「TECH+ EXPO for セキュリティ 2023」講演レポート一覧

高度化する標的型攻撃、多様化するワークスタイル、短納期化が進むアプリケーション開発――。現代のセキュリティ担当者は、ざまざまな変化に対応していかなければならない。

9月12日～15日に開催された「TECH+ EXPO for セキュリティ 2023」では、セキュリティの専門家や企業でセキュリティを担当する方々を招き、セキュリティのトレンドや採るべき対策についての講演が行われた。

以下では、基調講演および編集部セッションのレポートへのリンクをまとめている。今後のセキュリティとの向き合い方のヒントにしていただきたい。

DAY1：基調講演

A-1：セキュリティの考え方

登壇者：EGセキュアソリューションズ株式会社 取締役 CTO/独立行政法人情報処理推進機構（IPA）非常勤研究員 技術士（情報工学部門）徳丸浩氏

登壇者：NTTセキュリティ・ジャパン株式会社 コンサルティングサービス部 北河拓士氏

登壇者：株式会社インターネットイニシアティブ セキュリティ情報統括室 室長 根岸征史氏

登壇者：SBテクノロジー株式会社 プリンシパルセキュリティリサーチャー 辻伸弘氏

登壇者：セキュリティインコ piyokango氏

企業や組織のセキュリティについて考える際、何を重視して対策を練るべきなのでしょうか？何を守り、どこまでの攻撃・被害を想定して訓練しておくべきのでしょうか？そうしたセキュリティの考え方についてディスカッションいたします。

編集部セッション

A-4：初期侵入の傾向と対策

登壇者：株式会社インターネットイニシアティブ セキュリティ情報統括室 室長 根岸征史 氏 外部から社内ネットワークに侵入され、ランサムウェアに感染するなどの事例が国内外において多数発生しています。本講演では、こうした事例における内部への初期侵入方法の最近の傾向とその対策、課題について検討します。

A-8：境界防御＆ゼロトラストのメリット・デメリット

登壇者：株式会社アイ・ティ・アール コンサルティング・フェロー 藤俊満氏 コロナ禍を経てワークスタイルは多様化し、クラウドサービス利用は増加しています。一方で標的型攻撃やランサムウェア攻撃などサイバー攻撃テクニックの高度化により、従来の境界防御型セキュリティの限界が露呈し、次世代のゼロトラスト型セキュリティへ進み始めています。技術的観点から境界防御型とゼロトラスト型それぞれの特長を解説します。

A-12：「人」に目を向けたサイバーインシデント対応に変えていこう

登壇者：国立大学法人大阪大学 サイバーメディアセンター・情報セキュリティ本部 教授、CISO 猪俣敦夫氏 2007年、大阪大学では約8万件の個人情報が漏洩する事故が発生した、これをきっかけとして大学全体でセキュリティに対する意識変革が起き、その後OU-CSIRTが発足し様々な事案での経験から、とにもかくにも焦点が当てられやすい技術ではなく「人」に目を向けることが重要であることを伝えてきた。本講演では大阪急性期・総合医療センターのインシデント調査委委員会の委員長を務めた中で得られた知見を踏まえ、我々が今何をすべきかについて述べていきたい。

DAY2：基調講演

B-1：ゼロトラストとは

登壇者：東洋大学 情報連携学学術実業連携機構 特任研究員 横澤祐貴氏 「ゼロトラストとは何か？」「何をすれば良いのか？」このセッションでは、NIST SP 800-207を中心としたドキュメントを解説ながら、ゼロトラストアーキテクチャを検討するヒントになる考え方を紹介します。

編集部セッション

B-4：攻撃に使えるマルウェアとPowerShell

登壇者：一般社団法人日本ハッカー協会 代表理事杉浦隆幸氏 サイバー攻撃は年々洗練されてきています。攻撃側は攻撃用のソフトウェアやマニュアルを用意して参加者に共有し攻撃が成功しやすいようにしています。本講演ではランサムグループに参加して攻撃する方法を解説します。

B-8：攻撃者は如何にして侵入し、企業は如何にして守るのか？

登壇者：株式会社トライコーダ 代表取締役 上野宣氏 『ペネトレーションテスト』は攻撃者と同様のハッキング手法を使って企業に侵入するテスト手法です。境界防御モデルやゼロトラストを導入し始めた企業に如何に侵入するのか？対抗するための有効なサイバー攻撃対策は何なのか？ペネトレーションテスターが攻撃者目線で語ります。

B-12：今年見かけた100のインシデント公表から視えるもの

登壇者：セキュリティインコ piyokango氏 2023年もDDoS攻撃やランサムウエア、不正アクセス被害など様々なインシデントが公表されました。このセッションでは、これら公表されたセキュリティインシデントを振り返りながら視えてくる今年の特徴や傾向についてトリならではの視点を踏まえて探っていきます。

