こんにちは、ペネトレーションテストサービスの担当をしているサイバーセキュリティコンサルティング事業本部の勝田です。今回は、私が登壇した「JAIPA Cloud Conference 2024」(9月10日@九段会館テラス コンファレンス&バンケット)の様子をお伝えします。
「JAIPA Cloud Conference」とは
JAIPA Cloud Conference (略称:クラコン)は、クラウドサービスプロバイダ(IaaS/PaaS/SaaS) 、システムインテグレータ、クラウドユーザーが幅広く参加し、クラウド業界の"未来"を語るイベントです(公式サイト: https://cloudconference.jaipa.or.jp/より)。
クラコンは、一般社団法人日本インターネットプロバイダー協会のクラウド部会が主催となり開催されているカンファレンスで、今年で12回目となります。今年は新Techとして「生成AI」と「セキュリティ」がテーマとなり、会場とオンライン配信のハイブリッドにて全11プログラムを開催。終了後には懇親会も実施され、参加者同士の交流が育まれました。
講演テーマ「攻撃者視点から考える、セキュリティ対策の考え方」
今回のクラコンにはクラウド事業者の経営者や管理職の方が多く参加されると聞き、来場者にとって身近なテーマで講演したいと考えていました。
昨今、サイバー攻撃のニュースが後を絶たず、被害数が急増しています。そうした中で「セキュリティ対策をしましょう」「脆弱性対策をしましょう」と叫ばれています。しかし、なぜ対策をしなければならないのか、どういった攻撃をされるのかといった、「攻撃者を知る」ための情報が不足しているように感じていました。
攻撃者の視点から攻撃手法について考えることで、必要な対策を知り、より効率的な対策に寄与できるのではないか。そう考え、このテーマを選択しました。これまでユービーセキュアでさまざまな企業・団体のペネトレーションテストをご支援してきた経験を生かせればと思い、講演内容を考えました。
講演の流れ
- ユービーセキュアについて、講演者について(5分)
- 講演の概要説明(5分)
- サイバー攻撃被害のニュース(5分)
直近で起きたサイバー攻撃被害を軸に、ダークウェブ上での攻撃者の活動や攻撃者のプロファイリングについて紹介しました。 - 攻撃者視点のサイバー攻撃(5分)
攻撃者にとってサイバー攻撃とは何か、攻撃者がサイバー攻撃をする上で考えていることは何かなどについて解説しました。 - 攻撃手法の紹介(10分)
今回クラウド事業者へ攻撃すると仮定して4つのシナリオを作成し、攻撃方法について紹介しました。 - 対策(5分)
攻撃者視点でサイバー攻撃を考えたことで、なぜ対策を実施する必要があるのか、クラウド事業者のどのシステムが攻撃者に狙われやすいのかがわかるようになったため、改めて対策について考えました。 - まとめ(5分)
当日の様子
講演中の様子
講演会場には50名を超える方にお集まりいただき、ほぼ満席となりました。40分間の発表中、画面に投影される資料を集中して見ている方もいれば、熱心にメモを取られる方もおり、有意義な時間を過ごしていただくことができました。開始当初はまばらだった拍手も終了時には大きくなり、とても安心しました。
参加者からの反響
講演後には、多くの方から内容についての質問や感謝の言葉をいただきました。特に、ペネトレーションテスターという疑似攻撃を行う業務は攻撃者にとても近いため、来場者の皆様からは興味深く見えていたようで、改めて自身の業務について考えるきっかけとなりました。
懇親会でも多様なバックグラウンドを持つ方からお声掛けいただき、セキュリティ対策について共に考えることができたため、私自身もとても勉強になりました。
登壇を終えて
講演前は「準備が間に合わないかも……」と焦る場面もありましたが、上司や同僚の方の多大なサポートにより、なんとか事前準備やリハーサルを進め、チーム一丸となって無事に本番を迎えることができました。そのおかげで本番ではとても良い講演をすることができ、来場者の皆様に価値を届けることができました。
サイバー攻撃者について理解することは、皆様がサービスを守る上でも重要なプロセスだと思っているため、このような機会をいただけたことに感謝しています。
今後もこうした講演を通じて、サイバーセキュリティ業界のリテラシー向上に貢献していきたいと思います。より価値のある情報を提供できるよう、技術の研鑽に励んでまいります。来場者の皆様、講演にご協力いただいた皆様に心から感謝申し上げます。これからもユービーセキュアをどうぞよろしくお願いいたします。