チケットの入手に成功したので、サイバーセキュリティシンポジウム道後2025に行ってきた。
なんだかんだで10回以上も参加している。武漢ウイルス(コロナ)の影響を受けて一時期開催時期が流動的になっていたが、前回から開催時期が3月に戻っている。
この時期は温泉が楽しめるし、みきゃんの食べ比べもできるので幸せ。
アジェンダ&メモ
■Day1
- 基調講演:サイバーセキュリティ政策の現状と動向について(山内智生氏@総務省)
基調講演にもかかわらずスライドが表示されないというアクシデントが発生
R5年の通信利用動向調査によるとテレワークを利用したことがない人が7割超いることになっているが、会場参加者とは真逆の状況。これはいったい誰に聞いた調査なんだろう???
NICTERによると13秒に1回攻撃関連の通信(調査スキャン等)が発生
代表的なトラストサービス(「電子署名」、「タイムスタンプ」、「eシール」)に関して、タイムスタンプについては確定申告で相当使われているらしい。
自組織内で脆弱性管理(パッチ管理)をバカにしている人が多く困っているのだが、どうも自組織に限った話ではないことが分かった。
生成AIはお役人も惚れ惚れするレベルの文書が作れるらしい。ただし、平気でウソこくのでファクトチェックはかなり重要
- 講演① -1 :サイバー空間をめぐる脅威の情勢と取るべき対応(中川陽介氏@警察庁)
(特になし)
- 講演① -2:サイバー空間の脅威の情勢とJC3の主な活動~産官学の連携の現場から~(櫻澤健一氏@日本サイバー犯罪対策センター)
JC3はNCFTA(National Cyber-Forensics & Training Alliance)と呼ばれる米国の非営利法人(サイバー空間における脅威への対処を目的としたとしている)をモデルに設立されたことを知った。日本はアメリカに比べていろいろなものが10年くらい遅れているが、是非継続して取り組みを続けてほしいと思った。
- 特別講演:サイバーインテリジェンスが事業継続にもたらすもの(軍司祐介氏@株式会社マキナレコード)
特別協賛(最上位スポンサー?)のマキナレコード社からのサイバーインテリジェンスに関するセッション
「マキナレコード」って最初聞いた時、音楽関係の会社が事業の多角化でサイバーセキュリティに手を出したのかと思っていた。どうも2016年に創業したサイバーインテリジェンスがメインの会社らしい。
- パネルディスカッション:インシデント対応の現実と理想~ベストプラクティスを求めて~(佐藤公信氏@NICT、間下義暁氏@JAXA、小川久仁子氏@CPP、マキロイ七重氏@JPEC)
JAXAといえば、昨年不正アクセスを受けた被害組織であり、インシデント対応をする側の組織と、報告を受ける側の個人情報保護委員会の小川氏、捜査機関の立場になるマキロイ氏のディスカッション。
話を聞いていて思ったのはインシデント発生時の報告・相談先が多すぎる。セキュリティベンダー、監督官庁、NISC、ケーサツ、IPA、JPCERT/CC、 個人情報保護委員会、、、、、インシデント対応しながら複数の関係各所に共有・報告は結構面倒なので、1か所に報告を上げてそこに関係各所がアクセスさせるようにする枠組みが必要と思った。
聞く側は無邪気にあれこれ聞いてくるが、分からないものは割り切って「分かりません」という必要がある。
インシデント発生時にケーサツにうっかり相談すると証拠物件を押収されてしまうという噂があるようだが、被害組織に対して意向を無視して証拠物件の押収を行うことはしないとのこと(個人的に警察への相談はどこまで効果があるのか懐疑的ではあるのだが・・・)。
個人情報保護委員会への報告については、報告の仕方含めて相談すれば優しく対応してくれるらしい。
■Day2
冒頭、JNSAの下村氏から挨拶があった。
先日のNSF2025を受けて、「セキュリティは投資ではなくてコスト」の旨を発言。
自分もNSF2025に参加していたので、もう少し補足すると「セキュリティは投資だ」って言うと投資家からはROIを求められる。しかしセキュリティ投資でROIなんて出せるわけないので、だったらセキュリティは事業継続のための必要経費でいいんじゃねってことで、「セキュリティは投資」ということはやめようということになっている。
この結論自体は自身も賛成。
んで、この日例えとして出てきたのが住宅用火災報知器。
任意だと3割くらいの普及率で推移していたが、義務化されて一気に普及率は8割へ。ところが罰則規定がないので100%にならない。
結局セキュリティも将来的には義務化の道を進むのだろうか?
という感じでDay2スタート。
- 講演② :持続可能な成長に向けた暗号技術の研究開発(大久保美也子氏@NICT)
共通鍵暗号、公開鍵暗号、ハイブリッド暗号あたりまではついていけていたが、途中から完全に脱落。SEC道後2025で最も難解なセッションだった・・・
- 講演③ :パソナグループにおけるDXの取組みとセキュリティ対策(西本逸郎氏@LAC、河野一氏@パソナ)
西本さんのセッションは個人的にSEC道後で一番楽しみなセッション。詳細は割愛するが、リスキリングでよく活用されるe-learningの実態を知ることができてとても参考になった。
ちなみにインシデント発生時に”①不確実でも早く上げる”のと、”②時間がかかっても正確な情報を上げる”のどちらを選択するのかは結構悩ましいところだが、これは①が正解。②をやると隠蔽の疑いがかけられる。
- ランチセッション:多層防御で実現するメールセキュリティの新時代(加瀬正樹氏@TwoFive)
SEC道後では初!?となるランチセッション
DMARCについて空港の入国審査(入国許可、入国拒否、別室送り)に例える例がすごく参考になった。
ちなみに日本のDMARC普及率(恐らくRejectポリシー普及率)は発展途上国レベルとのこと。ASEANよりも低いのは認識していたが、こういう領域は日本は後進国であることを認識せねばと感じた。
- 講演④:複雑で難しいサイバーセキュリティを単純明快にする~断片的な情報を図解することでつながる理解~(佳山こうせつ氏@TDU/Ridgelinez)
講演中にオンラインで質問を受け付けていたら鋭い質問が来てなかなか面白かった。(「キュン死」自体知らなかったのである意味勉強になった。)
結局セキュリティの構成要素は「人」「プロセス」「技術」に収斂することを学んだ。
その他
PPAP総研さんから「くたばれPPAP」ステッカーをもらった。
PPAPのデファクトスタンダードについて、やはり多いのはクラウドストレージになるのだが、画一的な方法に統一する方法はなく、今あるものを使って柔軟にやればよいらしい。そもそもまともにIT投資をしている会社間であればメールサーバ間の通信は暗号化されているのでPPAP不要でそのまま添付ファイルを送ればよいし、PPAPのために追加の投資をする必要もない。
一方でIT投資をしていない(というかメールセキュリティがクソな)会社に対してのみPPAPで送り付ければよいのではという感じの会話をしたのだが、なるほどと思いつつ、後で考えるとそれはそれで大変だとも思った。
ちなみにAWSの新しい正式名称を学んだ。それは、
Adventure World Shirahama
こういう地方開催のシンポジウムは地域経済への貢献にもなるので、来年もチケットが取れればまた松山に来たい。