こちらはANDPAD Advent Calendar 2025 の15日目の記事です。

こんにちは！アンドパッド セキュリティチームの宜野座(ぎのざ) です。早いもので前回のテックブログを書いてから3年が経過しました。

現在は SREチームからセキュリティチームに異動して、テックリードという役割を担っています。

今回はアンドパッドのセキュリティチームはまだまだ知られていないと感じているため、セキュリティチームについてご紹介したいと思います！

また本日から4日間連続でセキュリティチームから記事が投稿されますので、お楽しみに！

• アンドパッド セキュリティチームの役割
• セキュリティチームの業務内容
• 2025年に取り組んでいたこと
  • 1. 企業の成長を後押しするセキュリティ対策
  • 2. チームの管掌範囲の拡大
  • 3. 定常業務の負担軽減
  • 4. セキュリティ対策の定着
• これからこんなことに取り組みたい！
  • アプリケーションとクラウドの総合的なセキュリティ対策
• チームの魅力 👀
  • 様々なセキュリティ分野に取り組める
  • オンボーディングの充実
  • いつでも相談でき、フィードバックをもらえる環境
  • カイゼンへの取り組み (Backlog Day の開催)
• 挑戦機会 💪
  • まだまだ課題が数多くあり、個人・チームともに裁量を持って挑戦する機会がある
  • 柔軟にセキュリティチームの取り組みや組織をアップデートすることができる
  • 大きく成長し、変化する組織の中でセキュリティを整備していく経験を得られる
  • パブリッククラウド(AWS,Google Cloud)やコンテナをメインとするアプリケーションのセキュリティ対策に取り組める
• TIPS チームメンバーの声📣
  • チームの良い点
  • チームの課題
• まとめ
• おわりに

アンドパッド セキュリティチームの役割

株式会社アンドパッドの開発本部に所属するセキュリティチームは、ANDPAD製品のセキュリティを向上させるための役割を担っており、

「セキュリティを通じて継続的なイノベーションを後押しする」

というミッションを掲げています。

セキュリティは非常に重要だという認識は多くの企業で持たれていると思うのですが、厳しくしすぎることでイノベーションを阻害することにつながらないようにガバナンス強化やガードレールの整備を含めた総合的な対策で、セキュリティとイノベーションの両立を目指して日々の業務に取り組んでおります。

セキュリティチームの業務内容

アンドパッドのセキュリティチームが取り組んでいる主な業務内容としては大きく以下があります。アプリケーション、クラウド、コーポレートなど様々な観点からアンドパッドのセキュリティの改善に取り組んでいます。

• アプリケーション脆弱性対策: アプリケーションに潜む脆弱性を調査し、対策する
• クラウドセキュリティ対策: AWS/Google Cloudのセキュリティの状態を確認し、改善する
• 組織のセキュリティ文化の醸成: 組織全体でセキュリティへ取り組むことを支援する
• その他: セキュリティアラートのチェックとトリアージ、セキュリティチェックシートの回答、中途入社セキュリティ研修の実施、etc…

2025年に取り組んでいたこと

2025年は主に以下の4点に取り組んでいました。

1. 企業の成長を後押しするセキュリティ対策

利用ユーザーの拡大を受けて、より多くのお客様が安心してご利用いただけるセキュリティ対策が求められております。

これまで課題と認識しながらも中々取り組めていなかったセキュリティ対策を再度検討していく中で、ISO27017の取得などに取り組んでおりました。

またアンドパッドのセキュリティ対策についての透明性を高めるため、セキュリティホワイトペーパーを公開しました。

andpad.jp

2. チームの管掌範囲の拡大

昨年までセキュリティチームはよりアプリケーションに近い層の対策がメインとなっておりましたが、本年から他チームが担っていたAWSやGoogle Cloudのセキュリティ対策を徐々に引き継いで改善していたり、チームでISMSやSOC1の運用に参加するメンバーもいたりと、関わる範囲を少しずつ拡大していっています。

またこれまで第三者に依頼していた脆弱性診断の内製化にも取り組んでいます。

第三者に依頼する必要は今後もあると思いますが、プロダクトの開発フェーズに応じて最適な手段での診断を行いつつ、より早いタイミングで検知し、より安全な製品をお客様に使っていただくことを目指しています。

