■開催概要
・名称:Hack Fes. 2024
・日程:2024年7月20日(土)
・時間:【カンファレンス】10:00〜17:40(受付開始 9:30)
【ネットワーキング(NW)パーティ】18:00〜19:40(開場 17:30)
・会場:秋葉原UDX
〒101-0021 東京都千代田区外神田4丁目14-1
【カンファレンス】UDX Conference(6F)
【NWパーティ】UDX Gallery(4F)
・形式:対面開催(オンライン配信は行わない)
・トラック数:メイントラック×1、サブトラック×1
・募集人数:【カンファレンス】300名(予定)
【NWパーティ】150名(予定)
・参加費(税込):【カンファレンスのみ】4,000円
【カンファレンス+NWパーティ】10,000円
・事前登録:Yahoo! PassMarket(6月1日 12:00より販売開始)
・協賛企業:株式会社ブロードバンドセキュリティ
SCSKセキュリティ株式会社
株式会社CEL
・主催・運営:日本ハッカー協会
・後援:デジタル庁
・お問い合わせ:https://www.hacker.or.jp/contact-us/
■Hack Fes.とは
「Hack Fes. (ハック・フェス)」は、2023年から開始された、セキュリティ・エンジニアを対象にした対面開催限定のイベントです。専門知識を学んだり、スキルを磨いたりする場であるとともに、参加者同士が直接交流できる機会を提供することを目的としています。
Fes.(フェスティバル)というイベント名を選んだのは、堅苦しいお勉強のイベントではなく、多くの人が集まることで生まれる「ワクワク感」や「楽しさ」を共有し、参加者とともに「お祭り」を作り上げていくことを目指しているからです。
■テーマ:AIとハッカー
AI技術の進化は、サイバー攻撃を仕掛ける側と防御する側の双方に大きな変化をもたらします。今回のイベントでは、AIをテーマに調査・研究を行っているセキュリティエンジニアの方々に登壇いただき、その成果や知見などを共有していただきます。
■講演者募集(Call for Presentations)
Hack Fes. 2024では「サイバーセキュリティ」に関するテーマで講演者を募集します。下記リンクの文章をお読みいただき、専用フォームからご応募ください。(6月10日で応募を締め切りました)。
Hack Fes. 2024 講演者募集(Call for Presentations)について
■タイムテーブル
●メイントラック
09:30〜 | 開場・受付開始 |
10:00〜10:10 | オープニング・日本ハッカー協会の紹介(10min) |
10:10〜10:55 | 『LLMのセキュリティ・リスク』(45min) 高江洲 勲 |
10:55〜11:40 | 『Offense for AI, AI for Offense』(45min) 辻 知希(Satoki) |
11:40〜12:40 | ランチ休憩(60min) |
12:40〜13:25 | 『Deepfakeを用いたe-KYCに対するなりすまし攻撃と対策の検討』(45min) 川名 のん |
13:25〜14:10 | For a Better DFIR Life with Yamato Security OSS Tools(45min) 高橋福助 |
14:10〜14:20 | 休憩(10min) |
14:20〜14:45 | 『スポンサーセッション:サイバーセキュリティにおけるAI:プロンプトを超えた攻防』(25min) 齊藤 義人 |
14:50〜15:15 | 『ブラウザ通知スパムで見る、悪意あるコンテンツが表示される仕組み』(25min) 益本 将臣 |
15:20〜15:45 | 『実運用ワークフローを踏まえた不正リスク対策』(25min) 伊東 道明 |
15:45〜15:55 | 休憩(10min) |
15:55〜16:40 | 『AIの判断と法的責任』(45min) 平野 敬 |
16:40〜17:30 | 『世界に普及可能な日本発のサイバー技術の生産手段の確立』(50min) 登大遊 |
17:30〜17:35 | クロージング |
●サブトラック
10:10〜11:40 | 『ワークショップ:CTF入門:CTFを楽しく学ぶ』(90min) 水野沙理衣/板倉景子 |
