント検索 ● キープアップ進行 ● 📕 対応マニュアル ● 💪訓練・演習 https:LFI Conf 23 | Brent Chapman | Incident Response and Incident Analysis: Two Great Tastes https://www.youtube.com/watch?v=QAl3tF9eZek 42 モデル図は Brent Chapman さんの発表を元に、発表者が GMOペパボの実情に合わせて改変・解釈した図ですインシデントマネジメントのプロセス自動化がマネジメントプロセス全体を駆動する ● チャンネルセットアップ ● コミュニケーション支援 ● 対応の記録 🛠準備 🚒対応 🔍事後対応

Slide 43

Slide 43 text

● 情報セキュリティ規程*に基づき実施 ○ 訓練 ■ 形式的な⼿続きを習熟する⽬的で実施 ■ 新規加⼊のメンバー、技術職以外を対象 ○ 演習 ■ 実践的なシナリオを想定した⾼度な内容で実施セキュリティ対策室 🤝 {事業部, 技術部} 43 インシデント対応の訓練 / 演習 > （１）情報セキュリティ最高責任者は、従業員に対して、計画的に本規程の教育を実施しなければならない。 > （２）社長以下すべての従業員は、情報セキュリティの重要性を認識し、本規程を理解し、実践するために、教育・訓練を受講しなければならない。

Slide 44

Slide 44 text

44 セキュリティ対策室 🤝 CEG (≒情シス) ● CEG = Corporate Engineering Group の業務 ○ 業務⽤デバイス管理 ( キッティング, プロビジョニング...) ○ SaaS ID ライフサイクル管理 ○ ヘルプデスク‧ITサポート ○ 機器管理‧ライセンス管理 ● セキュリティ施策を対策室でカバーする

Slide 45

Slide 45 text

セキュリティ対策室 🤝 CEG (≒情シス) 45 ● ⼤⼿製品による監視 ○ アラート監視は SOC に外注、24/365 体制 ■ 業務時間帯はセキュリティ対策室もトリアージする ○ ポリシー設定、更新はセキュ対が実施 ■ 基本的にベンダー推奨設定に従う ● クエリ機能で脅威ハンティング* ○ デバイスの例外的な利⽤を能動的に検出 ■ 例) LAN 内で TCP ポートへの接続 (accept) を検出 ■ 例) デバイスへのグローバルIP の付与を検出エンドポイントセキュリティ (macOS, Windows) ⚠ 通常の業務利用では「ありえない」「逸脱した」デバイスの利用や状態を検出することを目的に実施

Slide 46

Slide 46 text

● MDM でデバイス hardening ○ ポリシーの設定‧更新をセキュリティ対策室で⾏う ■ 例) Attack Surface Reduction ルールの展開 (Windows) ■ 例) Microsoft セキュアスコア対応 ■ 例) CrowdStrike ゼロトラストアセスメント対応 ○ Microsoft Defender for Endpoint plug-in for WSL ■ インベントリ化され WSL 利⽤者を網羅 ■ WSL 環境 (プロセス) の可視化セキュリティ対策室 🤝 CEG (≒情シス) 46 エンドポイントセキュリティ (macOS, Windows) 注) Windows の場合。macOS は不定期にリリースされるので、そのタイミングで実施

Slide 47

Slide 47 text

セキュリティ対策室 🤝 CEG (≒情シス) 47 ● OS アップデートの先⾏検証、展開 ○ パッチチューズデイ*に CEG, セキュ対で先⾏検証するフロー ● EOL 管理 ○ 直近だと Windows 11 23H2 (Professional) ■ 24H2 に上げると BitLocker 回復キーを求められるトラブル多発 ● 外部機器の利⽤制限 ○ 例) USB マストレージの利⽤制限エンドポイントセキュリティ (macOS, Windows) 注) Windows の場合。macOS は不定期にリリースされるので、そのタイミングで実施

Slide 48

Slide 48 text

セキュリティ対策室 🤝 CEG (≒情シス) 48 SaaS アプリケーションの監査ログ集約と監視 ● Splunk Cloud を SIEM + SOAR 活⽤ ○ 監査ログの検索基盤 ■ 例) メールアドレスやIPで串刺し ○ 監視‧脅威ハンティング ■ 例) 過度の認証失敗や不審な IP を監視 ■ 例) 異常‧エラーログを監視

Slide 49

Slide 49 text

セキュリティ対策室 🤝 CEG (≒情シス) 49 SaaS アプリケーションの監査ログ集約と監視 ● Splunk Cloud を SIEM + SOAR 活⽤ ○ 特権アカウントの重要操作を通知 ■ 例) 管理画⾯へのログイン ■ 例) セキュリティポリシーの変更 ○ 異常検知で複数 SaaS のセッションリセット ■ 安全に倒して⼀旦切る

