Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ゼロから始める全社横断プロダクトセキュリティ / Building Organizati...

Avatar for Akira Kuriyama Akira Kuriyama
December 18, 2025
Programming
0
110

ゼロから始める全社横断プロダクトセキュリティ / Building Organization-Wide Product Security

プロダクト横断のセキュリティの取り組み

Avatar for Akira Kuriyama

Akira Kuriyama

December 18, 2025
Tweet

More Decks by Akira Kuriyama

See All by Akira Kuriyama
Datadog On-Calを本番導入しました / Datadog On-Cal now in production
Avatar for Akira Kuriyama sheepland
0
480
Datadog Logsで実現するオブザーバビリティの向上 / Enhancing Observability with Datadog Logs
Avatar for Akira Kuriyama sheepland
0
180
コンテナ脆弱性修正をRenovate,Dependabotのように行う / Fix Container vulnerabilities on CICD
Avatar for Akira Kuriyama sheepland
2
480
Docker Build Cloudを導入してコンテナイメージビルド時間を80%削減した話 / Speeding Up Container Builds with Docker Build Cloud
Avatar for Akira Kuriyama sheepland
0
190
Design Doc のすすめ / The Importance of Design Docs
Avatar for Akira Kuriyama sheepland
0
1.2k
Datadogのグラフにデプロイタイミングを表示する / deploy timing on datadog graph
Avatar for Akira Kuriyama sheepland
1
750
英語学習の始め方 / How to start learning English
Avatar for Akira Kuriyama sheepland
0
120

Other Decks in Programming

See All in Programming
Rust 製のコードエディタ “Zed” を使ってみた
Avatar for NearMeの技術発表資料です nearme_tech
PRO
0
190
今こそ知るべき耐量子計算機暗号(PQC)入門 / PQC: What You Need to Know Now
Avatar for mackey0225 mackey0225
3
380
CSC307 Lecture 10
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
1
660
2026年 エンジニアリング自己学習法
Avatar for yumechi(Motoki Hirao) yumechi
0
140
AIフル活用時代だからこそ学んでおきたい働き方の心得
Avatar for shinoyu shinoyu
0
140
CSC307 Lecture 05
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
500
Fluid Templating in TYPO3 14
Avatar for Simon Praetorius s2b
0
130
FOSDEM 2026: STUNMESH-go: Building P2P WireGuard Mesh Without Self-Hosted Infrastructure
Avatar for Date Huang tjjh89017
0
170
コントリビューターによるDenoのすゝめ / Deno Recommendations by a Contributor
Avatar for petamoriken / 森建 petamoriken
0
200
ノイジーネイバー問題を解決する 公平なキューイング
Avatar for Shoichi Ochi occhi
0
110
AI & Enginnering
Avatar for codelynx codelynx
0
120
CSC307 Lecture 06
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
690

Featured

See All Featured
The Anti-SEO Checklist Checklist. Pubcon Cyber Week
Avatar for Ryan Jones ryanjones
0
68
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
Cheating the UX When There Is Nothing More to Optimize - PixelPioneers
Avatar for Stéphanie Walter stephaniewalter
287
14k
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
413
23k
Data-driven link building: lessons from a $708K investment (BrightonSEO talk)
Avatar for Szymon szymonslowik
1
910
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
470k
We Have a Design System, Now What?
Avatar for Morgane Peng morganepeng
54
8k
Mozcon NYC 2025: Stop Losing SEO Traffic
Avatar for Sam Torres samtorres
0
140
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
1
100
Stewardship and Sustainability of Urban and Community Forests
Avatar for Eric Wiseman pwiseman
0
110
Conquering PDFs: document understanding beyond plain text
Avatar for Ines Montani inesmontani
PRO
4
2.3k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
35
2.4k

Transcript

  1. Confidential ゼロから始める 
 全社横断プロダクトセキュリティ 
 ゆるSRE勉強会 #14 
 Akira Kuriyama

  2. Copyright Hacobu, Inc. 2 自己紹介
 栗山 あきら (@sheepland) 
 


    
 所属: 株式会社Hacobu
 プロダクト基盤部
 
 職種: SRE & プラットフォームエンジニア
 


  3. Copyright Hacobu, Inc. 3 SREにとってのセキュリティとは 
 SRE のミッションは サービスの信頼性を守ること 


    では、
 最大の「信頼性リスク」は? 


