Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ゼロから始める全社横断プロダクトセキュリティ / Building Organizati...
Search
Akira Kuriyama
December 18, 2025
Programming
140
0
Share
ゼロから始める全社横断プロダクトセキュリティ / Building Organization-Wide Product Security
プロダクト横断のセキュリティの取り組み
Akira Kuriyama
December 18, 2025
More Decks by Akira Kuriyama
See All by Akira Kuriyama
Datadog On-Calを本番導入しました / Datadog On-Cal now in production
sheepland
0
560
Datadog Logsで実現するオブザーバビリティの向上 / Enhancing Observability with Datadog Logs
sheepland
0
200
コンテナ脆弱性修正をRenovate,Dependabotのように行う / Fix Container vulnerabilities on CICD
sheepland
2
500
Docker Build Cloudを導入してコンテナイメージビルド時間を80%削減した話 / Speeding Up Container Builds with Docker Build Cloud
sheepland
0
210
Design Doc のすすめ / The Importance of Design Docs
sheepland
0
1.3k
Datadogのグラフにデプロイタイミングを表示する / deploy timing on datadog graph
sheepland
1
770
英語学習の始め方 / How to start learning English
sheepland
0
130
Other Decks in Programming
See All in Programming
Oxlintとeslint-plugin-react-hooks 明日から始められそう?
t6adev
0
250
How We Benchmarked Quarkus: Patterns and anti-patterns
hollycummins
1
130
Claude Code × Gemini × Ebitengine ゲーム制作素人WebエンジニアがGoでゲームを作った話
webzawa
0
120
飯MCP
yusukebe
0
510
ルールルルルルRubyの中身の予備知識 ── RubyKaigiの前に予習しなイカ?
ydah
1
180
Google Nest CamとApple Vision frameworkと猫🐈🐈⬛ / onishi50
yutailang0119
0
110
SkillがSkillを生む:QA観点出しを自動化した
sontixyou
6
3.4k
Offline should be the norm: building local-first apps with CRDTs & Kotlin Multiplatform
renaudmathieu
0
210
事業会社でのセキュリティ長期インターンについて
masachikaura
0
250
GNU Makeの使い方 / How to use GNU Make
kaityo256
PRO
16
5.6k
Cache-moi si tu peux : patterns et pièges du cache en production - Devoxx France 2026 - Conférence
slecache
0
210
ハーネスエンジニアリングにどう向き合うか 〜ルールファイルを超えて開発プロセスを設計する〜 / How to approach harness engineering
rkaga
22
11k
Featured
See All Featured
CSS Pre-Processors: Stylus, Less & Sass
bermonpainter
360
30k
The browser strikes back
jonoalderson
0
970
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
techseoconnect
PRO
0
160
State of Search Keynote: SEO is Dead Long Live SEO
ryanjones
0
180
Statistics for Hackers
jakevdp
799
230k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
stephaniewalter
287
14k
Sam Torres - BigQuery for SEOs
techseoconnect
PRO
0
240
Code Review Best Practice
trishagee
74
20k
Faster Mobile Websites
deanohume
310
31k
How to train your dragon (web standard)
notwaldorf
97
6.6k
Self-Hosted WebAssembly Runtime for Runtime-Neutral Checkpoint/Restore in Edge–Cloud Continuum
chikuwait
0
470
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
szymonslowik
1
1k
Transcript
Confidential ゼロから始める 全社横断プロダクトセキュリティ ゆるSRE勉強会 #14 Akira Kuriyama
Copyright Hacobu, Inc. 2 自己紹介 栗山 あきら (@sheepland)
所属: 株式会社Hacobu プロダクト基盤部 職種: SRE & プラットフォームエンジニア
Copyright Hacobu, Inc. 3 SREにとってのセキュリティとは SRE のミッションは サービスの信頼性を守ること
では、 最大の「信頼性リスク」は?