11:40〜12:40 | ランチ休憩(60min) |
12:40〜13:05 | 『スポンサーセッション:セキュリティコンサルタントって… なんだろう?』(25min) 笠間 太樹 |
13:10〜13:35 | 『スポンサーセッション:Copilot for Securityの現在地とセキュリティ利活用』(25min) 中本 有哉 |
13:40〜14:05 | 『一部国内外勢力によるサイバー攻撃に対する、Threat Intelligence兼ねたOSINTの展望』(25min) Юрій_Смирнов(ユーリ・スミルノフ) |
14:10〜14:20 | 休憩(10min) |
14:20〜15:50 | 『ワークショップ:バグバウンティ入門 〜Bug Huntingのスキルで社会貢献と報酬金獲得を目指して〜』(90min) 森岡 優太 |
15:50〜16:00 | 休憩(10min) |
16:00〜17:30 | 『ワークショップ:OSINTによる画像分析入門 by pinja』(90min) ykame/awamori/ |
■講演概要(順不同)・講師プロフィール(敬称略)
●メイントラック(講演)
『LLMのセキュリティ・リスク』
Llama3やChatGPTに搭載されているGPTなどの大規模言語モデル (LLM) が普及し、多くの個人や組織が業務効率化のためにこれらを活用している。さらに、FlowiseやLangChainなどのLLM連携ツールの登場により、WebアプリケーションやDBMSと統合したLLMアプリケーションも増加している。LLMやLLMアプリケーションは有用であるが、OWASP Top10 for LLM Appsにも示されているように、LLM特有の脅威も存在する。LLMやLLMアプリケーションの利用者、開発者、運用者がこれらの脅威を十分に理解していない場合、情報漏えいやデータの改ざん、システムの乗っ取りなど、重大なセキュリティ・インシデントを引き起こすリスクがある。そこで本講演では、LLMを安全に扱うための重要なポイントを、スライドとデモを交えて解説する。本講演は、LLMを利用する方、LLMアプリケーションの開発者や運用者、またLLM特有のセキュリティ技術に興味がある方を対象としている。
- 氏名:高江洲 勲
- X(Twitter):@bbr_bbq
- 所属:三井物産セキュアディレクション株式会社
- プロフィール:情報処理安全確保支援士。CISSP。
AIセキュリティに着目し、機械学習アルゴリズムの脆弱性に関する研究や、機械学習を用いたセキュリティタスク自動化の研究を行っている。研究成果は、世界的に著名なハッカーカンファレンスであるBlack Hat Arsenal (ASIA / USA / EURO) やDEFCON Demo Labs / AI Village、CODE BLUE、AV Tokyo HIVE、BSides Singapore / Tokyoなどで発表している。近年はセキュリティ・キャンプ (2019年より講師、2022年からはAIセキュリティ・クラスのプロデューサーも兼任)や国際的なハッカーカンファレンスであるHack In The BoxのAIセキュリティ・コンペティションで審査員を務めるなど、人材育成にも力を入れている。
『Offense for AI, AI for Offense』
本講演では、AIに対する攻撃 (Offense for AI) と、AIを疑似攻撃手段として利用するセキュリティ強化手法 (AI for Offense)について取り上げます。講演は2つのセクションに分かれており、前半ではAIシステムやそれを活用するアプリケーションがどのように攻撃されるかに焦点を当て、後半ではAI技術を用いてオフェンシブにセキュリティを実現するための手法について詳しく説明します。Offense for AIセクションでは、AIへの攻撃手法、特にOWASP Top 10 for LLM Appsにも列せられる“プロンプトインジェクション”や“安全でない出力処理の問題”を中心に扱います。また、AIに対する攻撃ベクトルとして、絵文字やアスキーアートを用いた攻撃プロンプトの研究事例や、ホモグリフを用いた新たな攻撃手法を紹介します。これに加えて、AIが関与するWebサービスやオープンソースソフトウェアの脆弱性、現実にCVE採番が行われた事例と新たに発見したパッチのバイパス手法に触れます。
