Upgrade to Pro — share decks privately, control downloads, hide ads and more …

ゼロから始める全社横断プロダクトセキュリティ / Building Organizati...

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Akira Kuriyama Akira Kuriyama
December 18, 2025
Programming
170
0

ゼロから始める全社横断プロダクトセキュリティ / Building Organization-Wide Product Security

プロダクト横断のセキュリティの取り組み

Avatar for Akira Kuriyama

Akira Kuriyama

December 18, 2025

More Decks by Akira Kuriyama

See All by Akira Kuriyama
Datadog On-Calを本番導入しました / Datadog On-Cal now in production
Avatar for Akira Kuriyama sheepland
0
630
Datadog Logsで実現するオブザーバビリティの向上 / Enhancing Observability with Datadog Logs
Avatar for Akira Kuriyama sheepland
0
210
コンテナ脆弱性修正をRenovate,Dependabotのように行う / Fix Container vulnerabilities on CICD
Avatar for Akira Kuriyama sheepland
2
540
Docker Build Cloudを導入してコンテナイメージビルド時間を80%削減した話 / Speeding Up Container Builds with Docker Build Cloud
Avatar for Akira Kuriyama sheepland
0
220
Design Doc のすすめ / The Importance of Design Docs
Avatar for Akira Kuriyama sheepland
0
1.3k
Datadogのグラフにデプロイタイミングを表示する / deploy timing on datadog graph
Avatar for Akira Kuriyama sheepland
1
790
英語学習の始め方 / How to start learning English
Avatar for Akira Kuriyama sheepland
0
130

Other Decks in Programming

See All in Programming
AIだと陥りがちなJakarta EE最新技術への移行時の落とし穴と解決策
Avatar for tnagao7 tnagao7
0
120
過去最大のMCPアップデート! 2026-07-28 RC版の謎に迫る
Avatar for matsukada licux
6
390
正しくソフトウェアを作る、前提を疑うための認知の視点 / doubt-premise
Avatar for MinoDriven minodriven
21
7k
1B+ /day規模のログを管理する技術
Avatar for Broadleaf Co., Ltd. broadleaf
0
110
Make SRE Operations Easier with Azure SRE Agent
Avatar for KAMEGAWA Kazushi kkamegawa
0
7.5k
[2026年度第1回ORセミナー] 計画最適化ベンチャーと競技プログラミング人材
Avatar for terry-u16 terryu16
0
270
気づいたらRubyで100作品 ー クリエイティブコーディングが生活の一部になるまで / 100 Ruby Sketches Later: How Creative Coding Became Part of My Life
Avatar for chobishiba chobishiba
3
600
作って学ぶ、 JSX (TSX) ランタイムの基本
Avatar for syumai syumai
7
1.7k
ローカルLLMでどこまでコードが書けるか -拡張版 / How much code can be written on a local LLM Extended
Avatar for Naoki Kishida kishida
12
4.4k
脅威をエンジニアリングの糧にして――現場編 / Turning Threats into Engineering Fuel — Field Edition
Avatar for nrs nrslib
0
290
例外の正しい扱い方 そのエラー try-catchして大丈夫?
Avatar for Watanabe Jin jinwatanabe
0
270
なぜ型を書くのか? TSKaigi2026で改めて考える #tskaigi_smarthr
Avatar for Takuma Kajikawa kajitack
0
140

Featured

See All Featured
Google's AI Overviews - The New Search
Avatar for Barry Adams badams
0
1k
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon Słowik szymonslowik
1
340
技術選定の審美眼(2025年版) / Understanding the Spiral of Technologies 2025 edition
Avatar for Takuto Wada twada
PRO
118
120k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
135
9.9k
How to audit for AI Accessibility on your Front & Back End
Avatar for davetheseo davetheseo
0
440
Testing 201, or: Great Expectations
Avatar for Joseph Mastey jmmastey
46
8.2k
Lightning Talk: Beautiful Slides for Beginners
Avatar for Ines Montani inesmontani
PRO
2
580
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
37
7.3k
What's in a price? How to price your products and services
Avatar for Michael Herold michaelherold
247
13k
Jamie Indigo - Trashchat’s Guide to Black Boxes: Technical SEO Tactics for LLMs
Avatar for Tech SEO Connect techseoconnect
PRO
0
180

Transcript

  1. Confidential ゼロから始める 
 全社横断プロダクトセキュリティ 
 ゆるSRE勉強会 #14 
 Akira Kuriyama

  2. Copyright Hacobu, Inc. 2 自己紹介
 栗山 あきら (@sheepland) 
 


    
 所属: 株式会社Hacobu
 プロダクト基盤部
 
 職種: SRE & プラットフォームエンジニア
 


  3. Copyright Hacobu, Inc. 3 SREにとってのセキュリティとは 
 SRE のミッションは サービスの信頼性を守ること 


    では、
 最大の「信頼性リスク」は? 


