Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
ゼロから始める全社横断プロダクトセキュリティ / Building Organizati...
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
Akira Kuriyama
December 18, 2025
Programming
0
130
ゼロから始める全社横断プロダクトセキュリティ / Building Organization-Wide Product Security
プロダクト横断のセキュリティの取り組み
Akira Kuriyama
December 18, 2025
Tweet
Share
More Decks by Akira Kuriyama
See All by Akira Kuriyama
Datadog On-Calを本番導入しました / Datadog On-Cal now in production
sheepland
0
530
Datadog Logsで実現するオブザーバビリティの向上 / Enhancing Observability with Datadog Logs
sheepland
0
190
コンテナ脆弱性修正をRenovate,Dependabotのように行う / Fix Container vulnerabilities on CICD
sheepland
2
490
Docker Build Cloudを導入してコンテナイメージビルド時間を80%削減した話 / Speeding Up Container Builds with Docker Build Cloud
sheepland
0
200
Design Doc のすすめ / The Importance of Design Docs
sheepland
0
1.3k
Datadogのグラフにデプロイタイミングを表示する / deploy timing on datadog graph
sheepland
1
760
英語学習の始め方 / How to start learning English
sheepland
0
120
Other Decks in Programming
See All in Programming
Reactive ❤️ Loom: A Forbidden Love Story
franz1981
2
190
The Past, Present, and Future of Enterprise Java
ivargrimstad
0
1.1k
Codexに役割を持たせる 他のAIエージェントと組み合わせる実務Tips
o8n
4
1.4k
Redox OS でのネームスペース管理と chroot の実現
isanethen
0
480
AI時代の脳疲弊と向き合う ~言語学としてのPHP~
sakuraikotone
1
1.6k
What Spring Developers Should Know About Jakarta EE
ivargrimstad
0
760
AIと共にエンジニアとPMの “二刀流”を実現する
naruogram
0
100
Claude Codeログ基盤の構築
giginet
PRO
7
3.7k
PHP でエミュレータを自作して Ubuntu を動かそう
m3m0r7
PRO
2
150
Codex の「自走力」を高める
yorifuji
0
1.3k
LM Linkで(非力な!)ノートPCでローカルLLM
seosoft
0
270
生成 AI 時代のスナップショットテストってやつを見せてあげますよ(α版)
ojun9
0
310
Featured
See All Featured
Build The Right Thing And Hit Your Dates
maggiecrowley
39
3.1k
Ecommerce SEO: The Keys for Success Now & Beyond - #SERPConf2024
aleyda
1
1.9k
10 Git Anti Patterns You Should be Aware of
lemiorhan
PRO
659
61k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
140
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
64
53k
Faster Mobile Websites
deanohume
310
31k
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
tammyeverts
11
870
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
231
22k
A Soul's Torment
seathinner
5
2.5k
Testing 201, or: Great Expectations
jmmastey
46
8.1k
GraphQLとの向き合い方2022年版
quramy
50
14k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
10k
Transcript
Confidential ゼロから始める 全社横断プロダクトセキュリティ ゆるSRE勉強会 #14 Akira Kuriyama
Copyright Hacobu, Inc. 2 自己紹介 栗山 あきら (@sheepland)
所属: 株式会社Hacobu プロダクト基盤部 職種: SRE & プラットフォームエンジニア
Copyright Hacobu, Inc. 3 SREにとってのセキュリティとは SRE のミッションは サービスの信頼性を守ること
では、 最大の「信頼性リスク」は?
Copyright Hacobu, Inc. 4 SREにとってのセキュリティとは それは「セキュリティ事故」 障害・バグ
セキュリティ事故 復旧: 数分〜数時間 復旧: 数日〜数週間 (時にサービス停止) 近年のランサムウェアの被害では長期停止も… セキュリティ事故は、最大級のSLO破壊要因。
プロダクトセキュリティやって いくぞ!!!
• マルチプロダクト:6サービス (毎年新サービス) • セキュリティ専任エンジニア: 0人 • プロダクトごとに対応レベルがバラバラ
→ 「プロダクト横断で足並みを揃える仕組み」が必要 私たちのスタート地点
プロダクトセキュリティWGの発足 まず、仲間を集めた。 体制: リーダー2名、各プロダクト代表1名 役割: ロードマップ/ゴールの設定、基準作り、 各プロダクトへの展開 →「プロダクト開発とセキュリティ対策の両輪を回す」
やったこと 1. セキュリティワークショップ 2. ゴールの設定 3. セキュリティSaaSの導入
a 1. セキュリティワークショップ エンジニア全員でワークショップの実施 • セキュリティ資産の洗い出し •
セキュリティリスクの洗い出し 得られたもの • プロダクトごとの「守るべきもの」の共通 認識形成 • セキュリティの当事者意識が高まった
a 2. ゴールの設定 • Critical / High の脆弱性を 0
件に • セキュリティSaaSの検証・導入 • インフラセキュリティの強化 • GitHubのセキュリティ強化
a 3. セキュリティSaaSの導入 なぜ SaaS導入 を選んだか •
継続的に脆弱性を検知 • プロダクトが増えてもスケール • セキュリティエンジニア不在のため、セキュ リティ特化のSaaSに任せる
a 3. 導入したSaaS Snyk (SCA) : ライブラリの脆弱性検知
Snyk独自の脆弱性スコアでトリアージがしやすい ライセンスチェックも可能 Shisho Cloud (DAST) : Webアプリの脆弱性診断 日次で脆弱性診断ができる Findy Tools の記事でも紹介 Takumi (SAST) : セキュリティ診断AIエージェント Slackからチャット形式で脆弱性診断ができる
セキュリティ対応を進めるための 取り組みの一例を紹介
セキュリティ集中対応期間 課題: 中々セキュリティ対応が進まない…。開発タスクが優先されがち 解決策: 基盤チーム全体で2週間通常開発をいったんストップ! セキュリティタスクに専念 結果:
優先度の高いタスクを一気に消化できた
取り組みの成果 Critical脆弱性: 69% 減 High脆弱性: 53%
減 全社レベルで継続的な脆弱性検知と可視化を実現 しつつある
取り組みの成果 セキュリティが、各プロダクトの 「自分ごと」 になってきた
もちろん、まだ課題はある 脆弱性のトリアージと対応を開発タスクに 織り込む難しさ → スプリントに一定の割合で入れる → 集中期間を設ける
Renovate/Dependabot での ライブラリ定期アップデート → 既存ライブラリを最新化 → テストの拡充 ※きちんと出来ているプロダクトもあります
プロダクトセキュリティWGを 通して得た学び WG方式は有効 ・仲間を増やす ・リーダー二人体制だと相談して進めやすい ゴールの設定
・ゴールを明確にすることで足並みを揃えて動きやすい SaaSの活用 ・「自動で素早く検知、見える化」→「人は対応に集中」
最後に セキュリティは「プロジェクト」 ではない 「継続的な運用の一部」 である
None
sheepland
franz1981
ivargrimstad
o8n
isanethen
sakuraikotone
naruogram
giginet
m3m0r7
yorifuji
seosoft
ojun9
maggiecrowley
aleyda
lemiorhan
.png){kind=avatar}
helenjbeal
soudai
deanohume
tammyeverts
danielanewman
seathinner
jmmastey
quramy