AI for Offenseセクションでは、AIを利用してWebソースコードから脆弱性を発見する手法や、攻撃ペイロードの自動最適化など、AIが攻撃側のリソースとしてどのように活用され得るかを説明します。これにより、技術的な知識が限られたユーザでも環境に合わせた効率的な攻撃が可能になることが示唆されます。また、オフェンシブなセキュリティテスターの技術向上の可能性について言及します。
本講演は、AIとセキュリティの交差点における最新の動向と技術的課題を理解するための情報を提供します。
- 氏名:辻 知希(Satoki)
- X(Twitter):@satoki00
- 所属:株式会社リチェルカセキュリティ
- プロフィール:Webアプリケーションつんつん職人。CTFプレイヤー、バグハンターとして活動。SECCON CTF / Beginners CTFの運営メンバー、DEF CON CTF Finalsへ出場。GoogleやFirefoxを含む多数のWebサイトやソフトウェアの脆弱性を発見し報告。LLMを用いたセキュリティソリューションの開発やExploitの構築に従事し、AIチャットボット診断のための多数のJailbreak / FilterBypass手法を考案。
『Deepfakeを用いたe-KYCに対するなりすまし攻撃と対策の検討』
eKYC(electronic Know Your Customer)とは、改正犯罪収益移転防止法で定義されている、オンラインなどの非対面で行う本人確認手法です。口座開設やキャッシュレス決済サービスなどの本人確認で活用されており、スマートフォンで撮影した顔写真と運転免許証を用いる方式が広く用いられています。このように自分で撮影した顔写真を用いるeKYCにおいて、Deepfakeでの「なりすまし攻撃」の可能性を考え、実験を行いました。
本講演では、実験用に構築したeKYCシステムに対する、Deepfakeを用いた「なりすまし攻撃」実験について紹介します。また、eKYCにおけるDeepfake対策のあり方についての検討結果も紹介します。
- 氏名:川名 のん
- 所属:株式会社日立製作所
- プロフィール:研究開発グループ デジタルサービス研究統括本部、研究者。主にセキュリティに関する研究をしており、ESGとファイナンスを起点としたデジタルサービス創生をめざしている。
『For a Better DFIR Life with Yamato Security OSS Tools』
WindowsイベントログはDFIR(デジタルフォレンジックおよびインシデントレスポンス)担当者にとって重要なアーティファクトの1つですが、その解析には一定のスキルが必要です。本セッションでは、Yamato Securityのメンバーが開発したOSSツール「Hayabusa」および「Takajo」を用いたWindowsイベントログのファストフォレンジック手法をご紹介します。これらのツールを使用することで、Sigmaコミュニティの最新ナレッジを活用したWindowsイベントログ解析ができるようになります。さらに、他のBlueTeam OSSツールと組み合わせることで、より快適なDFIRライフを実現する方法についてもご紹介します。また、Yamato Securityツール開発におけるGitHub Copilotの活用状況についても触れます。
- 氏名:高橋福助
- 所属:株式会社NTTデータグループ , Yamato Security
- GitHub:fukusuket
- プロフィール:2018年よりNTTDATA-CERT(株式会社NTTデータグループのCSIRT)に所属し、IR、OSINT、SOAR業務に従事。Yamato SecurityのOSSツール「Hayabusa」「Takajo」の開発者の1人。OSS Blue Teamツールの修正、バグハンティング、フットサルが趣味で、複数CVEを公開。35th Annual FIRST Conference、SECCON 2023 電脳会議 Open Conference、BSides Tokyo 2024などのカンファレンスで発表
『ブラウザ通知スパムで見る、悪意あるコンテンツが表示される仕組み』