Slide 50

Slide 50 text

セキュリティ対策室 🤝 CEG (≒情シス) 50 SaaS のポリシー‧設定をバージョン管理 + LLM で分析 ● 定期的に設定をダンプし差分を PR 化* ○ LLM で不審な変更がないかを分析 ■ 正常な変更 ■ 内部不正, ミスオペ, 脅威による改竄 ○ 最新の設定追加にも気がつくこともある ■ 例) セキュリティ製品のポリシー追加 ⚠ terraform 等の Iacツールで構成管理するのが望ましいが、コード化の複雑さ・メンバーの習熟度などの事情で全部は自動化されていない

Slide 51

Slide 51 text

51 セキュリティ対策室 🤝 CSIRT* 部⾨と連携 ● CSIRT メンバーは兼任で構成 ○ CTO, 技術責任者, 法務, セキュリティ監査チーム, セキュリティ対策室 ■ 情報セキュリティ規程、及び、ペパボCSIRT規則に基づいて組織される ● 組織スコープのセキュリティマネジメント ○ 世の事例を省みてのリスクアセスメント‧リスクマネジメントの執⾏ ○ インシデント対応のフォローアップ ○ 外部組織、CSIRT との情報交換‧連携注1) 一般社団法人日本シーサート協議会 - PEPABO CSIRT https://www.nca.gr.jp/member/pepabo-csirt.html 注2) Computer Security Incident Response Team ... 一般的には “セキュリティインシデントが発生した際に、専門的に対応する組織・チーム” を指すが、GMOペパボではマネジメント寄りか?

Slide 52

Slide 52 text

52 セキュリティ監査チーム 👁 { セキュ対, 事業部, 技術部 } 部⾨と連携 ● セキュリティ監査チームが対策の実効性を点検 ○ コンピューター‧システム監査 ■ “情報管理システムの信頼性、安定性及び効率性についての監査” ○ 情報セキュリティ監査 ■ “情報資産のリスクマネジメントについての監査” 危険のある業務執⾏⾏為を発⾒した場合、経営会議及び監査等委員会に報告

Slide 53

Slide 53 text

セキュリティ対策室 🤝 CEG (≒情シス) 53 セキュリティ監査の点検事例 ● コンピューター‧システム監査 ○ Wazuh の通知が機能しているか? ■ アラートのトリアージがなされているか ● 情報セキュリティ監査 ○ ID ライフサイクル管理が為されているか ■ 例) アカウントの棚卸し忌憚なくご指摘をいただける関係が⼤事 ⚠ terraform 等の Iacツールで構成管理するのが望ましいが、コード化の複雑さ・メンバーの習熟度などの事情で全部は自動化されていない

Slide 54

Slide 54 text

“及” 普及 ... 組織⽂化とかカタい話をしようと思っていた 54

Slide 55

Slide 55 text

「20分 ➡ 40分」何か好き放題話⼊れちゃおう 55

Slide 56

Slide 56 text

20分 ➡ 40分いきなりトークのアングル変えます個⼈的な話、聞いておくれ 56

Slide 57

Slide 57 text

何か好き放題話⼊れちゃおう 57 2021年に⾃分のキャリアをふりかえる発表をしました

Slide 58

Slide 58 text

@pyama さん紹介ありがとうございます "最後に、 @hiboma さんは P山の同僚であり、 Linuxの低レイヤーのトラブルシュートから、 WebAPIの開発、メンバーのメンタリングなど幅広い領域を、書籍などを通じた体系的な学習や、これまでの経験からとても高いレベルで日々実践しているエンジニアです。社外から見える情報としては hiboma/hiboma というリポジトリや、氏のブログを見ていただくとして、ペパボの社内においては端的に言うと、とても美しいコードを書き、多くのテストケースを実装するプログラマであり、一見原因がわからないような障害、たとえば VMのレイヤーで起きる、カーネルパニックも再現コードを見つけ出し、確実に仕留める、そういうエンジニアです。もっと @hiboma を皆さんに知ってほしい、そんな思い半分、これまでのキャリアについて改めてお聞きしたく声をかけました。 58

Slide 59

Slide 59 text

59 【当時のスライドより引⽤】私のキャリアに影響を与えた⼈々

Slide 60

Slide 60 text

60 ● 2025年春にシニアプリンシパル‧エンジニアに昇格もできた ○ もっとやっていこうと意を新たにした !!! ○ が、その後なんか空回りしている ■ 職位の責務を過剰に捉えているか? ■ 周囲の期待を背負いすぎていないか? ■ 「pyama みたいにやれているか？」 ● や、ほんとこういう気分あるんすよ先の発表でキャリアの悩みに区切りをつけたつもりだった ...

