セキュリティ対策室所属 シニアプリンシパル・エンジニア @hiboma です。
2025/11/14 - 11/15 に開催された YAPC::Fukuoka 2025 に参加・登壇し 『セキュリティを 「ふつう」にやっていく 技術、体制、文化の追求』 というタイトルで発表をしました。 1
GMOペパボは、過去のセキュリティインシデントを機に、セキュリティの体制を再構築し継続的に改善を進めてきました。私 @hiboma はセキュリティ対策室が出来た当初から在籍し、現在もコミットを続けています。設立から数年も経過していることや自身のキャリアの変化も重なり、そろそろ過去の取り組みを俯瞰してアウトプットする機会が必要だなという思いもあり、このテーマで発信を行いました。1
Track Bは、伊藤洋也さん(@hiboma)による「セキュリティを 「ふつう」にやっていく 技術、体制、文化の追求」です。#yapcjapanB #yapcjapan pic.twitter.com/kSt7SPPEaG
— yapcjapan (@yapcjapan) November 14, 2025
対策室の取り組みを俯瞰・内省するフォーマットの発信は、社外向けだと GMOペパボのセキュリティ対策の現状をありありと曝け出しフィードバックを集めるアウトプットになるでしょう (… と言いつつも詳細は隠した面もあります) 。社内向けには 「後世の歴史家」目線 (a.k.a) 後付け力 2 として一区切りつけることが機会にしたかったのもあります。
発表へのリアクションや感想
発表後、X や ソーシャルブックマークなどの反応を見ても、思いの外興味を持ってくださった方が多かったようで嬉しいです。カンファレンス2日目に開催された懇親会でも、発表内容への深掘り質問をいただけたり、他社様のセキュリティ体制について内情を教えてもらいディスカッションをしていただくことができました。
GMOペパボ セキュリティ対策室 伊藤洋也「セキュリティを 「ふつう」にやっていく 技術、体制、文化の追求」で発表でした https://t.co/iGdJOJpLS5 #yapcjapan #yapcjapanB
— hiroya ito (@hiboma) November 14, 2025
正直、手厳しいフィードバックもいただけたりするかとも思っていましたが、そういった反応はほとんど無かったのでちょっと安心しています。
しかしながら、外の世界のより高いレベルの ふつう の目線からフィードバックをもらって、新たに課題を持ち帰る目的も秘めていたので 少し力が抜けた感じもあります。本記事とスライドをご覧いただいて、「こういう対策、取り組みはやってないんですか?」というお声がありましたら、是非ともお聞きしたい次第です。
スライドの補足
発表前日の登壇者懇親会で、タイムテーブルの調整をするために、急遽セッションの時間を20分から40分に延長することを依頼されていました。
キーノートスピーカーの P山さん (@pyama86) を引き合いに出すスライドや、私のキャリアに関するスライドは突貫で差し込みしたものです。イベントの記憶をそのままにしておきたいので、改変せずに掲載しております。3
-
2025年4月に シニア・プリンシパルエンジニア に昇格したこともあり、職位の責務として自分が筆頭にやるべきだろうと思っていました。 ↩ ↩2
-
やっていき、のっていき / The Secret of Leadership and Followership - Speaker Deck ↩
-
セキュリティ対策室が諸々主導したような体のスライドになっていますが、実際には多くのメンバーの協力があってこその成果です。誰がどこにコミットしたかをつぶさに紹介するのも難しいですし、すでに退職したメンバーもいらっしゃるため、個々人の紹介はスライドに含めませんでした。 ↩