インターネットの世界には、マルウェア配布サイトや詐欺サイト、違法なコンテンツサイトなど、さまざまな悪意のあるコンテンツが展開されている。悪意のあるコンテンツが表示されている裏では、攻撃者が構築したアフィリエイトネットワークが暗躍している。広告収入や手数料を得るために、あらゆる手口を使って、アフィリエイトネットワークにトラフィックを流すように仕向けている。そして、アクセスした人の属性に合わせて、悪意のあるコンテンツを表示している。これらの活動は、あまり話題になっていないが、マルウェア配布サイトや詐欺サイトなど直接害するコンテンツに誘導しているため、無視できない脅威となっている。本講演では、悪意あるコンテンツの1つであるブラウザ通知スパムを例にして、攻撃者がどのように被害者を誘導しようとしているのかについて説明する。アフィリエイトネットワークとは何か、どのような手口で被害者を誘導しようとしているか、正規サイトを改ざんする場合、どのように改ざんしているのかについて説明する。
- 氏名:益本 将臣
- X(Twitter):@masaomi346
- 所属:NTTコミュニケーションズ株式会社
- プロフィール:NTTコミュニケーションズ株式会社にて、脅威インテリジェンスプロジェクトNA4Secのメンバーとして活動し、フィッシング詐欺を中心にサイバー犯罪の調査・分析に従事。Xのアカウント(@Metemcyber)にて、脅威情報の配信を行なっている。プライベートでも似たようなことをしている。今まで外部イベントで登壇をする機会はなかったので、さまざまな外部イベントでの登壇にチャレンジしていきたいと思っている。
『実運用ワークフローを踏まえた不正リスク対策』
社会のデジタル化が進んできた現在、「不正」の検知や防止が課題となっています。 例えばサイバー攻撃による不正アクセスやサービスの不正利用、内部不正による情報漏えいなど、さまざまな不正リスクと向き合わなければなりません。 本講演では、複数の不正検知テーマを題材に、検知するためにどのようなデータがまず必要か、それらのデータに対してどのような手法を用いれば適切に不正が検知できるか、手法の一例を紹介します。 また、不正検知システムはどのようなワークフローに組み込むかによって、適切な検知手法や運用方法が変わります。実運用の観点から、どのように不正リスクに向き合う必要があるか実例も交えて解説します。
- 氏名:伊東 道明
- 所属:株式会社ChillStack
- プロフィール:AI・セキュリティに関する分野を専門に活動。セキュリティキャンプ全国大会2015修了生。IEEE CSPA2018 Best Paper Award, セキュリティキャンプアワード2018最優秀賞を受賞。クリエイター奨学金クマ財団2期生。SECCON2017NOC、ICTSC5-9, 2018運営。AIセキュリティに特化した株式会社ChillStackを創業し、不正検知システムやセキュリティ関連サービスを開発・提供している。
『AIの判断と法的責任』
近年、AIの発展が目覚ましい。コンピュータは単なる計算の道具であることから卒業し、人間への助言や意思決定、知的生産を担う存在となりつつある。技術的発展が日新月歩の勢いで進む一方、それに対応する法整備は残念ながら遅々として進んでいない。今後、社会におけるAIの存在感が増すにつれ、AIの使用に起因して生じたトラブルも頻発することが予想される。関係者が民事・刑事の法的責任を問われることも増えるだろう。その際に、AI技術者はいかにして身を守るべきか。本稿では、技術者向けに伝統的な法律学の考え方を紹介した上で、どのような点を意識すべきかを論じる。
- 氏名:平野 敬
- X(Twitter):@stdaux
- 所属:電羊法律事務所
- プロフィール:法学修士(慶應義塾大学、Trinity College Dublin)。筑波大学法科大学院修了。2014年弁護士登録。東京都町田市において電羊法律事務所を開設し、所長を務める。主に著作権やインターネット、システム開発関係訴訟を扱う。著名な担当事件として、UQ WiMAX事件(2018年)、コインハイブ事件(2022年)、漫画村広告代理店事件(2022年)、技能実習生死体遺棄事件(2023年)、トレパク冤罪事件(2023年)など。
『世界に普及可能な日本発のサイバー技術の生産手段の確立』
