#FlattSecurityMagazine

セキュリティとプロダクト開発の今を伝えるメディア

メンバーは全員開発エンジニア経験者!ANDPADのセキュリティを守るチームが目指す未来【プロダクトセキュリティ組織の作り方 #2】

インタビュー プロダクトセキュリティ セキュリティエンジニア プロダクト開発 アンドパッド 下司宜治 青木勝則

組織としてプロダクトセキュリティに向き合っている企業のノウハウや現場の課題などをお伝えする特集「プロダクトセキュリティ組織の作り方」。

第2回となる今回は、クラウド型建設プロジェクト管理サービス「ANDPAD」を開発・展開している株式会社アンドパッドの取り組みについて、同社執行役員・開発本部長 VPoE兼CSOの下司宜治さん、コーポレート本部 経営管理部 部長の青木勝則さんのお二人にお話を伺いました。

プロダクトに関わる様々なチームを同一部門内に集結

ーー皆様の現在のお仕事について教えてください。

下司:執行役員・開発本部長 VPoE(VP of Engineering)兼CSO(Chief Security Officer)を務めています。アンドパッドで開発・提供しているプロダクト全体に対する責任者であり、かつエンジニアリング組織全体の責任者でもあります。また、最近ではCSOとして、プロダクトセキュリティに注力して取り組んでいます。

青木:コーポレート本部に所属し、全社のセキュリティや内部統制全般を担当しています。エンジニアリング組織に所属する下司さんとは異なり、僕はどちらかというと「エンジニアリング組織のセキュリティを監査する立場」に近いと思います。

ーーアンドパッドのプロダクト開発組織・プロダクトセキュリティ組織・品質管理組織の概要について教えてください。

下司:私たちのプロダクトである「ANDPAD」ではマルチプロダクト戦略を取っています。各プロダクトに応じた形でプロダクト開発チームも分かれており、それに紐づくように品質管理チームも分かれています。例えば、施工管理を担当する開発チーム/品質管理チーム、受発注管理を担当する開発チーム/品質管理チームといったような形です。

ANDPADのマルチプロダクト戦略

品質管理については、「横」と「縦」の2軸の組織を形成し、それぞれの角度からアプローチを進めています。品質管理組織はプロダクトの成長とともに拡大を続けており、プロダクトごとにチームが分かれているものの、プロダクト横断的に繋がっています。

プロダクトセキュリティを担当するセキュリティチームはまだ発足したばかりで、所属しているメンバーの人数も品質管理組織とは大きく異なります。そのため、プロダクトごとにチームが存在する開発組織や品質管理組織と対照的に、1つのチームがプロダクト横断的に取り組みを進めるような体制になっています。

ーープロダクトセキュリティ組織は、プロダクト開発組織や品質管理組織とどのように関わっていますか?

下司:プロダクト開発組織、プロダクトセキュリティ組織、品質管理組織は、いずれも開発本部に属しています。プロダクトに関する複数のチームを1つの部門にまとめることで、それぞれのチーム同士の親和性を高めながらプロダクト開発を進めていくことができるという狙いがありました。各チームのメンバーが複数のチームを兼任することはありませんが、同じ部門に属しているので、チーム間のコミュニケーションは比較的スムーズだと感じています。プロダクトセキュリティに関するガイドラインの作成や施策の実行は、セキュリティチームが主導していますが、プロダクト開発組織や品質管理組織を巻き込みながら進めています。

開発本部には、現在約150名のエンジニアが在籍しています。そのうち、セキュリティチームに所属しているのは数人です。日々の業務の中で、異なるチームが連携しながら業務を進めています。日頃からチームの垣根を超えてコミュニケーションを取っているので、自然と組織横断的な動きができているように感じています。

メンバーは全員「開発エンジニアからセキュリティエンジニアに」

ーーセキュリティチームでは、どのようなプロダクトセキュリティ施策に取り組んでいますか?

下司:シフトレフトの実現に向けて様々な取り組みを進めながら、プロダクトセキュリティのあるべき姿を模索しています。

具体的には、新たなCVEが発表された際に、プロダクトへの影響を見極めたり、セキュリティレベルのトリアージを行ったりしています。トリアージをする中で対応の優先度を考え、必要に応じてツールの評価・導入や脆弱性診断なども実施しています。脆弱性診断に関しては社内でも実施していますが、第三者的な立場からの診断が必要な場合は、品質管理部門と連携しながら外部ベンダーにお願いすることもあります。

flatt.tech

また、私たちはクラウドのインフラを使っているので、IaaSのセキュリティ強化にも取り組んでいます。侵入検知の仕組みや体制についても適宜見直し、実装を進めています。

ANDPADは、建築・建設業界のバーティカルSaaSとしては比較的早い時期からSOC(System and Organization Controls)対応を開始しました。ユーザーである顧客の規模も大手企業から中小企業まで幅広いため、お客様から「ANDPADのセキュリティは本当に大丈夫?」というお声をいただくことがあり、プロダクトの信頼性や安全性をより担保するために始めた取り組みです。

青木さんのような、プロダクト開発組織を監査する立場の方々と相談しながら、お客様にプロダクトを安心して利用いただくためのプロダクトセキュリティ施策を考え、施策展開を進めています。

▼セキュリティチームの取り組みを解説した記事
tech.andpad.co.jp

アンドパッド コーポレート本部経営管理部部長 青木勝則さん

ーープロダクト開発組織や品質管理組織から、普段どのように相談を受けることが多いですか?

