困っている人みんなあつまれ！ セキュリティ運用の森（後編）Internet Week 2023

　インターネットのインフラを支えるプロフェッショナル達の「オフ会」こと Internet Week 2023 が、11 月 15 日（水）から 11 月 22 日（水）の期間開催される。前半はオンラインで、後半の 3 日間はリアル会場（今年も東京大学伊藤謝恩ホール）開催。主催は一般社団法人日本ネットワークインフォメーションセンター（JPNIC）。

　ScanNetSecurity 編集部の記憶が確かなら、暗号化した ZIP ファイルを送る日本の「セキュリティ劇場」を「PPAP」と公然と揶揄するステキな講演を一番最初に聞いたのは、ほかならぬこの Internet Week 2016 の会場だった。このように毎回セキュリティ関連セッションが充実している Internet Week だが、ネットワークなどのトレンド全般も一括で押さえられることがもうひとつの魅力でもある。

　また、CISSP 認定保持者をはじめとする ISC2 メンバーは、1 時間で 1 CPE クレジットを取得できる（全プログラム対象）。しかも有料カンファレンスとはいってもガートナー セキュリティ & リスク・マネジメント サミット のように背筋が寒くなる金額では決してない。志の高い技術者なら自己投資としてギリギリ払える金額だと思う。

　セキュリティセッションが充実、ネットワークやインフラ全般のトレンドをキャッチアップ、財布にも優しい、CPE クレジットも貯まる。もう最高と言わざるを得ない。

　本稿では開催 4 日目の 11 月 20 日（月）に行われるプログラム「あつまれ！セキュリティ運用ピーポー」について、プログラム委員でもある日本セキュリティオペレーション事業者協議会（ISOG-J）の武井 滋紀 氏（NTTテクノクロス株式会社）、日本シーサート協議会の林 郁也 氏（NTTセキュリティ・ジャパン株式会社）、井上 圭 氏（フューチャー株式会社）に見どころを聞いた。今回は後編（前編はこちら）である。

--

── 井上さんが登壇する「あつまれ！セキュリティ運用ピーポー」で、特に聴いてほしいポイントはどこですか？

井上：企業による脆弱性の管理は、たとえば「CVSS BaseScore が 7.0 以上のものは対応する」といったポリシーで運用されることが多いと思います。その場合、大量の脆弱性を処理する必要があり、本当に対処が必要な脆弱性が埋もれてしまうことが多々あります。

　そうならないために、対応優先度の高い脆弱性を判別するための新たな手法「SBOM（Software Bill Of Materials）」「CVSS v4（Common Vulnerability Scoring System）」「EPSS（the Exploit Prediction Scoring System）」が近年注目を集めるようになっています。

　私は 24 / 365 の基幹システム運用を 7 年、システム運用会社で他社システムの運用を 12 年程行った後、その知見を基にして現在セキュリティコンサルティング及びアナリストをつとめています。個人的にセキュリティの勉強会も継続的に行っています。「あつまれ！セキュリティ運用ピーポー」は、現場の運用の視点から脆弱性の管理を再確認し、CVSS v4 や SBOM や EPSS などの最新情報や活用方法のヒントを得られる場にしたいと思います。

── 「あつまる！シーサートピーポー」の井出さん、渡辺さんの講演の聞きどころはどこでしょう？

林：日本シーサート協議会の訓練演習ワーキンググループの井出雄介さん（東京海上ディーアール株式会社）は、現職の損保グループ会社ではセキュリティコンサルの実務、前職の SI 会社ではセキュリティ運用を経験されています。また、同じく日本シーサート協議会の教育ワーキンググループの渡辺文恵さん（株式会社ディー・エヌ・エー）は、大きなグループ会社でトップから一般社員向けまで、組織全体の社内教育を経験されています。

　お二人とも CSIRT のデファクトスタンダードともいえる教育コンテンツである、ヨーロッパの学術ネットワークである GÉANT が提供する教育コース「TRANSITS」 の講師をなさっています。このようなプロフェッショナルの観点から、日本シーサート協議会で集まった様々な知見をご紹介できるところです。

