トップ > Security > セキュリティチームの輪読会についてご紹介

セキュリティチームの輪読会についてご紹介

Security 文化

こんにちは、こんばんは、おやすみなさい。id:sota1235です。

この記事は10X 新春ブログリレー 2026の29日目の記事です。

新春というにはもう2月が目前に迫っている気もしますが細かいことは気にせず、今回は私が所属するセキュリティチームの取り組みである輪読会について緩く紹介しようと思います。

セキュリティチーム輪読会とは

セキュリティチームで毎週、金曜日に1時間実施している輪読会です。

基本的にメンバーはセキュリティチームですが、読む書籍の内容に合わせて別チームに参加してもらったこともあります。

なぜ輪読会をやるのか

きっかけ

当時のセキュリティチームは私を含めて2名体制でしたが、この記事で言及しているようにプロダクトセキュリティの分野での経験やキャリアを歩んだメンバーは不在でした。

なのでセキュリティ領域のスキルや情報をキャッチアップしていく必要がありました。

情報収集の時間軸

どのような情報をどんな時間軸でキャッチアップしなければいけないのか、という切り口で考えると以下の3つに分けられます。

  1. 業務で解かなければならないIssueに関連する情報をリサーチする
    • キャッチアップしないと業務が進められないため、短期間で達成しないといけない
    • 当時、業務委託契約を結んでいたセキュリティアドバイザリー等を積極的に活用していた
  2. 中長期で業務に必要となる情報をリサーチする
    • 短期的には必要ないが、中長期で向き合うIssueを考慮した際に必要な情報
    • 例えば「1年後にISMS認証を取りたい」という事業目標があるなら認証取得に関する情報を半年後にはキャッチアップしておきたいよね、とか
  3. 業務に直結しないが、セキュリティチームの一員として働く際に必要な情報をリサーチする
    • 業務で向き合う業務に直接は結びつかないが、セキュリティエンジニアとしての力を底上げするような情報
    • 例えばCSIRTの体制構築に関するナレッジは当時の10Xの規模から考えると3年は必須ではないが、知っておくことで中長期の目線を持てたり随所で活かせる考え方はあるよね、とか

1に関してはキャッチアップしないことには業務が進まないので何もなくてもやるのですが、2, 3は日々忙しい業務の中で取り組む時間を安定して確保するのが難しかったりします。

また、2, 3の文脈でキャッチアップしたい情報の中にはその重厚さゆえに1人でキャッチアップするには腰が重いものもありました。

例えばNIST系の文書やフレームワークのリファレンス、各種法令に基づくガイドライン等は少し硬めの言葉で書いてあったり分厚かったり専門用語が多かったりと丁寧に読み解いていく必要があるものが多く読むのが面倒くさいです大変です。

なのでそれらをなるべく定常的に、1人で頑張るのではなくチームで、でも継続可能にキャッチアップできることを目指そうと思い輪読会を始めました。

どうやってやってるのか

輪読会のネタ出し

当初は読みたいけどシュッと読むには重いな…というものを中心にリストを作っていましたが、今ではそこまで強い縛りはなくメンバーが読みたいと思ったものを候補としています。

また、対象は本だけではなくWebで参照可能な仕様書、ドキュメント、時にはブログ記事やスライドなんかも含まれます。

細く長く無理なく、がテーマ

最初にも書いた通り、開催の頻度は週1回1時間を固定で確保して行なっています。

また特徴的なのが輪読会のスタイルです。

よくある形式は事前に決めた範囲を読んでくる、メンバーで順繰りに読んできてまとめる、等々があると思いますが弊チームはその場で音読するスタイルを取っています。

当時の狙いとしては

  • 細く長くやりたいので事前準備は0にしたい
  • 1人で読むと理解が進みづらい難解なものを読みたいのでもくもく読む、というより音読で声に出して読みながら理解を進めたい

の2点がありました。

結果的に狙いを満たせたのと合わせて、やってみてわかったポイントとしては「音読だとワイワイしながら進められる」という点です。

ガンガン脱線してもいい輪読会

本を読んでいるとき、「これってなんだろう…?」とか「これ、弊社だとこうだよなぁ」とか「そういえば最近、関連するいい資料見たな」みたいな気持ちになることがあると思います。

10Xのセキュリティチーム輪読会ではそういうことを思った時に自由におしゃべりするのをよしとしてます。

といっても、最初からそのようなルールを決めていたわけではなく、音読スタイルで継続的に輪読会を実施してたら自然とそのようなスタイルになっていました。

もくもくと読んだり用意した資料の発表がされてるわけではないので横から口を挟みやすいこと。音読ですでに「喋っている」のでその延長線でぼそっと呟いたところから話が盛り上がりやすいことからこうなったのかなと思っています。

これによって本への理解が深まるだけでなく、チーム内のコミュニケーションの場として、時には仕事で向き合うIssueについての議論が深まる場としても活用されることがあります。

どれくらい続いてるのか

先ほどもチラッと言いましたが、この記事を書くにあたり第1回の開催日を確認したら2023/10/20だったので2年以上続いていることになります。回数で言うと記事を執筆時点で77回、開催しています。