ICT 基盤を支える最近のサイバー技術の多くは、海外で作 られたものが多いが、日本においても、すでに存在する人材、資源、設備、規模 を活用して、サイバー技術の生産手段を確立できれば、AWS や Windows、 Google のように、全世界的に普及する基盤的サービスや技術が多数出てくることは、間違いがないと考える。そのためには、日本の色々な組織における ICT 人材における、(1) コンピューターと通信を併せた多レイヤーに渡る技術の探求、(2) これまで 日本で作られてきた豊富な通信路や建物を活用した技術開発と組織間連携、 (3)Microsoft, Google, Apple の創業や AT&T における UNIX の発明などを参考にしたコンピューター・インチキあそびの復活、が有効である。
- 氏名:登大遊
- X(Twitter):@dnobori
- 所属:ソフトーサ株式会社 他
- プロフィール:日本の企業や行政機関等のテレワークシステムや、世界中で 700 万ユーザー利用 の SoftEther VPN セキュリティソフトなどを開発しているソフトウェア技術研究経営者。2004 年に筑波大学在学中にソフトイーサ株式会社を起業。2017年 博士 (工学)。2017 年から筑波大学産学連携准教授(2022 年から客員教授)、2018 年 から 独立行政法人 情報処理推進機構(IPA)サイバー技術研究室長。2020 年から NTT 東日本本社 特殊局員(いずれも現役)。
『スポンサーセッション:サイバーセキュリティにおけるAI:プロンプトを超えた攻防』
現代のサイバーセキュリティの分野において、AIの進化は劇的であり、セキュリティ対策に新たな可能性をもたらしています。AIは膨大なデータ分析やパターン認識に優れており、従来のセキュリティ対策では対応が難しかった脅威に対しても有効な手段となる可能性を秘めています。
しかし、一方でAIがセキュリティエンジニアの仕事を奪い、その存在価値を低下させるのではないかという懸念も生じています。AIが高度化すれば、セキュリティシステムの構築や運用を自動化できるようになり、人間の専門知識や経験が不要になるという考えです。
「はたしてAIは『セキュリティエンジニアを殺す魔法』たるか?」という問いは、一考の価値があります。
漫画『葬送のフリーレン』に登場する「ゾルトラーク現象」は、かつて特別であった技術が、優れているがゆえに研究が進み、広く利用され、新たな技術革新の土台となる過程を示すものです。AIもこの例外ではありません。初期のAI技術は特別なものでしたが、今では、ChatGPT、Claude3などの多くのツールやプラットフォームが身近で利用可能となり、効果的なプロンプトの書き方は巷に溢れ、一般化したと言えるでしょう。セキュリティの分野でもその影響は顕著です。
今回は、私自身のセキュリティエンジニアとしての経験と、セキュリティ企業の経営に関わる立場から、技術とビジネスとのギャップに着目し、持続的なAI活用に向けた方法を探っていきたいと思います。
- 氏名:齊藤 義人
- 所属:株式会社ブロードバンドセキュリティ 執行役員
- プロフィール:Webアプリケーションを中心とした開発エンジニアを経て、官公庁および大手顧客向け脆弱性診断・ペネトレーションテストに従事。数年に亘る長期かつ大規模システムのプロジェクトマネージャを担当。複数の大学におけるサイバーセキュリティ分野の講師、企業のセキュリティ担当者向けのセミナー講師も行う。PCI DSS対応デジタルフォレンジック Quality Assuranceに従事。生成AIの利用方法として、ChatGPT、Claud3、Geminiに討論させることで時間を溶かしがち。ChatGPTは多重人格、Claud3は諦めが早い。Geminiは頑固だなと思っている。
●サブトラック(ワークショップ+講演)
『『ワークショップ:CTF入門:CTFを楽しく学ぶ』』
「CTFに挑戦してみたいけど何からやればいいのか分からない」「参加したことはあるけど解き方が分からずに諦めてしまった」という初心者の方向けのCTFの講義と実践用の簡易mini CTFを開催します。
講義で紹介するジャンルは、
・Web(Webの脆弱性に関わる問題)
・Reversing(実行ファイルの解析を行う問題)
・Network(パケットファイルの解析を行う問題)
です(時間に余裕があれば他のジャンルも絡めてお伝えします)。