武井：「あつまれ！X.1060ピーポー」のパートでは、2023 年 2 月に公開した「セキュリティ対応組織の教科書 第 3.0 版」が、マイナーバージョンアップとして第 3.1 版になったことでどこが変わったのか、どう活用しやすくなったのか、付録のシートをどう使うかといった「活用」を主眼に据えたセッションになっています。フレームワークだけだとなんとなくわかったような気はするがどうしたら良いか、そういった方への何かヒントになればと考えています。

── 今年の Internet Week 2023 のテーマは「集まれ！インターネットワーキング！」です。このテーマと各セッションはどう関連しますか

井上：脆弱性対応は孤独な作業になりがちです。各社ごとにポリシーが異なり、対応は忙しく、活動は自社で閉じがち。「あつまれ！セキュリティ運用ピーポー」では、脆弱性対応という共通の悩みでみんなで集まり、新しい情報を活用し脆弱性の選別で楽ができるように「運用の知見をみんなで共有し、脆弱性管理で溺れない未来」を目指したいと考えます。

林：「敵を知り己を知れば百戦危うからず」という孫氏の言葉はサイバーセキュリティの現場にも当てはまると思っています。この場合、敵は「攻撃アクター」、己は「自組織」なわけですが、自らをどう知るかは案外難しいことだと考えています。しかし、この答えのひとつが Internet Week のように「集まって、インターネットワーキングすること」なのだと思います。

　私自身が日本シーサート協議会で活動をしていて思うのですが、自社でごく普通と思ってやっていることが外からみると実はとても進歩的なことだったり（当然逆のパターンもありますが）、第三者と情報交換することで自らの能力が相対化され組織へのフィードバックに役立つこともたくさんあります。みんなの力で、みんなが被害に遭いにくい未来につなげていきたいと思います。

武井：実際にセキュリティの業務を行なっている方は、企業や組織の中だけでは少数派で、色々なことに頭を悩ませているといったケースが多いのではないでしょうか。 Internet Week で集まって、同じような課題や悩みを共有することで開けてくる道があるのではと考えています。

　どこかお金のある企業や組織だけが頑張れば良い話ではなく、セキュリティに取り組む人たち全員でネットワーキングしてどうやって底上げするか。その結果みんなが安全で安心な状態になる、そんな未来の方向性が見えてくればと思います。

── 最後にメッセージをお願いします

井上：脆弱性自体はシステムを運用する以上発生することは避けられませんが、ここを楽にして QOL を上げたいですね。

林：セキュリティ運用は様々な人々が関わり合って実現できる仕事です。関わる人全員ができるだけ苦労しないで、真に立ち向かうべき相手に全力を出せるようにしたいです。

武井：「あつまれ！セキュリティ運用ピーポー」は、セキュリティの運用に関する話題がぎゅっと詰まった 90 分間のセッションです。久しぶりのオフライン開催でみんなで集まって空気感を感じて、乗り越えるヒントを得ましょう！

── 「楽」「楽をする」がもうひとつのキーワードのようで素晴らしいかぎりです。今日はありがとうございました

Internet Week 2023 C6 あつまれ！セキュリティ運用ピーポー
https://internetweek.jp/2023/archives/program/c6

開催日時： 2023年11月20日(月) 15:00 ～ 16:30（※本プログラムはオンサイト参加のみ）

料金：16,500円(税込)
※本プログラム以外にも会期中すべてのプログラムに参加可能。(ただしハンズオンプログラムは定員あり)

あつまれ！ 運用ピーポー ～脆弱性対応方法の振返りと、今後の展開～
15:00-15:30
講演者：フューチャー株式会社 井上 圭

あつまる！ シーサートピーポー ～訓練演習、教育ノウハウを共有してよかった話
15:30-16:00
講演者：日本シーサート協議会 渡辺 文恵、日本シーサート協議会 井出 雄介

あつまれ！ X.1060ピーポー ～セキュリティ対応組織の教科書の活用～
16:00-16:30
講演者：日本セキュリティオペレーション事業者協議会 副代表・WG6リーダー 武井 滋紀

※時間割、内容、講演者等につきましては、予告なく変更になる場合があります