3. 定常業務の負担軽減

後述するBacklog Dayの実施などを通して、日々の業務負担の軽減に取り組んでいます。

またセキュリティチェックシートの回答もセキュリティチームにて実施しており、ありがたいことに非常に件数も増えてきましたので、AIの活用を含めた運用改善に取り組んでいます。

4. セキュリティ対策の定着

Dependabot アラートの運用改善や脆弱性診断のナレッジ展開、中途入社セキュリティ研修のアップデートなどチームで主導している各種セキュリティ対策を一度やっておしまいとするのではなく、しっかり継続した取り組みとして定着できるように改善を行いました。

これからこんなことに取り組みたい！

アプリケーションとクラウドの総合的なセキュリティ対策

各種脆弱性診断の内製化は長期的な取り組みとなると考えていますが、しっかり運用を定着させていきます。そしてEOL管理などセキュリティの課題に気づくための取り組みもどんどん推進していきます。

また今年はマルチクラウドCSPMツールの導入が完了しており、来年以降はその検出結果に基づいた改善を行っていきます。加えて、コンテナセキュリティへの取り組みはまだまだ改善できる点がたくさんあるので、他チームなどとも協力しながら取り組みます。

その他、引き続き組織のセキュリティ意識の醸成、セキュリティログの分析や活用・管理方法の改善、各種セキュリティガイドラインの整備などにも取り組んでいきます。

チームの魅力 👀

様々なセキュリティ分野に取り組める

チームのメンバーそれぞれが違った得意分野を持っているため、アプリケーションセキュリティ、クラウドセキュリティ、コーポレートセキュリティ、etc… にお互いの得意分野を教え合いながら協力して取り組んでおります。

そのため、様々なバックグラウンドを持った方が活躍できる環境にあり、セキュリティ経験の幅を増やしたいと考えている方には魅力的だと思います。

オンボーディングの充実

アンドパッドでは会社全体での入社研修が入社後1週間かけて実施されるのですが、その後チームに参加されたタイミングで、ご経験に応じて 2週間〜1ヶ月のチーム内でのオンボーディングを実施しています。

そして入社後は、会社について分からないことが多くあると思いますので、メンターが1人つきデイリーのMTGで日々の疑問点や困りごとがあった際にいつでも聞けるようにしています。

これまでチームに参加された方のご意見を伺いつつ、アンドパッドのセキュリティチームや開発組織についてこの期間で知っていくことができます。

いつでも相談でき、フィードバックをもらえる環境

チームは通常フルリモートで業務をしております。

Slackでのコミュニケーションはいつでも可能なのですが、朝会に加えて週次定例を開催しています。

週次定例は、ロードマップタスクの進め方や課題の洗い出し、タスクの方針検討、セキュリティチームで取り組むべきだと感じている課題など、朝会では時間の足りない大きな課題を話し合う場として設定しています。(時間効率化のため、議題がない日はスキップとしています)

直近だと私はチーム合宿の計画を立てている中で、当日のアジェンダについて意見をもらいました。

合わせて相談しやすい環境を作るためにも日々のコミュニケーションは大切にしており、Q毎に会社からの懇親会補助を活用して、オフラインやオンラインで懇親会を開催しております！

カイゼンへの取り組み (Backlog Day の開催)

チームの特徴的な取り組みのひとつとしては、Backlog Day の開催が挙げられます。

Backlog Dayは基本的にMTGはNGで、日々の業務を行っていると後回しになりがちなバックログにあるチケットを進捗させるための日としており、取り組む内容は組織やチーム、業務課題の改善・解決に関わることなら、基本何でもOKです。

開催して半期での振り返りを通して、多くの課題が改善されていたことがわかったので現在も継続して取り組んでいます。

またカイゼンしたいことを見つけた時はSlackのワークフローで気軽に起票することができ、起票した際は以下のようなメッセージが届きほっこりします 🙂

挑戦機会 💪

ここまででアンドパッドのセキュリティチームの取り組みについて紹介してきましたが、実際にお仕事をしているとどういう挑戦機会があるのか、改めて言語化してみました。

まだまだ課題が数多くあり、個人・チームともに裁量を持って挑戦する機会がある

ここまでで色々と取り組んでいることを記載しましたが、潜在的な課題はまだまだたくさんあると考えています。合わせて非常に裁量が大きいので自分自身でセキュリティの様々な課題解決をしたいという方には多くの挑戦機会があり、新たなことにチャレンジしやすい環境だと思います。