また、同時並行で初心者向け問題構成のmini CTFを開催しますので、講義を元に「自分でflagをとる」という醍醐味を体験できるワークショップとなっています。
難化傾向のあるCTFですが、解くべき問題から学びを得ていくことで、「CTFは楽しい」と思えるようになります。楽しんでいただけるような講義と問題を準備しますので、興味のある方はぜひお越しください。
- 氏名:水野沙理衣
- X(Twitter):@r1154n
- 所属:株式会社GMOサイバーセキュリティ by イエラエ
- プロフィール:Webアプリケーション診断に従事。2024年度よりCTF for Girls 副代表に就任。
大学3年の頃からCTFに挑戦するものの難しくて挫ける。少しずつ勉強するうちに楽しさに気づき、過去の挫けた自分のような方の力になるため、、また、自分のスキルアップのためにCTF for Girls運営に参加。過去にはWeb、Reversingの講義、問題作成を担当。
CTFではrev、pwnが好き。現在は主にペネトーレーションテストの勉強中
- 氏名:板倉景子
- X(Twitter):@keikoit2
- プロフィール:医療系ソフトウェア企業にてセキュリティ部門の責任者として各種業務に従事。IT業界に20年弱身を置き、その半分以上がセキュリティ、特に認証・認可関連の業務。コンサル、ベンダー、ユーザー企業などさまざな立場で携わっている。CTFには、社内の研修に取り入れるなど人材育成の観点で関わることが多い。
『ワークショップ:バグバウンティ入門 〜Bug Huntingのスキルで社会貢献と報酬金獲得を目指して〜』
バグバウンティの入門として、バグバウンティに興味がある方や挑戦してみたいけど始め方がわからない方などの初心者に向けて、最初の一歩を踏み出せる内容を取り扱います。今回はバグバウンティプラットフォームをもとに、ドメイン(WebサイトやWebアプリ)を対象とした、バグバウンティにおける脆弱性調査の流れや報告書の作成方法などのポイントを押させてハンズオン形式で実施します。事前に、基礎的なWebセキュリティに関する知識を持っていることが望ましいです。
用意するもの:ローカルプロキシツール「Burp Suite」、Webブラウザー
- 氏名:森岡 優太
- X(Twitter):@scgajge12
- 所属:GMOサイバーセキュリティ byイエラエ株式会社
- プロフィール:セキュリティエンジニアとして、業務ではWebペネトレーションテストやソースコード診断等に従事。プライベートではバグバウンティにも取り組み、危険度の高いクリティカルな脆弱性を複数発見し報告している。ポッドキャスト「Bug Bounty JP Podcast」の運営者。
『ワークショップ:OSINTによる画像分析入門 by pinja』
オープンソースインテリジェンス(OSINT)を利用した画像分析の基本を学びます。インターネット上で公開されている情報を活用して、画像から重要なデータを抽出し、分析する方法を初心者向けに解説します。参加者は、実際の画像を用いた実践的な演習を通じて、地理的位置の特定、画像の出所の追跡、デジタル画像のメタデータ解析など、OSINT画像分析の基本技術を習得します。初心者から中級者まで、どなたでも画像分析のスキルを身につけ、オンラインでの情報収集能力を向上させることができます。
氏名:ykame, awamori, lumin
プロフィール:OSINT CTF出場チームとして2015年に結成。2023年、世界最大のセキュリティイベント「DEFCON」の「Recon Village CTF」(ハッキングコンテスト)で優勝。その他、海外のOSINT CTFにも積極的に参戦。実務では犯罪組織調査などにも携わる。
『一部国内外勢力によるサイバー攻撃に対する、Threat Intelligence兼ねたOSINTの展望』
本講演で、全体の軸としてOSINTやホワイトハッカーのみならず分野横断的な視点で、サイバーセキュリティに今後各々の立場からどの様に共に協力し続けていくか考えるキッカケとなれば幸いです。具体的に、まずはOSINTとクラッキング、ハッキングの微妙な差異の説明から入り、繋がる話でOSINTコミュニティとホワイトハッカーが相互に補完した実例紹介もいたします。次に、ホワイトハッカーが今日からでも始められるOSINTの手法を取り入れた自衛手段として攻撃者の情報をどの様に潜入して探る方法について技術面と語学面からご説明いたします。