  4. Copyright Hacobu, Inc. 4 SREにとってのセキュリティとは 
 それは「セキュリティ事故」 
 障害・バグ 


    セキュリティ事故 
 復旧: 数分〜数時間
 復旧: 数日〜数週間 (時にサービス停止)
 近年のランサムウェアの被害では長期停止も…
 セキュリティ事故は、最大級のSLO破壊要因。 


  5. プロダクトセキュリティやって いくぞ!!! 


  6. 
 • マルチプロダクト:6サービス 
 (毎年新サービス)
 • セキュリティ専任エンジニア: 0人
 • プロダクトごとに対応レベルがバラバラ

    
 
 
 
 → 「プロダクト横断で足並みを揃える仕組み」が必要 
 私たちのスタート地点 


  7. プロダクトセキュリティWGの発足 
 まず、仲間を集めた。
 体制: リーダー2名、各プロダクト代表1名
 役割: ロードマップ/ゴールの設定、基準作り、
 各プロダクトへの展開
 
 →「プロダクト開発とセキュリティ対策の両輪を回す」

  8. やったこと 
 1. セキュリティワークショップ 
 2. ゴールの設定 
 3. セキュリティSaaSの導入

  9. a 1. セキュリティワークショップ 
 エンジニア全員でワークショップの実施 
 
 • セキュリティ資産の洗い出し
 •

    セキュリティリスクの洗い出し
 得られたもの 
 • プロダクトごとの「守るべきもの」の共通 認識形成
 • セキュリティの当事者意識が高まった


  10. a 2. ゴールの設定 
 • Critical / High の脆弱性を 0

    件に
 • セキュリティSaaSの検証・導入
 • インフラセキュリティの強化
 • GitHubのセキュリティ強化


  11. a 3. セキュリティSaaSの導入 
 なぜ SaaS導入 を選んだか 
 
 •

    継続的に脆弱性を検知
 • プロダクトが増えてもスケール
 • セキュリティエンジニア不在のため、セキュ リティ特化のSaaSに任せる


  12. a 3. 導入したSaaS 
 
 
 Snyk (SCA) : ライブラリの脆弱性検知

    
 Snyk独自の脆弱性スコアでトリアージがしやすい
 ライセンスチェックも可能
 
 Shisho Cloud (DAST) : Webアプリの脆弱性診断 
 日次で脆弱性診断ができる
 Findy Tools の記事でも紹介
 
 Takumi (SAST) : セキュリティ診断AIエージェント 
 Slackからチャット形式で脆弱性診断ができる


  13. セキュリティ対応を進めるための 
 取り組みの一例を紹介 


  14. セキュリティ集中対応期間 
 課題:
 中々セキュリティ対応が進まない…。開発タスクが優先されがち
 
 解決策:
 基盤チーム全体で2週間通常開発をいったんストップ!
 セキュリティタスクに専念
 
 結果:


    優先度の高いタスクを一気に消化できた


  15. 取り組みの成果 
 Critical脆弱性: 
 69% 減
 
 High脆弱性: 
 53%

    減 
 
 全社レベルで継続的な脆弱性検知と可視化を実現
 しつつある


  16. 取り組みの成果 
 セキュリティが、各プロダクトの 
 「自分ごと」 になってきた 


  17. もちろん、まだ課題はある 
 脆弱性のトリアージと対応を開発タスクに 
 織り込む難しさ 
 → スプリントに一定の割合で入れる
 → 集中期間を設ける


    
 Renovate/Dependabot での 
 ライブラリ定期アップデート 
 → 既存ライブラリを最新化
 → テストの拡充
 ※きちんと出来ているプロダクトもあります
 


  18. プロダクトセキュリティWGを 
 通して得た学び 
 WG方式は有効 
 ・仲間を増やす
 ・リーダー二人体制だと相談して進めやすい
 
 ゴールの設定

    
 ・ゴールを明確にすることで足並みを揃えて動きやすい
 
 SaaSの活用 
 ・「自動で素早く検知、見える化」→「人は対応に集中」


  19. 最後に
 セキュリティは「プロジェクト」 ではない
 「継続的な運用の一部」 である
 
 


  20. None