Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Nstockの一人目エンジニアが 3年間かけて向き合ってきた セキュリティのこととこれから
Search
わだよし
February 25, 2025
Technology
0
68
Nstockの一人目エンジニアが 3年間かけて向き合ってきた セキュリティのこととこれから
「CHUO_Tech #6 セキュリティについて語ろう!」での登壇資料です。
https://chuo-tech.connpass.com/event/345726/
わだよし
February 25, 2025
Tweet
Share
More Decks by わだよし
See All by わだよし
新卒エンジニアの研修を担当した元 CTO が 推薦する記事・書籍
yo41sawada
0
1.1k
認証・認可基盤に Keycloak を使って開発生産性を上げた話
yo41sawada
2
4.6k
20191026 kiitok CareerFair 第一部企業ピッチ インフキュリオンデジタル
yo41sawada
0
230
モダン情シス・コーポレートエンジニアって?
yo41sawada
0
860
GSuite担当者必見!GASを使ってメーリングリストと参加者の取得を楽にしてみる
yo41sawada
1
1.4k
CloudNative入門 QR決済進化論 #1(20190822)
yo41sawada
0
560
Other Decks in Technology
See All in Technology
より良いプロダクトの開発を目指して - 情報を中心としたプロダクト開発 #phpcon #phpcon2025
bengo4com
1
3.1k
rubygem開発で鍛える設計力
joker1007
1
170
菸酒生在 LINE Taiwan 的後端雙刀流
line_developers_tw
PRO
0
1.1k
「Chatwork」の認証基盤の移行とログ活用によるプロダクト改善
kubell_hr
1
110
“社内”だけで完結していた私が、AWS Community Builder になるまで
nagisa53
1
290
ハノーバーメッセ2025座談会.pdf
iotcomjpadmin
0
150
MySQL5.6から8.4へ 戦いの記録
kyoshidaxx
1
140
【TiDB GAME DAY 2025】Shadowverse: Worlds Beyond にみる TiDB 活用術
cygames
0
950
Microsoft Build 2025 技術/製品動向 for Microsoft Startup Tech Community
torumakabe
2
230
Amazon ECS & AWS Fargate 運用アーキテクチャ2025 / Amazon ECS and AWS Fargate Ops Architecture 2025
iselegant
16
5.1k
プロダクトエンジニアリング組織への歩み、その現在地 / Our journey to becoming a product engineering organization
hiro_torii
0
120
Definition of Done
kawaguti
PRO
6
470
Featured
See All Featured
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Code Reviewing Like a Champion
maltzj
524
40k
We Have a Design System, Now What?
morganepeng
53
7.6k
Build The Right Thing And Hit Your Dates
maggiecrowley
36
2.8k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
48
5.4k
Rebuilding a faster, lazier Slack
samanthasiow
81
9k
It's Worth the Effort
3n
184
28k
Java REST API Framework Comparison - PWX 2021
mraible
31
8.6k
Building a Scalable Design System with Sketch
lauravandoore
462
33k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
8
670
StorybookのUI Testing Handbookを読んだ
zakiyama
30
5.8k
GraphQLの誤解/rethinking-graphql
sonatard
71
11k
Transcript
Nstockの一人目エンジニアが 3年間かけて向き合ってきた セキュリティのこととこれから わだよし(yo41sawada) CHUO_Tech #6 セキュリティについて語ろう! 2025年2月25日 (Web 公開版)
わだよし(yo41sawada) ソフトウェアエンジニア@Nstock 一人目正社員兼エンジニア(もうすぐ丸3年) これまで3社 k SIer(金融系・Salesforce系) → Fintech スタートアッf k
バックエンド(Java) → PL/PjM → 開発部門長・CIT 走り屋エンジニアです k フルマラソン:3時間27分42秒(NEW! k モータースポーツ:国内A級ライセンス保有
Nstock での3年間 ソフトウェアエンジニアとしての自分 P 株式報酬 SaaS の開発(2年H P バックエンドを中心に、フロントエンドも ITガバナンス・システムリスク担当としての自分
P セカンダリー(国内非上場企業向け株式取引所)の開発(1年H P いわゆる2線 実は1人目らしいことはあまりやっていない
限られた時間なので FAQ 形式で Q1. プロダクトとどう向き合っ てきた? Q2. 金融庁の監督指針や FISC 安全対策とどう向き合ってき
た? Q3. これからの Nstock にどう 向き合っていく?
Q1. プロダクトとどう向き合ってきた? とはいえセキュリティの「最低限」 プロダクトやプラットフォームのセキュリテH G API の保9 G ライブラリアップデーg G
第三者の脆弱性診断 とにかく MVP → PSF → 課金・受注 → PMF プロダクションコードを書くことがアウトカムに直結する
Q2. 金融庁の監督指針や FISC 安全対策とどう向き合ってきた? 具体的な要求事項があり、それをすべて満たさなければならないと捉える必要はない 先人の知恵と継続的な更w 概要を理解し実現する労力は(一部の方には)必要 僕がしっかり向き合ったのは実は初めて
600〜700ページの PDF や、様々なガイドラインがある 大事なのは IT ガバナンスやシステムリスク態勢 リスク認識、評価、対策(回避/低減/移転/保有)
Q3. これからの Nstock にどう向き合っていく? 第三者認証(ISO 27001)を取得予定 いつかは SOC2(Vanta/Drata) 複数事業に資する IT
ガバナンスを構築予定 組織、規定、SaaS のテナント・ワークスペース etc セキュリティロードマップは描いていない 当面は経営陣との対話ですり合わせできるレベル
全ては会社・事業に資するため “僕は門番ではなくて、踏み外さないためのガードレールを敷く役でありたい” 承認よりも運用支援(社内ワークフロー/セキュリティチェックリストQ ガイドライン整備やプラクティスの収集と展開
yo41sawada
bengo4com
joker1007
line_developers_tw
kubell_hr
nagisa53
iotcomjpadmin
kyoshidaxx
cygames
torumakabe
iselegant
.jpg){kind=avatar}
hiro_torii
kawaguti
chriscoyier
maltzj
morganepeng
maggiecrowley
reverentgeek
samanthasiow
3n
mraible
lauravandoore
tammyeverts
zakiyama
sonatard