  4. Copyright Hacobu, Inc. 4 SREにとってのセキュリティとは 
 それは「セキュリティ事故」 
 障害・バグ 


    セキュリティ事故 
 復旧: 数分〜数時間
 復旧: 数日〜数週間 (時にサービス停止)
 近年のランサムウェアの被害では長期停止も…
 セキュリティ事故は、最大級のSLO破壊要因。 


  5. プロダクトセキュリティやって いくぞ!!! 


  6. 
 • マルチプロダクト:6サービス 
 (毎年新サービス)
 • セキュリティ専任エンジニア: 0人
 • プロダクトごとに対応レベルがバラバラ

    
 
 
 
 → 「プロダクト横断で足並みを揃える仕組み」が必要 
 私たちのスタート地点 


  7. プロダクトセキュリティWGの発足 
 まず、仲間を集めた。
 体制: リーダー2名、各プロダクト代表1名
 役割: ロードマップ/ゴールの設定、基準作り、
 各プロダクトへの展開
 
 →「プロダクト開発とセキュリティ対策の両輪を回す」

  8. やったこと 
 1. セキュリティワークショップ 
 2. ゴールの設定 
 3. セキュリティSaaSの導入

  9. a 1. セキュリティワークショップ 
 エンジニア全員でワークショップの実施 
 
 • セキュリティ資産の洗い出し
 •

    セキュリティリスクの洗い出し
 得られたもの 
 • プロダクトごとの「守るべきもの」の共通 認識形成
 • セキュリティの当事者意識が高まった


  10. a 2. ゴールの設定 
 • Critical / High の脆弱性を 0

    件に
 • セキュリティSaaSの検証・導入
 • インフラセキュリティの強化
 • GitHubのセキュリティ強化


  11. a 3. セキュリティSaaSの導入 
 なぜ SaaS導入 を選んだか 
 
 •

    継続的に脆弱性を検知
 • プロダクトが増えてもスケール
 • セキュリティエンジニア不在のため、セキュ リティ特化のSaaSに任せる


  12. a 3. 導入したSaaS 
 
 
 Snyk (SCA) : ライブラリの脆弱性検知

    
 Snyk独自の脆弱性スコアでトリアージがしやすい
 ライセンスチェックも可能
 
 Shisho Cloud (DAST) : Webアプリの脆弱性診断 
 日次で脆弱性診断ができる
 Findy Tools の記事でも紹介
 
 Takumi (SAST) : セキュリティ診断AIエージェント 
 Slackからチャット形式で脆弱性診断ができる


  13. セキュリティ対応を進めるための 
 取り組みの一例を紹介 


  14. セキュリティ集中対応期間 
 課題:
 中々セキュリティ対応が進まない…。開発タスクが優先されがち
 
 解決策:
 基盤チーム全体で2週間通常開発をいったんストップ!
 セキュリティタスクに専念
 
 結果:


    優先度の高いタスクを一気に消化できた


  15. 取り組みの成果 
 Critical脆弱性: 
 69% 減
 
 High脆弱性: 
 53%

    減 
 
 全社レベルで継続的な脆弱性検知と可視化を実現
 しつつある


  16. 取り組みの成果 
 セキュリティが、各プロダクトの 
 「自分ごと」 になってきた 


  17. もちろん、まだ課題はある 
 脆弱性のトリアージと対応を開発タスクに 
 織り込む難しさ 
 → スプリントに一定の割合で入れる
 → 集中期間を設ける


    
 Renovate/Dependabot での 
 ライブラリ定期アップデート 
 → 既存ライブラリを最新化
 → テストの拡充
 ※きちんと出来ているプロダクトもあります
 


  18. プロダクトセキュリティWGを 
 通して得た学び 
 WG方式は有効 
 ・仲間を増やす
 ・リーダー二人体制だと相談して進めやすい
 
 ゴールの設定

    
 ・ゴールを明確にすることで足並みを揃えて動きやすい
 
 SaaSの活用 
 ・「自動で素早く検知、見える化」→「人は対応に集中」


  19. 最後に
 セキュリティは「プロジェクト」 ではない
 「継続的な運用の一部」 である
 
 


  20. None