下司:プロダクトセキュリティに関する困りごとを相談できるように、Slackに「サポートチャンネル」を用意しています。プロダクト開発の中で、セキュリティ課題やわからないことが出てきた際は、このチャンネル経由でセキュリティチームに相談してもらうようにしています。

ーーメンバーは、どのような人が多いですか?

下司:現在のセキュリティチームのメンバーは、全員がアプリケーションエンジニア出身者です。ANDPADの開発を進めるうちに、プロダクトセキュリティへの関心を持つようになり、セキュリティエンジニアに転身したという共通のキャリアを歩んでいます。セキュリティチームに異動するとプロダクトセキュリティに関する業務がメインとなり、プロダクト開発そのものに携わることはなくなります。メンバーの中には「たまには開発もやりたい」ということで、セキュリティに関する社内ツールの開発をしている人もいます。

ーーメンバーの皆さんはどのようなきっかけでプロダクトセキュリティに興味を持つようになったのでしょうか?

下司:開発の現場でも、日頃からセキュリティに関するトピックを共有するカルチャーがあるので、セキュリティに関する情報に触れる中で興味を持つようになった人が多いのかもしれません。セキュリティに関するライトなトピックを共有する社内のSlackチャンネルがあり、日常的に様々な情報交換が行われているので、開発エンジニアであってもセキュリティに関する話題に触れる機会は多いのではないかと感じています。

弊社では「早朝10分勉強会」という形で、開発言語や新しい技術スタックなどをテーマにした勉強会を毎朝開催しており、技術習得を後押しするカルチャーがあります。セキュリティに関するテーマの勉強会はまだ開催されたことはありませんが、新しい知識や技術を学ぶことに対して意欲的な人が多いというのもポジティブな影響を与えていると思います。

tech.andpad.co.jp

ーーメンバーのスキルレベルをより向上するためにどのような取り組みをされていますか?

下司:メンバーのスキルレベルについては、あえて揃えようとしていません。異なる得意分野を持つメンバーを集めることで、平坦な組織ではなく、1人1人が尖り、得意分野のプロフェッショナルとして活躍できる組織にしたいという思いがあるからです。メンバーには、得意分野を深めてもらいながら、周辺領域に対する知見も吸収してもらうことを望んでいます。メンバー全員がそれぞれ尖っていけば、チームとしてのスキルレベルも確実に底上げされると考えています。

チームに新しいメンバーが入る時も、特定のメンバーがトレーナーになるのではなく、チーム全体がトレーナーになるような体制を取るようにしています。特定のメンバーがトレーナーになってしまうと、そのメンバーに負荷が集中しますし、オンボーディングのノウハウがチームに還元されにくくなってしまいがちです。チーム全員で新しいメンバーのオンボーディングを担当することで、負荷を分散し、チームにノウハウを蓄積するという狙いがあります。

チームではメンバーに対して自学自習を求めているわけでも、習得すべきスキルを目標として明示しているわけでもありません。セキュリティチームが発足する際、「3年後、5年後にも通用する理想像を考える」というコンセプトで「チームが目指すべき未来」のビジョンを考え、メンバー間で共有しました。その「未来」を実現するためにメンバーが何をすべきか、どのようなスキルを習得していくべきかということについて、CSOである私がメンバー一人ひとりと話しながら、定期的にそれぞれの意向や目標を確認しています。

ーーチームの中では、どのように役割分担をしていますか?

下司:役割分担はチームで話し合って決めています。基本的には、メンバーそれぞれの得意分野を考慮して役割を決めています。メンバーの誰かが不得意な分野があれば、チームで補うようにしています。

チームメンバーは得意分野こそ異なりますが、「チームが目指すべき未来」に対する共通認識を持った上で行動しているので、向かっている方向性は基本的に同じです。メンバー全員が共通認識を持って動けているため、チームの結束力やコミュニケーションの面で課題を感じたことは今のところありません。チームが目指すべきベクトルをチーム発足時に考えられたことが大きかったのではないかと考えています。

ーーセキュリティに関するトピックを社内に向けてどう発信していますか?

