Nstockの一人目エンジニアが 3年間かけて向き合ってきた セキュリティのこととこれから

Transcript

1. Nstockの一人目エンジニアが 3年間かけて向き合ってきた セキュリティのこととこれから わだよし（yo41sawada） CHUO_Tech #6 セキュリティについて語ろう！ 2025年2月25日 （Web 公開版）

2. わだよし（yo41sawada） ソフトウェアエンジニア@Nstock 一人目正社員兼エンジニア（もうすぐ丸3年） これまで3社 k SIer（金融系・Salesforce系） → Fintech スタートアッf k

   バックエンド（Java） → PL／PjM → 開発部門長・CIT 走り屋エンジニアです k フルマラソン：3時間27分42秒（NEW！‚ k モータースポーツ：国内A級ライセンス保有

3. Nstock での3年間 ソフトウェアエンジニアとしての自分 P 株式報酬 SaaS の開発（2年H P バックエンドを中心に、フロントエンドも ITガバナンス・システムリスク担当としての自分

   P セカンダリー（国内非上場企業向け株式取引所）の開発（1年H P いわゆる2線 実は1人目らしいことはあまりやっていない

4. 限られた時間なので FAQ 形式で Q1. プロダクトとどう向き合っ てきた？ Q2. 金融庁の監督指針や FISC 安全対策とどう向き合ってき

   た？ Q3. これからの Nstock にどう 向き合っていく？

5. Q1. プロダクトとどう向き合ってきた？ とはいえセキュリティの「最低限」 プロダクトやプラットフォームのセキュリテH G API の保9 G ライブラリアップデーg G

   第三者の脆弱性診断 とにかく MVP → PSF → 課金・受注 → PMF プロダクションコードを書くことがアウトカムに直結する

6. Q2. 金融庁の監督指針や FISC 安全対策とどう向き合ってきた？ 具体的な要求事項があり、それをすべて満たさなければならないと捉える必要はない  先人の知恵と継続的な更w  概要を理解し実現する労力は（一部の方には）必要 僕がしっかり向き合ったのは実は初めて

   600〜700ページの PDF や、様々なガイドラインがある 大事なのは IT ガバナンスやシステムリスク態勢 リスク認識、評価、対策（回避／低減／移転／保有）

7. Q3. これからの Nstock にどう向き合っていく？ 第三者認証（ISO 27001）を取得予定 いつかは SOC2（Vanta／Drata） 複数事業に資する IT

   ガバナンスを構築予定 組織、規定、SaaS のテナント・ワークスペース etc セキュリティロードマップは描いていない 当面は経営陣との対話ですり合わせできるレベル

8. 全ては会社・事業に資するため “僕は門番ではなくて、踏み外さないためのガードレールを敷く役でありたい” € 承認よりも運用支援（社内ワークフロー／セキュリティチェックリストQ € ガイドライン整備やプラクティスの収集と展開