Slide 61

Slide 61 text

61 専⾨領域における執⾏役員または取締役の定める技術戦略の実⾏において重要項⽬を単独で担当し、遂⾏できるシニアプリンシパルエンジニア役割及び求められる能⼒レベル

Slide 62

Slide 62 text

62 ● 新たに取り組みたい課題は⼭積み ● ⼀⽅で、導⼊済み対策の実効性の担保も重要 ○ 「導⼊したけど、活⽤されていない」で形骸化 ... ○ 宇宙船モデル🚀 での危機全然⾜りないことはある... もがき 💥

Slide 63

Slide 63 text

63 ● セキュリティが常に優先事項ではない ● 協働するアングルをどう作るか 🤔 ○ 「べきろん」「正論」だけでは押し進めない上位等級としてどのように切り込んでいくのがいいだろうか (悩) 事業の課題は他にも無数にある

Slide 64

Slide 64 text

P⼭ “hiroya さん、Go Bold ですよ” また脳内で声が聞こえてきた (昨⽇も今⽇も、本⼈は何も⾔っていない) 64

Slide 65

Slide 65 text

65 ● 対策室は様々な同僚の「リーダーシップ」に引っ張られてきた ● セキュリティを「特別なもの」でなく「ふつう」にやれていく⽂化醸成セキュリティ対策室の過去をふりかえる 💪 💪

Slide 66

Slide 66 text

66 ● 過去のふりかえりは OK ● ほいじゃ、次の「ふつう」をどうやって⽬指すべか? ○ ⾃分、それやる⽴場だよなぁ ... (過剰な⾃意識) セキュリティ対策室を過去から未来へ 💪

Slide 67

Slide 67 text

GMOペパボエンジニアバリュー 67 すべてが⾃分ごとチームの課題は私の課題、サービスの課題も私の課題、会社の課題だって私の課題。組織の垣根を越えて課題解決に取り組もう。最⾼‧最速の両⽴最⾼の体験を最速で提供することで、ユーザーの期待を超え、熱狂を⽣み出そう。現状に満⾜せず、常に最⾼と最速を更新し続けよう。アウトプット前提 "⼈類のアウトプットを増やす"ミッションを背負っている私たちはアウトプットするのがデフォルト。常に新しい表現活動に挑戦し続けよう。 https://tech.pepabo.com/engineers/

Slide 68

Slide 68 text

● ⽣成 AI の寄与は、セキュリティでも疑うべくもない ○ シフトレフト化を強⼒に推し進める武器 ■ 例) セキュリティレビューの⾃動化 ■ 例) 脆弱なコードの発⾒、テスト‧修正の⾃動化 ● ⽣成 AI へセキュリティ課題をオフロード ○ 対策室の責務を、⼀部、オフロード ■ 開発の中で「ふつう」にセキュリティやってもらえる ■ 別の課題に取り組める余裕 68 すべてが⾃分ごと + 最⾼‧最速の両⽴ 🤖 🛡

Slide 69

Slide 69 text

● 翻って、対策室は事業部の優先課題も⽀援、解決できるだろう ● 互いの課題を協働解決する中で、次のレベルへ辿り着けるだろう ○ 綺麗な理想論ではあるが ■ AI 前提の働き⽅だと夢ではない ■ ガシガシやってるところもいるだろう 69 すべてが⾃分ごと + 最⾼‧最速の両⽴

Slide 70

Slide 70 text

💦 「ところで御社、〇〇やってないの? △△ とってないの? 」という声はあろう (お客様からも含め) 今のペパボの姿を世にアウトプットして感想もらって、世の「ふつう」とのギャップを噛み締めようそれを⼿⼟産にするカンファレンス参加にしようと思いが巡る 70 アウトプット前提 ➡ 外の⽬線で課題を⾒つける、突きつける注) スライドと時間の都合で事業部・サービス主導で進めてる対策で連ねてないものもあります！

Slide 71

Slide 71 text

71 “組織の地⼒は「当たり前のレベルがどういう⽔準か」に現れる” “この"当たり前レベル"を上げていくにはどういうステップが必要か” “1. トップオブトップを知る” 「 Konifar's ZATSU "当たり前レベル"の上げ⽅」がヒントでした https://konifar-zatsu.hatenadiary.jp/entry/2025/09/09/200924

Slide 72

Slide 72 text

72 “組織において「⽂化」と「リーダーシップ」という２つの側⾯が表裏⼀体である” 引用: [『組織文化とリーダーシップ【原著第５版】』監修者あとがき抄録 | エドガー・シャインポータルサイト (https://www.edgarschein.jp/20250516/1033.html 組織⽂化とリーダーシップ E.H. シャイン

Slide 73

Slide 73 text

73 “GMOペパボのセキュリティ対策室とは情報セキュリティ基本⽅針を遵守しお客様、お取引先様、従業員から預る情報資産を適切に扱える⽂化形成、技術的仕組みをリードする組織”

Slide 74

Slide 74 text

P⼭ “hiroya さん、⼈⽣相談にきたんすか?” そうだったかも YAPC = Yabai Attouteki Pyama Conference 74

Slide 75

Slide 75 text

75 Thank you!

Slide 76

Slide 76 text

76 おまけキャリアの話だと相当に個⼈的 (家族的) 過ぎる「壁」があるいつかどこかで区切りつけてキャリアトークで披露したい (ちゃんと真⾯⽬な話ですよ) この⼿の⾃⼰開⽰は好きなのかもな注) ベンチプレスは勝てると思ってます