結びとしまして、ここ数週間で急増したサイバー攻撃被害に関してOSINTコミュニティの立場から出せる見解についてもお伝えいたします。
本講演では、大きく分けて以上3点のお話をいたします。それと別に、攻撃者を欺くアバターの切り替え等についても少しご紹介いたします。
また、途中質疑も入れようと考えております。講演終了後情報共有したいことがあればアンケートなどもQRコードで埋め込むなど考えております。当日は至らないところもあるかも知れませんが、皆様よろしくお願いいたします。
- 氏名:Юрій_Смирнов(ユーリ・スミルノフ)
- X(Twitter):@yulii_smirnoff
- プロフィール:日本人。Rubyで有名な松江や縁結びで有名な出雲大社とは100km前後も離れた位置にある島根県立大学総合政策学部出身。半官半民の原子力系のお役所で、Webサイトの日常的な更新管理や子どもたち向けサイトのリニューアル企画、SNS運営、広告効果測定、サイエンスコミュニケーションや、教育活動、原子力施設の視察案内等に従事していました。退職後の現在は、各国の行政機関や日本国内警察に、国内外のOSINTコミュニティとアカデミアとも連携してOSINT活動に従事しています。2回目の開催とのことで初参加なのですが、ここでお会いするのも何かのご縁です。皆さま、これからもよろしくお願いいたします。
『スポンサーセッション:セキュリティコンサルタントって… なんだろう?』
「セキュリティコンサルタント」という言葉を聞いて具体的に業務内容をイメージをできる方はいますでしょうか?
今年度から役割・肩書きがそうなりましたが、明確な定義はまだまだできていません。
どんなスキルが必要なのか、どうやったらそのスキルが身につくのか、そもそもセキュリティコンサルタントと胸を張って名乗るには何が必要なのか=いま何が足りないのか、そんなことを考えている毎日です。
このセッションでは、セキュリティコンサルタントというキーワードを軸に、どうスキルアップをしていくか、何をやったら面白そうかなどをお話します。
- 氏名:笠間 太樹
- 所属:SCSKセキュリティ株式会社 コンサルティング本部
- プロフィール:
・新人~10年目:大手通信キャリアにて客先常駐型のスクラッチアプリ開発を担当。要件定義・設計中心。JAVAは何となく読めるだけ。
・11年目~17年目:とあるセキュリティ製品のパートナーとして顧客への導入と保守を担当。ここで初めてセキュリティを飯のタネにする。製品カテゴリで言うとSIEM・UBA・SOAR。
・18年目~:セキュリティコンサルティングを主業務とするチームに異動し、新たな仕事を始める(今ここ)
『スポンサーセッション:Copilot for Securityの現在地とセキュリティ利活用』
2024年4月にMicrosoftより正式リリースされたCopilot for Securityの最新動向と民間企業での利活用におけるメリットデメリットについて講演します。弊社内での技術検証におけるポイントや、顧客導入事例、セキュリティベンダーだからこそできる生成AI導入支援の未来について語ります。
- 氏名:中本 有哉
- 所属:株式会社CEL 代表取締役
- プロフィール:バルクホールディングスグループにて2018年より脆弱性診断サービスを立ち上げ。脅威インテリジェンス / デジタルフォレンジックなど事業展開を行い、エンジニアチームの責任者を兼務。AI診断プラットフォーム『ImmuniWeb』の日本市場におけるプロダクトマネージャーを現任。
■その他の催物(スポンサーエリア)
●CTF S.Q.A.T 2024
株式会社ブロードバンドセキュリティが開催するジェパディ形式のオンラインCTF大会。CTF初心者〜中級者を対象にした個人戦で、Web・ネットワーク・フォレンジック・OSINT・その他のジャンルから出題されます。成績上位3名には賞品が授与されます。参加登録・スコアサーバーのURLはこちらになります。
CTF S.Q.A.T 2024スコアサーバURL:https://sqat2024.ctfd.io
●ギークステッカー交換会
国内外のカンファレンスなどに参加して手に入れたギークなステッカーを皆で持ち寄り交換してみませんか?