柔軟にセキュリティチームの取り組みや組織をアップデートすることができる

現在のセキュリティチームはまだ発足して数年程度と日が浅いこともあり、新たな取り組みなどにも積極的に取り組むことができます。

そして組織自体も凝り固まっている状態ではないので、組織作りのようなところにもチャレンジできるかと思います。

大きく成長し、変化する組織の中でセキュリティを整備していく経験を得られる

アンドパッドは有難いことに多くの建設業界のお客様に支持され、成長を続けています。

私自身アンドパッドに所属して7年程度が経過したのですが、社内・社外含め多くの変化がありました。

そういった変化がある中でセキュリティの重要性は増していっていると感じているので、急拡大する組織でのセキュリティ整備という中々ない挑戦機会となると思っています。

パブリッククラウド(AWS,Google Cloud)やコンテナをメインとするアプリケーションのセキュリティ対策に取り組める

ANDPADでは全ての製品がコンテナを利用した環境で稼働しています。

また製品の多くはEKSで稼働しており、Kubernetesを活用している組織でのセキュリティ経験を積むことができます。

TIPS チームメンバーの声📣

今回セキュリティチームの紹介をする記事を書くにあたって、私個人ではなくチームメンバーの声もお届けしたいと考え、ヒアリングを実施したのでチームの良い点と課題についても共有いたします。

チームの良い点

• メンバーの得意分野がそれぞれ違うので、サポートしあって業務ができているところ
• 協力的でお互いを尊重しあっている
• 穏やかに建設的な議論ができるところ

アプリケーション開発を長く経験された方、セキュリティに加えてインフラ・クラウドエンジニアの経験を持つ方、セキュリティ何でも屋で組織のガバナンスや認証周りにも長けた方など、様々な違う得意分野を持ったメンバーがいるのはとても良い点だと感じており、お互いに知らないことを教えあったり業務を分担しあったりと協力して取り組めています。

またメンバーの年齢層が現状少し高めなこともあるのですが、穏やかに議論が行われているので、しっかりと腰を据えてセキュリティに取り組んでいきたい若い方にもチャレンジしやすい環境だと思います。

チームの課題

• 開発チームとの日常的な共同作業 (セキュリティレビューへの参加やガイドライン整備)
• ベースとなる基盤整備が進んだものの運用の効率化や自動化
• どんどん開発されるプロダクトへの追従
• 社内外の情報発信が少ない / 認知度が足りていない

開発チームとはセキュリティの課題が見つかった際にスポットでやりとりすることは多いのですが、セキュリティレビューに日々参加したりといったことにはあまり取り組めていません。今後はチームも拡大していく中で、より開発チームとも距離を縮めて協力体制を作っていきたいと考えています。

また今年はWAFのコード化等多くの基盤整備が進んだ1年でしたので来年はそれらの運用を自動化して、チームの負担を下げていくことにも取り組んでいきます。

社内外の情報発信は今回のテックブログの執筆を皮切りに、色々と発信をしていきます💪

まとめ

今回はアンドパッドのセキュリティチームについて紹介しました。

非常に幅広い取り組みを行なっているチームでまだまだ課題が山積みなことが伝わっていると嬉しく思います。

最後までお読みいただきありがとうございました！

明日は同じセキュリティチームの和田より、Google Cloudの組織のログ収集を効率化したことについての記事を公開する予定です！お楽しみに！

おわりに

セキュリティチームで一緒にお仕事したい方も引き続き大募集中ですので、少しでも気になるなと思った際は是非以下をご参照ください！カジュアル面談も大歓迎です 🙌

hrmos.co

またその他にも、さまざまなポジションを募集しています！

詳しくは下記サイトをご覧ください。

engineer.andpad.co.jp

hrmos.co