Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ゼロから始める全社横断プロダクトセキュリティ / Building Organizati...

Avatar for Akira Kuriyama Akira Kuriyama
December 18, 2025
Programming
0
89

ゼロから始める全社横断プロダクトセキュリティ / Building Organization-Wide Product Security

プロダクト横断のセキュリティの取り組み

Avatar for Akira Kuriyama

Akira Kuriyama

December 18, 2025
Tweet

More Decks by Akira Kuriyama

See All by Akira Kuriyama
Datadog On-Calを本番導入しました / Datadog On-Cal now in production
Avatar for Akira Kuriyama sheepland
0
440
Datadog Logsで実現するオブザーバビリティの向上 / Enhancing Observability with Datadog Logs
Avatar for Akira Kuriyama sheepland
0
180
コンテナ脆弱性修正をRenovate,Dependabotのように行う / Fix Container vulnerabilities on CICD
Avatar for Akira Kuriyama sheepland
2
470
Docker Build Cloudを導入してコンテナイメージビルド時間を80%削減した話 / Speeding Up Container Builds with Docker Build Cloud
Avatar for Akira Kuriyama sheepland
0
180
Design Doc のすすめ / The Importance of Design Docs
Avatar for Akira Kuriyama sheepland
0
1.1k
Datadogのグラフにデプロイタイミングを表示する / deploy timing on datadog graph
Avatar for Akira Kuriyama sheepland
1
740
英語学習の始め方 / How to start learning English
Avatar for Akira Kuriyama sheepland
0
120

Other Decks in Programming

See All in Programming
メルカリのリーダビリティチームが取り組む、AI時代のスケーラブルな品質文化
Avatar for osari.k cloverrose
2
440
Grafana:建立系統全知視角的捷徑
Avatar for Blueswen blueswen
0
270
從冷知識到漏洞,你不懂的 Web,駭客懂 - Huli @ WebConf Taiwan 2025
Avatar for Huli aszx87410
2
3.3k
【卒業研究】会話ログ分析によるユーザーごとの関心に応じた話題提案手法
Avatar for MomokoShirakawa momok47
0
160
tsgolintはいかにしてtypescript-goの非公開APIを呼び出しているのか
Avatar for syumai syumai
7
2.4k
Navigating Dependency Injection with Metro
Avatar for HyunWoo Lee l2hyunwoo
1
200
Graviton と Nitro と私
Avatar for maroon1st maroon1st
0
160
CSC307 Lecture 01
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
650
SQL Server 2025 LT
Avatar for Oda Shinsuke odashinsuke
0
120
ローカルLLMを⽤いてコード補完を⾏う VSCode拡張機能を作ってみた
Avatar for NearMeの技術発表資料です nearme_tech
PRO
0
230
生成AI時代を勝ち抜くエンジニア組織マネジメント
Avatar for coconala_engineer coconala_engineer
0
37k
脳の「省エネモード」をデバッグする ~System 1(直感)と System 2(論理)の切り替え~
Avatar for HideyukiKitao panda728
PRO
0
130

Featured

See All Featured
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
48
9.8k
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
Avatar for Yuki Nakata chikuwait chikuwait
0
270
More Than Pixels: Becoming A User Experience Designer
Avatar for Michelle Schulp Hunt marktimemedia
2
270
<Decoding/> the Language of Devs - We Love SEO 2024
Avatar for Nikki Halliwell nikkihalliwell
1
110
Paper Plane
Avatar for Katie Cordina Lindsey katiecoart
PRO
0
45k
We Analyzed 250 Million AI Search Results: Here's What I Found
Avatar for Josh Blyskal joshbly
0
390
Navigating the Design Leadership Dip - Product Design Week Design Leaders+ Conference 2024
Avatar for Andy Polaine apolaine
0
130
世界の人気アプリ100個を分析して見えたペイウォール設計の心得
Avatar for Akihiro Kokubo akihiro_kokubo
PRO
65
35k
The Web Performance Landscape in 2024 [PerfNow 2024]
Avatar for Tammy Everts tammyeverts
12
990
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
Avatar for Rebecca Miller-Webster rmw
35
3.3k
AI Search:
Where Are We & What Can We Do About It?
Avatar for Aleyda Solis aleyda
0
6.8k
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
690

Transcript

  1. Confidential ゼロから始める 
 全社横断プロダクトセキュリティ 
 ゆるSRE勉強会 #14 
 Akira Kuriyama

  2. Copyright Hacobu, Inc. 2 自己紹介
 栗山 あきら (@sheepland) 
 


    
 所属: 株式会社Hacobu
 プロダクト基盤部
 
 職種: SRE & プラットフォームエンジニア
 


  3. Copyright Hacobu, Inc. 3 SREにとってのセキュリティとは 
 SRE のミッションは サービスの信頼性を守ること 


    では、
 最大の「信頼性リスク」は? 