【ルール】
テーブルに広げてあるステッカーの中から1枚、お好きなものを進呈いたします。
複数のステッカーが欲しい方は、あらかじめ、ご自身でステッカーをご用意いただき、会場で交換してください。1枚ご提供いただくごとに1枚ゲットできます。
お持ちいただくステッカーの種類は問いませんが、国内外のIT系カンファレンスや展示会などで入手したものを想定しています。
進呈する1枚に加え、各自最大4枚まで交換することが可能です(合計5枚まで)。
なお、「日本ハッカー協会」のステッカーは参加者全員に配布していますので、交換対象外とさせていただきます。
●PC技術書・ハッカー関連書籍交換会
読んで役に立ったPC技術書や、強く印象に残ったハッカー関連の書籍などを、皆で共有してみませんか? 用済みになった本を処分する場ではありません。他の人に読み継いでほしいと思うものをお持ちください。
【ルール】
本に対する思い入れは人それぞれです。そこで本交換会では、ハッカー協会理事が本の鑑定人を務めます。
鑑定の基準は次のようになります。技術解説書(OS・ネットワーク・プログラミングなど)は、発行から3年以内のもの(2020年発行以降)が対象となります。また、技術解説とは関係しないハッカー関連の読物などについては発行年を問いません。
書き込みや傍線、ページの折り曲げなどは許容されますが、一部のページが切り取られた本などは交換の対象外となります。
紙の焼けや多少の汚れなども許容されますが、お持ちいただく前には簡単な掃除をお願いします。
上記の鑑定基準に従い、お持ちいただいた本は「Aグレード」と「Bグレード」に分類されます。
「Aグレード」:最新の技術書、人気ある技術分野の解説書、一定の評価を受けた技術書やハッカー関連書籍など
「Bグレード」:現在では人気が下降する技術分野の解説書、あまり人気のないハッカー関連の書籍など
グレードの判定は鑑定人が行います。判定結果に同意いただいた方が交換できます。
交換は同じグレードの本の間で行われます(例:Aグレードの本をお持ちいただいた方は他のAグレードの本と交換可能)。
交換できるのは、1人につき1冊までです。ただし、上下巻などに分かれるものは、2冊で1冊とカウントします。
本を入手する手段は交換のみとします。購入はできません。
●Japan Hackers Association Quest
日本ハッカー協会は、ご存知のとおり、ハッカーを中心とした情報セキュリティ人材の職業紹介を行っております。
この度、ハッカー協会に寄せられております求人の一部をQuestという形で皆様にご紹介いたします。Questについては、当協会で採用実績がある職種や企業様を中心に選んでおります。興味があるQuestがございましたら、QRコードを読んで頂き、その場でエントリーすることも可能でございます。Questの詳細を確認できるQRコードの解放は、当協会への会員登録が必要になります。
当協会の職業紹介の担当者もQuestブースに常駐しておりますので、掲示されたQuestに関するご質問から、今現在のお仕事に対する不安、自分のスキルでやっていける会社、将来のキャリアの方向性など、仕事に関するご質問がございましたら、お気軽にお越しくだいませ。
■事前参加登録
チケットは6月1日(土)12時よりYahoo! PassMarketにて販売開始
■協賛企業