はじめに

こんにちは、KINTO テクノロジーズ ( 以下、KTC ) SCoE グループの桑原 @Osaka Tech Lab です。

SCoE は、Security Center of Excellence の略語で、まだ馴染みのない言葉かもしれません。KTC では、この 4 月に CCoE チームを SCoE グループとして再編しました。SCoE グループについて知りたい方は、クラウドセキュリティの進化をリードする SCoE グループ を参照ください。

また、KTC の関西拠点である Osaka Tech Lab については、Osaka Tech Lab 紹介 をご参照ください。

本ブログでは、2024 年 7 月 4 日から 6 日に開催された『第 28 回サイバー犯罪に関する白浜シンポジウム』の参加レポートをお届けします。

まず最初に、"白浜" という場所をご存じない方へ。

白浜とは、和歌山県西牟婁郡白浜町のことです。白浜は、美しい海、砂浜、そして温泉と、魅力あふれる観光地となっています。また、国内で最大の 4 頭のパンダを飼育しているアドベンチャーワールドも白浜にあります。

シンポジウム参加者の皆さんは、サイバーセキュリティの知見を深めるだけでなく、魅力あふれる白浜も堪能されたのではないでしょうか。

シンポジウム概要

テーマは、「激変する環境、複雑化するサイバー犯罪にどう立ち向かうのか？」です。

"サイバー犯罪" というイベント名ではありますが、最近発生している一般的なセキュリティ脅威や話題についての講演やパネルディスカッションも行われました。このシンポジウムでは、「サイバーセキュリティはひとつの組織で守れるものではない」という理念のもと、企業、官公庁、教育機関などの横のつながりを大事にしています。そのため、「その場限り」の話も多く、現地に行かなければ聞けない「生の声」を得ることができました。

昼の部は、和歌山県立情報交流センターBig・U、夜の部は、約 8 km移動して、ホテルシーモアで開催されました。
（昼の会場が、実は白浜町ではなく隣の田辺市にあることについては、突っ込んではいけません）

シンポジウムでは、多くの興味深い講演や発表がありましたが、ここでは私が印象に残ったキーワードを 2 つご紹介します。プログラムの一覧については公式サイトをご確認ください。

キーワード 1 : 組織を越えた協力体制

このシンポジウムでは、ネットワーキングを非常に重要視しています。
シンポジウム実行委員長の挨拶や複数の講演者が、「脅威に対抗することは一企業・一組織単独では困難であり、点ではなく面で守ることが重要」と強調していました。
これは、サイバー攻撃の複雑化や多様化に対処するためには、異なる業界や産官学の壁を越えた協力が不可欠であることを示しています。
企業間の情報共有や官公庁・警察機関との連携、そして教育機関との協力が、より強固なセキュリティ対策を実現するための鍵となる共通認識を持つことが重要ということです。

警察関係者も多く参加しており、民間企業の方と意見交換をされていました。実際、このシンポジウムで私に最初に名刺交換の声掛けをいただいたのは某県警の方でした。

また、セキュリティインシデントは自社だけで対応することが困難であり、各組織の経験やノウハウを共有し、効果的なセキュリティ対策を実施することが重要であることも強調されていました。

夜の BOF（Birds Of a Feather）では、組織や業界を越えた同じ悩みを持つ参加者が集まり、活発な意見交換が行われました。

キーワード 2 : 生成 AI とセキュリティ

トレンドである生成 AI のセキュリティについて取り上げた講演が複数ありました。その中でも特に印象的だったのが富士通研究所様の講演です。この講演では、生成 AI に関するセキュリティの最新動向と実践的な知識を提供してくれました。

富士通研究所様の講演で強調されていたのは、「 AI で守る」と「 AI を守る」の両面でセキュリティを考慮する必要があるということです。

• AI で守る:

  • サイバーセキュリティの防御手段としての AI
  • セキュリティインシデントを予防するための AI

  「 AI で守る」分野では、既存のセキュリティ適用範囲が「生成 AI を使って守れる」ことによって大きく拡大しています。富士通研究所様で実施している、セキュリティ AI コンポーネントを拡充し、DevSecOps をフレームワーク化するという取り組みをご紹介いただきました。

• AI を守る:

  • AI に潜む脅威、AI への攻撃
  • AI を攻撃から守る

  「AI を守る」分野では、生成 AI がもたらすリスクについても詳しく説明されました。生成 AI に対するサイバー攻撃の具体的な手法や、それに対する対策アプローチについても言及されていました。AI への攻撃は「情報を盗む」と「 AI を騙す」について、具体例を交えてご紹介いただきました。

この講演では、生成 AI を活用したプロダクトを構築する際に考慮すべきセキュリティ観点が体系的にまとめられており、非常に参考になりました。例えば、生成 AI の開発プロセスにおけるセキュリティガイドラインの策定や、ガードレール・脆弱性スキャナのサンプルなど、具体的なガイドラインへの落とし込みに役立つインプットが得られました。

来年参加される方向けの TIPS

来年参加される方向けの TIPS もいくつかご紹介します。

• チケット確保: この白浜シンポジウムも含めて温泉シンポジウム系（道後、越後湯沢、熱海、九州）は、非常に人気が高く、プラチナチケットとなっています。発売開始日は必ず確認しておき、早めに確保することをお勧めします。また、昼食のランチ（弁当）チケットも合わせて購入をお勧めします。これは会場内・会場周辺で昼食を確保できる場所が限られているからです。
• 交通手段の確保: 白浜駅から会場までシンポジウムが提供するシャトルバスがありますが、時間の融通は利きません。公共交通機関での会場移動は難しいため、シャトルバスの時間には十分気を付ける必要があります。レンタカーの利用も一つの手段です。（私は会社の許可を得て、自家用車で参加してましたので、本当に助かりました。）
• 宿泊先の選定: 宿泊先は、シャトルバスの利用を考慮すると、夜の会場（ホテル）に近い場所を選ぶと便利です。夜の会場周辺は、温泉地ですので多くの宿泊施設があります。
• ネットワーキング: 名刺を大量に持っていくことをお勧めします。ネットワーキング重視のシンポジウムですので、積極的に交流した方が得るものが多くなります。

まとめ

サイバーセキュリティは、組織や業界を越えたつながりが重要です。現地でしか聞けない「生の声」は、本当に貴重なものがあります。
このような有益なシンポジウムを開催してくださった実行委員や講演者の皆様、スポンサー企業の皆様、そして参加者の皆様に感謝いたします。

皆さんも来年、白浜の美しい夕日を眺めながら、サイバーセキュリティにどっぷり浸かってみてはいかがでしょうか。

さいごに

私の所属する SCoE グループでは、一緒に働いてくれる仲間を募集しています。クラウドセキュリティの実務経験がある方も、経験はないけれど興味がある方も大歓迎です。お気軽にお問い合わせください。

詳しくは、こちらをご確認ください。