講座一覧に戻る
中級開発者向け

プロダクトセキュリティ設計 — 0→1のセキュアな立ち上げ

メルカリでの大規模プロダクトセキュリティ経験とEnablerでの0→1開発経験を持つ濱田優貴が、プロダクト開発におけるセキュリティ設計を体系的に教える実践コース。認証・認可からCI/CD、インシデント対応まで、エンジニアが本当に知るべきセキュリティを全18回で叩き込みます。

18約14.3時間講師: 濱田優貴4.73件の評価)
¥14,800(税込)

* Stripe決済(準備中)

全18回のビデオ講義(計約14.3時間)
Next.js + WebAuthn パスキー実装ハンズオン教材
GitHub Actions セキュリティパイプラインテンプレート
Terraform / Docker セキュリティ設定サンプル集
インシデント対応プレイブックテンプレート
修了証明書の発行
受講者限定Discordコミュニティ
濱田優貴への質問(月1回のライブQ&A)

この講座で学べること

OAuth 2.0 / OIDC / パスキーを正しく理解し、認証基盤を設計できる
RBAC・ABAC・ReBACの使い分けを判断し、認可設計を実装できる
Next.js / React / Supabase / Firebaseのセキュリティベストプラクティスを適用できる
CI/CDパイプラインにSAST/DAST/SCAを組み込み、コードスキャンを自動化できる
コンテナ・サプライチェーン・IaCのセキュリティを実践レベルで設計できる
インシデント対応プレイブックを策定し、プロダクトセキュリティロードマップを描ける

カリキュラム

18回の講義内容(合計約14.3時間)

1

セキュアなプロダクト設計の全体像

40分

無料プレビュー
2

認証設計 — OAuth 2.0 / OIDC 完全理解

50分

3

パスキー実装ハンズオン(Next.js + WebAuthn)

55分

4

認可設計 — RBAC / ABAC / ReBAC

45分

5

API設計のセキュリティ(Rate Limiting、入力バリデーション)

50分

6

Next.js / React のセキュリティベストプラクティス

45分

7

Supabase / Firebase のセキュリティ設計

50分

8

データベースセキュリティ(RLS、暗号化、バックアップ)

45分

9

クラウドIAM設計(AWS/GCP)

50分

10

Infrastructure as Code セキュリティ(Terraform)

45分

11

CI/CDパイプラインセキュリティ(GitHub Actions)

50分

12

SAST/DAST/SCA — コードスキャンの自動化

45分

13

コンテナセキュリティ(Docker + Fly.io)

50分

14

サプライチェーンセキュリティ(SBOM、Sigstore)

45分

15

ログ・監視・アラート設計(Datadog/Sentry)

50分

16

インシデント対応プレイブック作成

45分

17

セキュリティレビュー実践(コードレビュー演習)

55分

18

プロダクトセキュリティロードマップ策定

40分

無料プレビュー

第1回の内容を無料でお試し

第1回:セキュアなプロダクト設計の全体像

濱田優貴です。元メルカリCPO、現在はEnablerの創業者をやっています。

このコースでは、僕がメルカリで数千万ユーザー規模のプロダクトセキュリティに向き合ってきた経験と、Enablerで0→1のプロダクトを立ち上げる中で実際に設計・実装しているセキュリティの考え方を、全18回で体系的にお伝えします。

なぜ「プロダクトセキュリティ設計」なのか

メルカリ時代、僕が痛感したのは「セキュリティは後付けだと10倍コストがかかる」ということです。ユーザー数が100万人を超えてから認証基盤を作り直すのと、最初から設計しておくのでは、工数もリスクもまったく違います。

でも、スタートアップや新規事業のフェーズでは「セキュリティに時間をかけすぎてローンチが遅れる」のも致命的ですよね。僕自身、Enablerを立ち上げるときにまさにこのジレンマに直面しました。

0→1フェーズで本当にやるべきこと

結論から言うと、0→1フェーズでのセキュリティは「全部やる」のではなく「正しい順番で、正しいレイヤーから固める」のが鍵です。

僕の経験則では、優先順位はこうです:

  1. 認証・認可の設計 — ここをミスると全部崩れる。OAuth 2.0 / OIDCを正しく理解して、パスキーまで視野に入れる
  2. データアクセス制御 — Supabase RLSやFirebase Security Rulesを初日から書く
  3. CI/CDのセキュリティ — コードスキャンは自動化。手動レビューだけに頼らない
  4. インフラのIaC化 — Terraformでセキュリティ設定をコード化しておけば、後から追えるし再現できる

メルカリで学んだ「スケールするセキュリティ」

メルカリではDAU数百万のプロダクトのセキュリティを見ていました。毎日のように不正アクセスの試行があり、決済周りのセキュリティは1つのバグで億単位の損害につながる世界です。

あの規模で学んだことは、「セキュリティはチーム全員の責任」だということ。専任のセキュリティチームがいても、プロダクトを作るエンジニア一人ひとりがセキュリティを理解していないと守りきれません。

このコースは、まさにその「プロダクトを作るエンジニア」のためのセキュリティコースです。

全18回で学ぶこと

認証設計から始めて、認可、API設計、フロントエンド、BaaS、データベース、クラウドIAM、IaC、CI/CD、コンテナ、サプライチェーン、監視、インシデント対応まで。プロダクトセキュリティの全レイヤーを一気通貫で学びます。

全部僕が実際にメルカリとEnablerで経験してきたことをベースに話します。教科書的な話ではなく、「現場でこう判断した」「このとき、こうしておけばよかった」というリアルな話を中心にお伝えします。

それでは、一緒にセキュアなプロダクトを作っていきましょう。

続きが気になりますか? 全18回の講義で体系的に学べます。

受講者の声

平均評価 4.7 / 5.0(3件のレビュー)

K

K.T.

2025-12-15

スタートアップでCTOをやっています。0→1フェーズでセキュリティをどこまでやるべきか常に悩んでいましたが、濱田さんのメルカリでの実体験に基づく優先順位の付け方が本当に参考になりました。パスキー実装のハンズオンは翌日から自社プロダクトに導入できました。

S

S.M.

2026-01-08

リードエンジニアとしてチームのセキュリティレベルを上げたくて受講しました。CI/CDにセキュリティスキャンを組み込む回が特に実践的で、GitHub Actionsのワークフローをそのまま使えます。コードレビュー演習も目から鱗でした。

A

A.Y.

2026-02-01

Enablerでの0→1の知見が随所に活きていて、教科書的でないリアルな設計判断を学べます。Supabase RLSの設計パターンやTerraformのセキュリティ設定など、すぐに手を動かせる内容が多い。上級者向けの発展コースも期待しています。