標的型攻撃もコストパフォーマンスやタイムパフォーマンスを重視する時代。強請るにしても、窃取するにしても、簡単な ところから仕掛けるのが攻撃側の常識となっている。これを踏まえてセキュリティ対策として最も重要なのは、苦も無く“通す”ような環境にしないこと。そのためには有識者らが知を集約して作り上げた推奨・標準を参考に、世間の公開事例も取り込んだ「歴史に学ぶ」対策が重要と言えるのではないか。
3月5日~8日に開催された「TECH+フォーラム - セキュリティ 2024 Mar. 『推奨』と事例に学ぶ事前対策」では、セキュリティの専門家や企業でセキュリティを担当する方々を招き、セキュリティ対策についての講演や事例紹介が行われた。
以下では、基調講演および編集部セッションのレポートへのリンクをまとめている。今後のセキュリティとの向き合い方のヒントにしていただきたい。
DAY1:基調講演
A-1:セキュリティの考え方
 |
レポート掲載はありません
編集部セッション
A-4:ASM(Attack Surface Management)導入ガイダンス ~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~
 |
登壇者:経済産業省 商務情報政策局 サイバーセキュリティ課 課長補佐 飯塚智氏 サイバー攻撃から自社のIT資産を守るための手法としてASMが注目されている。2023年5月、経済産業省は、「ASM(Attack Surface Management)導入ガイダンス~外部から把握出来る情報を用いて自組織のIT資産を発見し管理する~」を策定。自社のセキュリティ戦略において活用頂けるよう、ASMの考え方、特徴、留意点等の基本情報、取組事例を紹介。 |
A-8:ランサムによるインシデントはもう起きている ―技術者視点で見誤るBCPとIT-BCPの違いー
 |
登壇者:国立大学法人 大阪大学 サイバーメディアセンター・情報セキュリティ本部 教授、CISO 猪俣敦夫氏 この数年で事業継続計画(BCP)と普通に言われるようにもなり、そのためにインシデント起こさないことを前提とした「防御」これが当たり前にずっと行われてきた。 BCPというといわゆるセキュリティ対策と言われる技術的視点に焦点が当てられやすい。 しかし今までの境界防御のように出入りを監視していれば良いという時代ではなくなりつつある。 そこで本講演では、原点に立ち返り組織そのものの継続性が重要である点についてランサムをケースとして論じていきたい。 |
DAY2:基調講演
B-1:デジタル庁におけるゼロトラストアーキテクチャの方針について
 |
登壇者:デジタル庁 戦略・組織グループ セキュリティストラテジスト 鈴木研吾氏 昨今のセキュリティトレンドの一つとして「ゼロトラストアーキテクチャ(ZTA)」が挙げられます。デジタル庁では、ZTAは「考え方」であるとして整理しており、このZTAに基づいて様々な取り組みが行なわれています。本講演では、デジタル庁が考えるZTAの考え方について、デジタル社会推進標準ガイドライン「ゼロトラストアーキテクチャ適用方針」「ゼロトラストアーキテクチャ適用方針における属性ベースアクセス制御に関する技術レポート」の内容を中心に説明いたします。 |
編集部セッション
B-4:大和証券ゼロトラスト導入、成功のポイント
 |
登壇者:株式会社大和総研 システムインフラ第二部 副部長 福原一樹氏 大和総研は、大和証券グループのシンクタンクとして、ビジネスを技術面で支えています。大和証券へのゼロトラストソリューション導入事例における成功のポイントや導入後の取り組みをご紹介します。 |
B-8:攻撃者の視点から分析するゼロトラストの効果
 |
登壇者:株式会社トライコーダ 代表取締役 上野宣氏 本講演ではペネトレーションテストの経験から、主にエンドポイントとクラウドサービスに焦点を当ててゼロトラストモデルがサイバー攻撃者のアプローチに与える影響を探ります。侵入の試みにおける攻撃者の戦略の変化に着目し、組織がこれらの脅威に対してどのように備え、対処すべきかについても解説します。 |
DAY3:基調講演
C-1:被害額調査からの学び ~インシデント発生時の不利益~
 |
登壇者:JNSA(日本ネットワークセキュリティ協会) 調査研究部会 インシデント被害調査WG リーダー
神山太朗氏 経営者はリスクは認識しているもののセキュリティへの投資は後回しに…。セキュリティ担当者だけがやきもきしているケースも多いのではないでしょうか。そうした状況を打開すべく、JNSA「インシデント損害額調査レポート」を基に経営者にもわかりやすいインシデント発生時の不利益について金額も交えつつ解説します。 |
編集部セッション
C-4:みんなの銀行のEDR運用効率化へ向けた取り組み
 |
登壇者:株式会社みんなの銀行 サイバーセキュリティグループ グループリーダー ゼロバンク・デザインファクトリー株式会社 執行役員CISO 二宮賢治氏 みんなの銀行では、2020年の設立当初より、EDRを導入・活用してきました。本講演では、導入時の考慮点、運用上の課題や、解決のための取り組み等に加え、SIEM/SOARと統合したプライベートSOCの現場の状況についてご紹介いたします。少しでも皆様のご参考になればと思います。 |
C-8:急増するフィッシング詐欺。今、企業に求められる対策とは
 |
登壇者:フィッシング対策協議会 運営委員長 加藤孝浩氏 フィッシング詐欺は毎年倍増の勢いで増加しており、業種を問わず標的となっています。この悪質な詐欺行為は企業ドメインを装った非常に本物らしい「なりすましメール」をユーザーに送り、クレジットカード番号などの個人情報を詐取するものです。 本講演では、フィッシング詐欺の最新状況と企業が採用すべきフィッシング対策について詳しく説明します。 |
DAY4:基調講演
D-1:開発プロセスで守るソフトウェア作り
 |
登壇者:Launchable, Inc. Co-CEO 川口耕介氏 セキュアなソフトウェア作りにも色々あります。本発表では、自動化されたソフトウェア・デリバリー・パイプラインが安全なソフトウェアを開発するのにどう役に立つのか、セキュリティを念頭においたソフトウェアの設計・実装の実例など、ソフトウェア開発者として僕自身が気を付けていることをお話します。 |
編集部セッション
D-4:PCI DSSのエッセンス
 |
登壇者:PCIセキュリティスタンダードカウンシル(PCI SSC) アソシエイトダイレクター日本 井原亮二氏 クレジットカードによる不正被害が急増する中、PCI DSSにはペイメントセキュリティの基本が網羅されており、カード決済を扱う事業者に改めてPCI DSSのコンセプトをご理解いただくことは重要と考えその概要を解説いたします。 |
D-12:自社サービス開発においてセキュリティ責任者が取り組むべき要点
 |
登壇者:EGセキュアソリューションズ株式会社 取締役 CTO/独立行政法人情報処理推進機構(IPA)非常勤研究員 技術士(情報工学部門)徳丸浩氏 企業システムにおいてSaaS利用が活発になった結果として、SaaSを提供する企業が増え、その結果自社サービスを開発する企業や組織も増えています。自社サービスの開発では、機能が常に変化し続けることが要求され、サービスセキュリティも、変化にできる迅速性が求められます。本講演では、サービス開発においてセキュリティ責任者が取り組むべき要点について説明します。 |
TP-Link製ルータの利用を禁止する可能性、米国当局が調査