  4. Copyright Hacobu, Inc. 4 SREにとってのセキュリティとは 
 それは「セキュリティ事故」 
 障害・バグ 


    セキュリティ事故 
 復旧: 数分〜数時間
 復旧: 数日〜数週間 (時にサービス停止)
 近年のランサムウェアの被害では長期停止も…
 セキュリティ事故は、最大級のSLO破壊要因。 


  5. プロダクトセキュリティやって いくぞ!!! 


  6. 
 • マルチプロダクト:6サービス 
 (毎年新サービス)
 • セキュリティ専任エンジニア: 0人
 • プロダクトごとに対応レベルがバラバラ

    
 
 
 
 → 「プロダクト横断で足並みを揃える仕組み」が必要 
 私たちのスタート地点 


  7. プロダクトセキュリティWGの発足 
 まず、仲間を集めた。
 体制: リーダー2名、各プロダクト代表1名
 役割: ロードマップ/ゴールの設定、基準作り、
 各プロダクトへの展開
 
 →「プロダクト開発とセキュリティ対策の両輪を回す」

  8. やったこと 
 1. セキュリティワークショップ 
 2. ゴールの設定 
 3. セキュリティSaaSの導入

  9. a 1. セキュリティワークショップ 
 エンジニア全員でワークショップの実施 
 
 • セキュリティ資産の洗い出し
 •

    セキュリティリスクの洗い出し
 得られたもの 
 • プロダクトごとの「守るべきもの」の共通 認識形成
 • セキュリティの当事者意識が高まった


  10. a 2. ゴールの設定 
 • Critical / High の脆弱性を 0

    件に
 • セキュリティSaaSの検証・導入
 • インフラセキュリティの強化
 • GitHubのセキュリティ強化


  11. a 3. セキュリティSaaSの導入 
 なぜ SaaS導入 を選んだか 
 
 •

    継続的に脆弱性を検知
 • プロダクトが増えてもスケール
 • セキュリティエンジニア不在のため、セキュ リティ特化のSaaSに任せる


  12. a 3. 導入したSaaS 
 
 
 Snyk (SCA) : ライブラリの脆弱性検知

    
 Snyk独自の脆弱性スコアでトリアージがしやすい
 ライセンスチェックも可能
 
 Shisho Cloud (DAST) : Webアプリの脆弱性診断 
 日次で脆弱性診断ができる
 Findy Tools の記事でも紹介
 
 Takumi (SAST) : セキュリティ診断AIエージェント 
 Slackからチャット形式で脆弱性診断ができる


  13. セキュリティ対応を進めるための 
 取り組みの一例を紹介 


  14. セキュリティ集中対応期間 
 課題:
 中々セキュリティ対応が進まない…。開発タスクが優先されがち
 
 解決策:
 基盤チーム全体で2週間通常開発をいったんストップ!
 セキュリティタスクに専念
 
 結果:


    優先度の高いタスクを一気に消化できた


  15. 取り組みの成果 
 Critical脆弱性: 
 69% 減
 
 High脆弱性: 
 53%

    減 
 
 全社レベルで継続的な脆弱性検知と可視化を実現
 しつつある


  16. 取り組みの成果 
 セキュリティが、各プロダクトの 
 「自分ごと」 になってきた 


  17. もちろん、まだ課題はある 
 脆弱性のトリアージと対応を開発タスクに 
 織り込む難しさ 
 → スプリントに一定の割合で入れる
 → 集中期間を設ける


    
 Renovate/Dependabot での 
 ライブラリ定期アップデート 
 → 既存ライブラリを最新化
 → テストの拡充
 ※きちんと出来ているプロダクトもあります
 


  18. プロダクトセキュリティWGを 
 通して得た学び 
 WG方式は有効 
 ・仲間を増やす
 ・リーダー二人体制だと相談して進めやすい
 
 ゴールの設定

    
 ・ゴールを明確にすることで足並みを揃えて動きやすい
 
 SaaSの活用 
 ・「自動で素早く検知、見える化」→「人は対応に集中」


  19. 最後に
 セキュリティは「プロジェクト」 ではない
 「継続的な運用の一部」 である
 
 


  20. None