Cyber Security Cloud CTOを迎えた社内勉強会 | 本質は「誤設定を防ぐ設計」にある

こんにちは！UPSIDERでPRを担当しているAyaです。2025年5月12日弊社にて『Annual Security Awareness Day 2025』を開催しました。

本イベントはUPSIDERの社内イベントであり、「セキュリティを自分ごと化する文化」を育む活動の一環として行われ、事業開発領域のTechメンバーから経営陣が一堂に会し、過去の振り返りや現場の課題を共有し、セキュリティ対策を言語化する取り組みを行いました。

なぜ、私たちは「全員」で向き合うのか？

UPSIDERは金融領域に深く関わるスタートアップとして、「守るべきものの多さ」と日々向き合っています。だからこそ、"セキュリティ"は一部の専門家やSREの仕事にとどまりません。どの職種の誰もが関係者であり、担い手です。

本イベントの目的はこれまでの事例を糧にセキュリティ文化の強化を図るとともに、全社的に「守るべきもの」を理解し、「自分たちにできること」を考えることです。また、Confidentiality（秘匿性）だけでなく、Integrity（完全性）、Availability（可用性）を意識したセキュリティ対策を広く考える機会にします。

このブログでは、「UPSIDERがなぜセキュリティを大切にし、どう文化として根づかせようとしているのか」をお伝えします。

単に「守る」ためのルールや仕組みではなく、事業の信頼と継続性を支えるカルチャーとしてのセキュリティ、その全体像をぜひこの記事を通じて感じていただけたら幸いです。

経営陣からのメッセージ「守ることは攻める事業の前提になる」

オープニングでは、CEOのToru（宮城）が守る力を育てることへの価値を語りました。 Toruは、金融に関わるUPSIDERという会社において、セキュリティは「やらなければいけない義務」ではなく、事業を推進するうえでの信頼の前提であり、サービスの質そのものを構成する筋肉であると言います。セキュリティは、エンジニアや一部の人の仕事ではなく、全員が少しずつ意識し、考え、気づき、話すことで、組織全体の強さになると述べました。

そしてクロージングでは、Tomo（水野）が参加者にこう問いかけました。

「あれ、おかしいかも？と思ったら、誰でも口に出せる文化になっているか？」

Tomoが強調したのは、「違和感を感じたら声に出す」ということでした。どんな立場でも違和感を口にできることが組織の最大のセキュリティになると語りました。たとえ未経験でも、若手でも、非エンジニアでも、気づいたことを言語化し、伝えることができるという文化が、UPSIDERを守る力の源になると呼びかけました。セキュリティを「制度」ではなく「文化」として捉える視点の提示は技術を超えた最大の武器になるはずです。

後手では守れない──外部ゲストが語るリアルを突きつけた備えの必然

今回のイベントには、2名の豪華なゲストをお迎えしました。外部視点でのセキュリティインサイトをお聞きしました。

Keynote 1：Thoughtworks社 Rohit Krishnan氏

Rohit氏は、Security Championという役割を軸に、開発チーム内にセキュリティの文化を根付かせる重要性をお話してくださいました。

Security Championとは、開発チーム内に設置され、セキュリティに関する知識や意識を向上させ、チーム開発とセキュリティチーム間の連携を図る役割です。開発チーム内のセキュリティの窓口となり、潜在的な問題の解決や、セキュリティチームへの相談、セキュリティに関する指導などを実施します。

Thoughtworks社では、開発者やQA、PM、データサイエンティストまで多様なロールが自発的にSecurity Championとして立ち上がり、設計段階からセキュリティを組み込む文化が浸透しているそうです。 UPSIDERでも今年度Q3を目処に、Security Champion制度の導入が決定しています。開発プロセスに組み込まれたセキュリティが、継続的な成長にどう貢献するか、今後の実装が楽しみです。