塵も積もればなんとやら

読了したコンテンツの数で言うと14です。多いかは分かりませんがこの取り組みがなかったら同じ量のインプットをできた気はしないので成果と言っていいのかなと思います。

読んだコンテンツをいくつか紹介

せっかくなので輪読会で読了したコンテンツのうち、印象深いものをいくつか紹介したいと思います。

GitHub Organizationの安全な運用とモニタリングに関するスライド(全44ページ)を無償公開しました

記念すべき1つ目のコンテンツは早速本ではなく、Flatt Securityさんが公開したGitHub Organizationの運用に関するスライドでした。

当時ちょうどGitHubの運用改善に手をつけていたこと、分量が少なめなことから音読スタイルを試す意味合いも兼ねてこれを選びました。

今読むとGitHubの仕様変更も相まってちょっと古くなっている部分もありますが今でも参考になる部分も多いので未読の方は目を通してみるといいかもしれません。

クレジットカード・セキュリティガイドライン【4.0版】

これがまさに当初の目標の1つであった読むのが大変だけど中長期で向き合うべき情報をキャッチアップする、の好例です。

ガイドライン系は「この辺の用語、概念は理解した前提で読んでね」という暗黙の前提があることが多い*1気がしており、このガイドラインもそれに当たりました。

なので輪読会を音読で読み進める中で

  • 「これってどういう意味だろう」
  • 「イシュアーってなんだ…?」
  • 「まってまって登場人物多い、ちょっと図にして整理しましょう」

みたいな感じでちょこちょこ立ち止まりつつ、雑談したりその場でリサーチしながら進めました。

おかげでワイワイしつつ、理解を深めつつ無事に読了することができました。

基礎から学ぶコンテナセキュリティ

10Xはメインアプリケーションの基盤にGKEを選択していたり、一部ではCloud Runが動いていたりとコンテナベースのアーキテクチャを選択しています。

その環境において考えないといけない特別なセキュリティ要件はあるのか…?というのが知りたいねとなってこの本に手を伸ばしました。

この本は読み始めて早々、「コンテナやインフラに詳しいSREチームを召喚して解説してほしい…」となったので2回目くらいからはSREチームを誘って合同で輪読会をしたのがいい思い出です。

ちなみにこの本を読了した後は「コンテナセキュリティは完全に理解したから次はk8s周りのセキュリティのキャッチアップしたいね」となって書籍、ではなくGKEの公式ドキュメントを読んだりしました。

Google Kubernetes Engine (GKE) Security guide document

その他

全部紹介してたらキリがないものの、振り返ってたら思い出が蘇ってきて紹介したくなったのでいくつかピックアップします。

  • skills/secure-code-game - Season-3
    • GitHubが提供しているハンズオン形式でセキュリティ知識を学べるGitHub repository
    • Season3はLLMがテーマで、プロンプトインジェクション攻撃等を学べる、はずだったんですがモデルの進化が早すぎてこれがリリースされたタイミングの想定回答だと全然問題を突破できずチームのみんなで匙を投げました
    • 回答判定も結構面白くて、文字列処理で頑張って判定してたので途中からそこをハックしようとする悪い子ムーブが発生したのも個人的にはセキュリティチームっぽくて好きでした
  • Software Design - 成功するPSIRTの極意(2024/6月号~9月号)
    • 「昔のSoftware DesignにfreeeさんのPSIRTチームの特集があるぞ!」となって、バックナンバーを4つ買い漁って読みました
    • 書籍とは違って読みやすかったり、さまざまな著者の目線で先輩PSIRTチームのリアルが知れたのがとても良かったです
  • ポートスキャナ自作ではじめるペネトレーションテスト
    • 面白そうなんだけど全然できる気がしない…と当時思っていたもののチームで力を合わせればなんとか読破できるのでは…!?と信じ読んだ書籍です
    • 書籍の内容はハンズオン形式になっていたことや、丁寧に解説されていたこともあり楽しみながら読了できました
    • 当時は2名チームでしたが、セキュリティに強みを持つメンバーが入ってくれた今読み直すとまた違うディスカッションが生まれる気がしています

最後に

今回はセキュリティチームの輪読会について紹介しました。

新春っぽい記事かは分かりませんが、いかがだったでしょうか。

振り返ってみると当初は専門家がいなくてもめげずに、でも楽しくキャッチアップしてこれたことはGoodだったなと思います。

輪読会をやる時、目的によって何を重視するかは変わってくると思いますがセキュリティチームでは継続性に振り切ったフォーマットを選択しています。それが実を結んでか、細く長く続けてこれている気がします。

また、この細く長い取り組みが複利的に*2チームメンバーのスキルの底上げにもつながっていますし、実際にチームでIssueに向き合う際に「あの本で出てきたアレじゃん」となることも往々にしてあります。

何よりもこれだけ成果を感じながら、続けられる気しかしない!と思える運用コストほぼ0輪読会はチームやメンバーの特性とマッチするならとてもオススメしたいです。

どこかの誰か、願わくば私と似た怠け者な技術者にこのノウハウが届けば幸いです。

*1:@sota1235の感想です

*2:10X代表の良記事のフレーズから借りました。おすすめ記事です https://note.com/yamotty_note/n/n350208cdad83