Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

ゼロから始める全社横断プロダクトセキュリティ / Building Organizati...

Avatar for Akira Kuriyama Akira Kuriyama
December 18, 2025
Programming
0
29

ゼロから始める全社横断プロダクトセキュリティ / Building Organization-Wide Product Security

プロダクト横断のセキュリティの取り組み

Avatar for Akira Kuriyama

Akira Kuriyama

December 18, 2025
Tweet

More Decks by Akira Kuriyama

See All by Akira Kuriyama
Datadog On-Calを本番導入しました / Datadog On-Cal now in production
Avatar for Akira Kuriyama sheepland
0
430
Datadog Logsで実現するオブザーバビリティの向上 / Enhancing Observability with Datadog Logs
Avatar for Akira Kuriyama sheepland
0
170
コンテナ脆弱性修正をRenovate,Dependabotのように行う / Fix Container vulnerabilities on CICD
Avatar for Akira Kuriyama sheepland
2
460
Docker Build Cloudを導入してコンテナイメージビルド時間を80%削減した話 / Speeding Up Container Builds with Docker Build Cloud
Avatar for Akira Kuriyama sheepland
0
180
Design Doc のすすめ / The Importance of Design Docs
Avatar for Akira Kuriyama sheepland
0
1.1k
Datadogのグラフにデプロイタイミングを表示する / deploy timing on datadog graph
Avatar for Akira Kuriyama sheepland
1
720
英語学習の始め方 / How to start learning English
Avatar for Akira Kuriyama sheepland
0
120

Other Decks in Programming

See All in Programming
WebRTC、 綺麗に見るか滑らかに見るか
Avatar for sublimer sublimer
1
190
tparseでgo testの出力を見やすくする
Avatar for utagawa kiki utgwkk
2
250
大規模Cloud Native環境におけるFalcoの運用
Avatar for Chihiro Hasegawa owlinux1000
0
130
Navigation 3: 적응형 UI를 위한 앱 탐색
Avatar for Sungyong An fornewid
1
360
著者と進める!『AIと個人開発したくなったらまずCursorで要件定義だ!』
Avatar for yasuna yasunacoffee
0
150
AIエンジニアリングのご紹介 / Introduction to AI Engineering
Avatar for r-kagaya rkaga
8
3.1k
ローカルLLMを⽤いてコード補完を⾏う VSCode拡張機能を作ってみた
Avatar for NearMeの技術発表資料です nearme_tech
PRO
0
110
新卒エンジニアのプルリクエスト with AI駆動
Avatar for Yuta Fukunaga fukunaga2025
0
230
tsgolintはいかにしてtypescript-goの非公開APIを呼び出しているのか
Avatar for syumai syumai
7
2.2k
Canon EOS R50 V と R5 Mark II 購入でみえてきた最近のデジイチ VR180 事情、そして VR180 静止画に活路を見出すまで
Avatar for kazuhiro hara karad
0
130
SwiftUIで本格音ゲー実装してみた
Avatar for 蛋白(たんぱく・TANPACT) hypebeans
0
430
Socio-Technical Evolution: Growing an Architecture and Its Organization for Fast Flow
Avatar for Chris Richardson cer
PRO
0
370

Featured

See All Featured
Keith and Marios Guide to Fast Websites
Avatar for Keith Pitt keithpitt
413
23k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
304
21k
Writing Fast Ruby
Avatar for Erik Berlin sferik
630
62k
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
Avatar for Ines Montani inesmontani
PRO
2
2.7k
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.1k
Into the Great Unknown - MozCon
Avatar for Noah Learner thekraken
40
2.2k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
527
40k
Unlocking the hidden potential of vector embeddings in international SEO
Avatar for Frank van Dijk frankvandijk
0
120
Marketing to machines
Avatar for Jono Alderson jonoalderson
1
4.3k
Leadership Guide Workshop - DevTernity 2021
Avatar for David Neal reverentgeek
0
160
Tips & Tricks on How to Get Your First Job In Tech
Avatar for Honza Javorek honzajavorek
0
390
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.3k

Transcript

  1. Confidential ゼロから始める 
 全社横断プロダクトセキュリティ 
 ゆるSRE勉強会 #14 
 Akira Kuriyama

  2. Copyright Hacobu, Inc. 2 自己紹介
 栗山 あきら (@sheepland) 
 


    
 所属: 株式会社Hacobu
 プロダクト基盤部
 
 職種: SRE & プラットフォームエンジニア
 


  3. Copyright Hacobu, Inc. 3 SREにとってのセキュリティとは 
 SRE のミッションは サービスの信頼性を守ること 


    では、
 最大の「信頼性リスク」は? 