Copyright Hacobu, Inc. 4 SREにとってのセキュリティとは それは「セキュリティ事故」 障害・バグ
セキュリティ事故 復旧: 数分〜数時間 復旧: 数日〜数週間 (時にサービス停止) 近年のランサムウェアの被害では長期停止も… セキュリティ事故は、最大級のSLO破壊要因。
プロダクトセキュリティやって いくぞ!!!
• マルチプロダクト:6サービス (毎年新サービス) • セキュリティ専任エンジニア: 0人 • プロダクトごとに対応レベルがバラバラ
→ 「プロダクト横断で足並みを揃える仕組み」が必要 私たちのスタート地点
プロダクトセキュリティWGの発足 まず、仲間を集めた。 体制: リーダー2名、各プロダクト代表1名 役割: ロードマップ/ゴールの設定、基準作り、 各プロダクトへの展開 →「プロダクト開発とセキュリティ対策の両輪を回す」
やったこと 1. セキュリティワークショップ 2. ゴールの設定 3. セキュリティSaaSの導入
a 1. セキュリティワークショップ エンジニア全員でワークショップの実施 • セキュリティ資産の洗い出し •
セキュリティリスクの洗い出し 得られたもの • プロダクトごとの「守るべきもの」の共通 認識形成 • セキュリティの当事者意識が高まった
a 2. ゴールの設定 • Critical / High の脆弱性を 0
件に • セキュリティSaaSの検証・導入 • インフラセキュリティの強化 • GitHubのセキュリティ強化
a 3. セキュリティSaaSの導入 なぜ SaaS導入 を選んだか •
継続的に脆弱性を検知 • プロダクトが増えてもスケール • セキュリティエンジニア不在のため、セキュ リティ特化のSaaSに任せる
a 3. 導入したSaaS Snyk (SCA) : ライブラリの脆弱性検知
Snyk独自の脆弱性スコアでトリアージがしやすい ライセンスチェックも可能 Shisho Cloud (DAST) : Webアプリの脆弱性診断 日次で脆弱性診断ができる Findy Tools の記事でも紹介 Takumi (SAST) : セキュリティ診断AIエージェント Slackからチャット形式で脆弱性診断ができる
セキュリティ対応を進めるための 取り組みの一例を紹介
セキュリティ集中対応期間 課題: 中々セキュリティ対応が進まない…。開発タスクが優先されがち 解決策: 基盤チーム全体で2週間通常開発をいったんストップ! セキュリティタスクに専念 結果:
優先度の高いタスクを一気に消化できた
取り組みの成果 Critical脆弱性: 69% 減 High脆弱性: 53%
減 全社レベルで継続的な脆弱性検知と可視化を実現 しつつある
取り組みの成果 セキュリティが、各プロダクトの 「自分ごと」 になってきた
もちろん、まだ課題はある 脆弱性のトリアージと対応を開発タスクに 織り込む難しさ → スプリントに一定の割合で入れる → 集中期間を設ける
Renovate/Dependabot での ライブラリ定期アップデート → 既存ライブラリを最新化 → テストの拡充 ※きちんと出来ているプロダクトもあります
プロダクトセキュリティWGを 通して得た学び WG方式は有効 ・仲間を増やす ・リーダー二人体制だと相談して進めやすい ゴールの設定
・ゴールを明確にすることで足並みを揃えて動きやすい SaaSの活用 ・「自動で素早く検知、見える化」→「人は対応に集中」
最後に セキュリティは「プロジェクト」 ではない 「継続的な運用の一部」 である
None
sheepland
t6adev
hollycummins
webzawa
yusukebe
ydah
yutailang0119
.jpeg){kind=avatar}
sontixyou
renaudmathieu
masachikaura
kaityo256
slecache
rkaga
bermonpainter
jonoalderson
techseoconnect
ryanjones
jakevdp
stephaniewalter
trishagee
deanohume
notwaldorf
chikuwait
szymonslowik