Keynote 2：サイバーセキュリティクラウド CTO 渡辺洋二氏

日本屈指のWAF技術者である渡辺氏に攻撃監視・WAF運用を通じて見えてきたリアルなサイバー脅威の現状を講演いただきました。渡辺氏は「誰でも狙われ得る時代」であると強調しており、現代のサイバー攻撃は標的型ではなく、脆弱性や設定ミスのあるシステムを機械的にスキャンして狙うという攻撃が主流であり、大企業だけでなくスタートアップや中小企業も多いそうです。

日本ではセキュリティが保険のように扱われがちですが、本来は信頼を支える土台であり、起きてから対応するのでは遅いと指摘され、重要なのは「誤設定を防ぐ設計」と「DevSecOpsの導入」によって、開発や運用の中にセキュリティを自然に組み込むことだと語りました。

私たちは「見えない信頼」をどう守るべきか？

イベント後半では、社内の8チームがそれぞれの視点でセキュリティの取り組みを発表しました。多くのチームが「属人性の排除」「自動化」「アクセス最小化」をキーワードに、開発と運用のあらゆる場面でセキュリティを内在化させる姿勢を強調していました。

当ブログでは、発表の一部を紹介します。

QAが守っているのはバグではなく、信頼かもしれない

QAチームのセキュリティ対策は、日々の地道な検証業務のなかに深く根付いています。 検証環境（stg）を徹底的に活用し、本番データに触れずにテストする文化や、顧客情報を不用意に参照・保存しないという運用ルールの徹底をしています。

また、業務端末や利用サービスのID棚卸しなど、見えにくいけれど重要な「日々の点検」を積み重ねています。 QAが守っているのは、プロダクトの動作確認だけでなく、「誤って何かを漏らさない」という無形の信頼そのものなのだと感じました。

「漏れたら、信頼が終わる」見落とされがちな人の操作をどう守るか？

Card + PRESIDENTチームは、マイナンバーカード連携やクレジットカードの仕訳・決済情報など、文字通り一度漏れたら信頼が消える情報を多数扱っています。発表では、手動オペレーションによる情報改ざんや越境アクセスのリスクを前提とし、API実行前後のレビュー体制や、SQL実行のダブルチェックなど、見落としがちな「人の作業」をどう安全に保つかというリアルな悩みと工夫が語られました。

また、社内管理システムを用いた厳格なアクセス管理やログ通知など、完全性（Integrity）を守るための細やかな配慮が垣間見えました。チームの発表内容からは、「一度でも漏れたら終わり」という情報の重みと、それに対して人間中心のリスクを丁寧に見つめている誠実な姿勢が非常に強く伝わってきました。表に出づらいヒューマンリスクと真摯に向き合っているチームのリアルな苦悩と工夫を知ることができました。

入力された瞬間に、リスクは始まっている──「ミスを責めない」は仕組みで作れる

支払い.comチームの発表では、「たとえ決済情報を保持していなくても、UI上で入力される時点でリスクは存在する」という本質的な視点が印象的でした。本番環境へのアクセスは厳しく制限されており、シークレットの管理はKeeperを活用しています。ユーザーに返すログやレスポンスにも個人情報を含めないように注意するなど、システムの外に情報が漏れない設計が随所に見られました。

また、開発者が安心してミスできるよう「権限をあえて絞る」「間違っても大事故にならない構造にする」といった「人を守る設計」にも取り組んでおり、技術と組織設計が両輪で動いている印象を受けました。心理的安全性とセキュリティ設計を結びつけた考え方は、多くの現場にも応用可能な思想だと思いました。

セキュリティはカルチャーであり、みんなで育てるもの

セキュリティという言葉には、どうしても「専門家の仕事」というイメージがあります。でもUPSIDERでは、そうは考えていません。違和感を口にすること、ログの出力にひと手間かけること、手動操作にレビューを加えること。そんな日常の中にこそ、本当のセキュリティが宿ると信じています。

このイベントを通じて、セキュリティは全員で育てていく「カルチャー」だと、改めて実感しました。そして私たちは、これからもこの文化を少しずつ、でも確実にアップデートしていきます。本イベントは、その起点であり、加速剤でもありました。今後セキュリティ面をさらに強化し、全社員で育むカルチャー形成を大事にしていきます。