  4. Copyright Hacobu, Inc. 4 SREにとってのセキュリティとは 
 それは「セキュリティ事故」 
 障害・バグ 


    セキュリティ事故 
 復旧: 数分〜数時間
 復旧: 数日〜数週間 (時にサービス停止)
 近年のランサムウェアの被害では長期停止も…
 セキュリティ事故は、最大級のSLO破壊要因。 


  5. プロダクトセキュリティやって いくぞ!!! 


  6. 
 • マルチプロダクト:6サービス 
 (毎年新サービス)
 • セキュリティ専任エンジニア: 0人
 • プロダクトごとに対応レベルがバラバラ

    
 
 
 
 → 「プロダクト横断で足並みを揃える仕組み」が必要 
 私たちのスタート地点 


  7. プロダクトセキュリティWGの発足 
 まず、仲間を集めた。
 体制: リーダー2名、各プロダクト代表1名
 役割: ロードマップ/ゴールの設定、基準作り、
 各プロダクトへの展開
 
 →「プロダクト開発とセキュリティ対策の両輪を回す」

  8. やったこと 
 1. セキュリティワークショップ 
 2. ゴールの設定 
 3. セキュリティSaaSの導入

  9. a 1. セキュリティワークショップ 
 エンジニア全員でワークショップの実施 
 
 • セキュリティ資産の洗い出し
 •

    セキュリティリスクの洗い出し
 得られたもの 
 • プロダクトごとの「守るべきもの」の共通 認識形成
 • セキュリティの当事者意識が高まった


  10. a 2. ゴールの設定 
 • Critical / High の脆弱性を 0

    件に
 • セキュリティSaaSの検証・導入
 • インフラセキュリティの強化
 • GitHubのセキュリティ強化


  11. a 3. セキュリティSaaSの導入 
 なぜ SaaS導入 を選んだか 
 
 •

    継続的に脆弱性を検知
 • プロダクトが増えてもスケール
 • セキュリティエンジニア不在のため、セキュ リティ特化のSaaSに任せる


  12. a 3. 導入したSaaS 
 
 
 Snyk (SCA) : ライブラリの脆弱性検知

    
 Snyk独自の脆弱性スコアでトリアージがしやすい
 ライセンスチェックも可能
 
 Shisho Cloud (DAST) : Webアプリの脆弱性診断 
 日次で脆弱性診断ができる
 Findy Tools の記事でも紹介
 
 Takumi (SAST) : セキュリティ診断AIエージェント 
 Slackからチャット形式で脆弱性診断ができる


  13. セキュリティ対応を進めるための 
 取り組みの一例を紹介 


  14. セキュリティ集中対応期間 
 課題:
 中々セキュリティ対応が進まない…。開発タスクが優先されがち
 
 解決策:
 基盤チーム全体で2週間通常開発をいったんストップ!
 セキュリティタスクに専念
 
 結果:


    優先度の高いタスクを一気に消化できた


  15. 取り組みの成果 
 Critical脆弱性: 
 69% 減
 
 High脆弱性: 
 53%

    減 
 
 全社レベルで継続的な脆弱性検知と可視化を実現
 しつつある


  16. 取り組みの成果 
 セキュリティが、各プロダクトの 
 「自分ごと」 になってきた 


  17. もちろん、まだ課題はある 
 脆弱性のトリアージと対応を開発タスクに 
 織り込む難しさ 
 → スプリントに一定の割合で入れる
 → 集中期間を設ける


    
 Renovate/Dependabot での 
 ライブラリ定期アップデート 
 → 既存ライブラリを最新化
 → テストの拡充
 ※きちんと出来ているプロダクトもあります
 


  18. プロダクトセキュリティWGを 
 通して得た学び 
 WG方式は有効 
 ・仲間を増やす
 ・リーダー二人体制だと相談して進めやすい
 
 ゴールの設定

    
 ・ゴールを明確にすることで足並みを揃えて動きやすい
 
 SaaSの活用 
 ・「自動で素早く検知、見える化」→「人は対応に集中」


  19. 最後に
 セキュリティは「プロジェクト」 ではない
 「継続的な運用の一部」 である
 
 


  20. None