下司:CVEや社外のインシデントに関する情報のうち、緊急性・重要性が高いものに関しては、脆弱性に対する対応方針を決めるためのSlackチャンネルがあるので、そこで共有するようにしています。また、セキュリティに関する社内勉強会も不定期で開催しています。

開発本部に所属する全チームが、月次で活動状況を共有するようにしているので、セキュリティチームの活動状況も毎月他のチームに共有しています。

プロダクトの多様化を受け組織化に着手

アンドパッド 執行役員・開発本部長 VPoE兼CSO 下司宜治さん

ーーセキュリティチームを立ち上げた経緯について教えてください。

下司:一般的には「一人目のセキュリティエンジニアの入社を機にプロダクトセキュリティ組織を立ち上げた」という企業さんが多いのかなと思いますが、弊社はそうではありませんでした。

最初は施工管理SaaSとして登場したANDPADですが、機能や周辺サービスもどんどん増えています。会社の成長とともに、新しいプロダクトを続々と提供するようになり、それに伴ってより多くのお客様にサービスをご利用いただくようになりました。

そのような中、「これから先、お客様に安心してサービスをお使いいただくためには、プロダクト自体のセキュリティをより高めないといけない」という社内での共通認識が生まれ、プロダクトセキュリティを担保するセキュリティチームを発足することになりました。当時、私は開発本部長という立場だったのですが、プロダクトセキュリティに興味を持っている開発エンジニアの方たちが開発本部に一定数いることを知っていたので、その方たちに声をかけてメンバーを集めました。チーム発足後は、CSOとして私がチームのリーダーを務めています。

青木:2020年にチームが発足した後、何度かの名称変更を経て、今の組織形態になったのが2022年でした。チームが発足する前は、コーポレートITを担当する私、品質管理部門のマネージャー、開発本部長の下司さんの3人で協力しながらプロダクトセキュリティの取り組みを進めていました。

ーー発足時から現在に至るまで、チームの規模に変化はありましたか?

下司:大きな変化はありません。発足時から現在に至るまで、メンバーの入れ替わりはありつつも、数人程度の規模を維持しています。

ーーチームづくりにおいて、参考にした事例などはありますか?

下司:2022年11月に、元GMOペパボ VPoEでRubyコミッターの柴田博志さんが、弊社にフェローとして入社しました*1。柴田さんや、GMOペパボで柴田さんが作った組織のメンバーの方たちと組織づくりに関して情報交換しています。柴田さんにはプロダクトセキュリティの施策に関してもアドバイスをいただいています。

チームが目指す「4つの未来」

ーーセキュリティチームにおける課題はありますか?

下司:プロダクト横断型組織として発足して間もないため、シフトレフトの取り組みもまだまだ道半ばだと感じています。今後はシフトレフトをさらに加速していきたいです。

シフトレフトを加速しようとすればするほど、今まで見えてこなかった新たな課題も見えてくると思います。現時点で見えている課題については現時点のメンバーで解決しようとしていますが、これから先いろいろな取り組みを進める中で、自分たちだけでは解決できない課題もきっと出てきます。そのため、現時点のメンバーが持っていないスキルを持った方に、新たにチームに入っていただくことでシフトレフトを加速していく必要があると考えています。

ーー今後、セキュリティチームにはどのような人に参加してほしいと考えていますか?

下司:弊社はプロダクトを自社開発しているので、開発エンジニア出身でプロダクトセキュリティに興味を持っている方がチームに加わってくださると嬉しいですね。自分たちが提供するプロダクトの概念がわかっていないと、セキュリティ課題のトリアージをするのは難しいためです。

エンジニアからすると、建築・建設業界は慣れ親しんでいない「特殊な業界」のように見えるかもしれません。ANDPADはエンジニアが普段利用するプロダクトではないため、プロダクトの内容も難解そうに見えて若干の抵抗感を覚えるエンジニアの方もいらっしゃるかと思います。ですが、事業としても非常に伸びていますし、多数のお客様にも恵まれているのに加え、プロダクトセキュリティやサービスの質を高めていくことに大きなやりがいを感じることができる環境です。また、toBのプロダクトなので、ユーザーであるお客様との距離が近いというのも特徴の1つだと考えています。ユーザーを意識しながら、これからのプロダクトセキュリティのあり方や、プロダクトのさらなる品質向上をともに目指していける方と、ぜひ一緒に働きたいです。

ーー今後、セキュリティチームをどのような組織にしていきたいですか?

下司:チーム発足時に全員で考えた「チームが目指すべき未来」を実現したいです。具体的には、以下の4点です。

  • お客様がANDPADを継続的かつ安全に利用できる環境を維持する
  • 致命的なインシデントが起きないような体制を整えつつ、万が一インシデントが発生してしまっても迅速かつ的確に対応できる組織になる
  • セキュリティ面・ガバナンス面における開発者の不安や失敗を未然に防ぐ環境の構築
  • 社内に蓄積したセキュリティ知識・ノウハウの社外への発信、それによるインターネット世界への貢献

セキュリティチームを、これら4つの未来を実現する組織へと成長させたいです。

(取材・文/寺山ひかり)

アンドパッドからのお知らせ

アンドパッドでは、プロダクトセキュリティを支えるプロダクトセキュリティエンジニアやPSIRTを担うセキュリティエンジニア、プロダクト開発を担う各種エンジニアなど、様々なポジションでの積極採用を進めています。

この記事を読んで、アンドパッドで働くことに興味を持った方は、ぜひ以下のページよりご確認ください!

■エンジニア採用サイト

engineer.andpad.co.jp

■テックブログ
tech.andpad.co.jp

■ セキュリティエンジニア の求人一覧
hrmos.co

*1:andpad.co.jp