Nstockの一人目エンジニアが 3年間かけて向き合ってきたセキュリティのこととこれから

Nstockの一人目エンジニアが 3年間かけて向き合ってきたセキュリティのこととこれからわだよし（yo41sawada） CHUO_Tech #6 セキュリティについて語ろう！ 2025年2月25日（Web 公開版）

わだよし（yo41sawada）ソフトウェアエンジニア@Nstock 一人目正社員兼エンジニア（もうすぐ丸3年）これまで3社 k SIer（金融系・Salesforce系） → Fintech スタートアッf k
バックエンド（Java） → PL／PjM → 開発部門長・CIT 走り屋エンジニアです k フルマラソン：3時間27分42秒（NEW！ k モータースポーツ：国内A級ライセンス保有

Nstock での3年間ソフトウェアエンジニアとしての自分 P 株式報酬 SaaS の開発（2年H P バックエンドを中心に、フロントエンドも ITガバナンス・システムリスク担当としての自分
P セカンダリー（国内非上場企業向け株式取引所）の開発（1年H P いわゆる2線実は1人目らしいことはあまりやっていない

限られた時間なので FAQ 形式で Q1. プロダクトとどう向き合ってきた？ Q2. 金融庁の監督指針や FISC 安全対策とどう向き合ってき
た？ Q3. これからの Nstock にどう向き合っていく？

Q1. プロダクトとどう向き合ってきた？とはいえセキュリティの「最低限」プロダクトやプラットフォームのセキュリテH G API の保9 G ライブラリアップデーg G
第三者の脆弱性診断とにかく MVP → PSF → 課金・受注 → PMF プロダクションコードを書くことがアウトカムに直結する

Q2. 金融庁の監督指針や FISC 安全対策とどう向き合ってきた？具体的な要求事項があり、それをすべて満たさなければならないと捉える必要はない先人の知恵と継続的な更w 概要を理解し実現する労力は（一部の方には）必要僕がしっかり向き合ったのは実は初めて
600〜700ページの PDF や、様々なガイドラインがある大事なのは IT ガバナンスやシステムリスク態勢リスク認識、評価、対策（回避／低減／移転／保有）

Q3. これからの Nstock にどう向き合っていく？第三者認証（ISO 27001）を取得予定いつかは SOC2（Vanta／Drata）複数事業に資する IT
ガバナンスを構築予定組織、規定、SaaS のテナント・ワークスペース etc セキュリティロードマップは描いていない当面は経営陣との対話ですり合わせできるレベル

全ては会社・事業に資するため “僕は門番ではなくて、踏み外さないためのガードレールを敷く役でありたい” 承認よりも運用支援（社内ワークフロー／セキュリティチェックリストQ ガイドライン整備やプラクティスの収集と展開

Nstockの一人目エンジニアが 3年間かけて向き合ってきたセキュリティのこととこれから

Nstockの一人目エンジニアが 3年間かけて向き合ってきたセキュリティのこととこれから

わだよし

More Decks by わだよし

Other Decks in Technology

Featured

Transcript