DAY3：基調講演

C-1：Security & Privacyが事業成長のエネーブラーであり続けるための挑戦と課題

登壇者：株式会社メルカリ 執行役員 CISO 市原尚久氏 メルカリのセキュリティ組織は、事業成長のブロッカーではなく「エネーブラー」であり続けるため、経営層およびProduct/Engineer部門とAlignしつつ、「By Default, By Design, At Scale」をVisionに掲げ、業務・プロセス・システムのDX化、自動化、高度化に取り組んでいます。本講演では、これらのメルカリの挑戦と課題をご紹介いたします。

編集部セッション

C-4：事後のための事前の話～セキュリティ対策の起点・終点～

登壇者：SBテクノロジー株式会社 プリンシパルセキュリティリサーチャー 辻伸弘氏 事後のための事前の話には大きく分けて2つあります。事故を起こさないようにと事故が起きたときの話です。 前者は、可能な限り被害に遭わない、そして、早期に脅威を検知をするための幾重のセキュリティがありますが、まずは、起点として自組織がどのような状態であるかを知ろうということです。次に後者は、あまり考えたくはありませんがリスクゼロにできないという前提に基づき、事故が起きてしまったときの終点である外部への公表です。このセッションではセキュリティ対策というものの起点と終点にスポットライトを当て、どのように備えるべきかという私の提案をいたします。

C-8：MIXIセキュリティ室の戦略と施策 ～ 開発にセキュリティを組み込むために ～

登壇者：株式会社MIXI 執行役員 CISO セキュリティ室長 亀山直生氏 MIXIセキュリティ室ではDevSecOpsというキーワードを掲げて活動を行っているわけではありませんが、考え方には共通するところがあります。DevSecOpsにおいてはCI/CDのパイプラインや自動化が重視されがちかもしれませんが、本セッションではセキュリティ室が注力している教育とチェックの領域を中心に取り組みをご紹介できればと思います。

C-12：EmEditorの更新機能を利用したインシデントから学んだ教訓

登壇者：Emurasoft, Inc. President 江村豊氏 2014年8月、弊社が開発、販売しているテキストエディター「EmEditor」において、ソフトウェアの更新機能を利用したマルウェア感染の可能性があるインシデントが発生しました。本講演では、インシデントに気付いたきっかけを含め、一連の対策と学んだ教訓について講演いたします。

DAY4：基調講演

D-1：脅威アクターから眺める「標的組織」の実像

登壇者：株式会社サイバーディフェンス研究所 専務理事/上級分析官 名和利男氏 数年前から、徐々にかつ確実に「事業活動に深刻な影響を与えるサイバー攻撃」が増加している。この背景に、脅威アクターにおける攻撃能力の向上に加えて、標的組織における防衛能力の低下が見られるが、多くの企業はこの状況を直視せず、上層部が理解できたレベルのセキュリティ対策に留め、サイバー攻撃が仕掛けられる隙間を増やしている。

編集部セッション

D-4：脆弱性診断の観点

登壇者：NTTセキュリティ・ジャパン株式会社 コンサルティングサービス部 北河拓士氏 プラットフォーム脆弱性診断を中心に、Webアプリケーション診断との境界や、ペネトレーションテストやアタックサーフェス管理との違い、脆弱性管理との関連性について解説します。さらに、脆弱性診断における評価基準や注意すべき事項についても説明します。

D-8：ペイメントセキュリティ強化のためのPCISSCの活用

登壇者：PCIセキュリティスタンダードカウンシル（PCI SSC） アソシエイトダイレクター日本 井原亮二氏 2023年3月にリリースされたPCIDSSバージョン4.0は現在2024年3月までの2年間の旧バージョン(3.2.1)からの移行期間にいます。PCI SSCは事業体のスムーズな移行を支援するためにPCISSCコミュニティへの参加を通じたPCISSCからの情報や各リソースの活用を呼び掛けています。本セッションではその内容を中心にご紹介いたします。

D-12：脆弱性対応入門～お仕事の種類と必要スキル～

登壇者：EGセキュアソリューションズ株式会社 取締役 CTO/独立行政法人情報処理推進機構（IPA）非常勤研究員 技術士（情報工学部門）徳丸浩氏 ITを利用するところ必ずソフトウェアがあり、その脆弱性対応がセキュリティ施策の基本になります。脆弱性対応には立場に応じて様々な仕事があり、必要なスキルも異なります。本講演では、脆弱性対応の基本的な考え方と、役割（お仕事）の種類、必要スキルおよびスキルアップの方法について説明します。