セキュリティ・キャンプ2025 全国大会【専門】Bクラス

• 藤田 尚宏

• 水谷 正慶

8月12日（火曜日） 8時30分～12時30分

• セキュリティ監視
• 脅威検知
• 監査
• ログ分析

クラウドプラットフォームはリソース構成の自由度が高く、素早く柔軟にサービスを提供したい人にとっては強い武器になる反面、その自由度故に脆弱な構成になりやすい側面もあります。また、クラウドサービスを活用したプロダクト開発は便利な半面、サプライチェーン攻撃などをうける脆弱さもあります。本講義ではこれらの対策の一つであるセキュリティ監視について学びます。

前半ではセキュリティ監視を実践するにあたっての前提や設計などについて学びます。セキュリティ監視は他のセキュリティ対策と組み合わせて活用することとなるので、利用するアーキテクチャやクラウドプラットフォームが提供しているセキュリティ機能を活用・理解している必要があります。これらを理解しつつ、どのように設計するかについて解説します。

後半では実際にセキュリティ監視のための機能を構築する実習に取り組みます。実際にクラウドプラットフォーム上でセキュリティ監視の基本であるログの収集、保全、管理、検知を簡易的なセキュリティ監視基盤を構築します。セキュリティ監視は組織の成熟度に応じて取り組み方や規模が変化するため、今回は組織が小さい段階からどのような取り組みができるかを順を追って体験できるようにしたいと考えています。

• 齋藤 徳秀

8月12日（火曜日）13時30分～17時30分

• セキュア開発
• 設計のセキュリティレビュー
• Webセキュリティ
• 脆弱性
• トリアージと修正
• クラウドセキュリティ

プロダクトのセキュリティを担保するためには、できる限り開発工程の前段階でセキュリティリスクを発見することが大事であり、これを Shift-left と呼びます。
そのようなプロダクト開発の潮流の中で、セキュリティを担保するために、広範な知識と多くの技術が要求されるようになりました。

本講義では、ソフトウェア開発ライフサイクル(SDLC)をもとに、各工程でセキュリティをどのように担保すべきかについて、考え方や実践方法を学びます。
それにより、DevSecOps に代表されるセキュアな開発工程を俯瞰的に理解し、エンジニアの総合的な力を身につけます。

また、技術的な能力を高めるだけではなく、脆弱性に起因するリスクを他人にわかりやすく説明するなどのいわゆるソフトスキルの向上も目指します。
本講義のゴールはプロダクトのセキュリティに関心を寄せるエンジニアとしての総合的な力を身につけることです。

• 倉林 雅

8月13日（水曜日）8時30分～12時30分

• デジタルアイデンティティ
• 認証
• 認可
• パスキー
• OpenID Connect
• OAuth

本講義は、デジタルアイデンティティの基礎とパスキーの実装について学びます。

前半では、本人確認、ログイン・再認証、認可・ID連携、アカウントリカバリーなど、デジタルアイデンティティの利活用に必要な基礎的な知識を学びます。
インターネットサービスの機能が充実していく中で、気軽に匿名で利用できるものから本人確認（Know Your Customer、KYC）が求められるサービスに変化してきています。世の中でKYCが求められる背景やトレンドをおさらいします。
また、パスワードや二要素認証であるワンタイムパスワードなどの既存の認証技術、OAuth 2.0やOpenID Connectといった認可・ID連携の技術についても解説します。

後半では「パスキー」について解説をします。パスキーはパスワードレス認証を実現する最新の認証技術です。
近年パスワードのリスト型攻撃に加えてフィッシング攻撃の被害も増加しています。フィッシング攻撃の対策として期待されるパスキーの概要やプロトコルをご紹介します。
座学に加えて、実際にWebアプリケーションにパスキーをプログラミングし、UI/UXや実装のポイントをハンズオン形式で学びます。

講義を通じて、デジタルアイデンティティで実現する安心・安全なインターネットサービスのあり方を参加者のみなさんと一緒に考えていきます。

• 水元 恭平

8月13日（水曜日） 13時30分～17時30分

• クラウドネイティブ
• Kubernetes
• コンテナ

現代のソフトウェア開発は、クラウドネイティブなアプローチへと急速に移行しています。コンテナ化やマイクロサービス、Kubernetesなどのオーケストレーション技術の採用により、開発速度とスケーラビリティは劇的に向上しました。しかし一方で、新たなセキュリティリスクへの対応も不可欠となります。本講義では、プラットフォーム提供者の視点に立ち、Kubernetesにおける安全なプラットフォームの構築・運用を実践的に学びます。

受講生は、実際にKubernetesクラスタに触れながら、ハンズオン形式でセキュリティ対策を実装します。潜在的な脅威と対策への理解を深め、開発ライフサイクル全体を意識した適切なセキュリティ対策を選定・実装する能力を養います。

• 白石 三晃

8月14日（木曜日） 8時30分～12時30分

• レッドチーミング
• パープルチーミング
• 脅威分析
• ゼロトラスト
• CI/CD
• クラウド

架空の組織に対して行われる一連のサイバー攻撃のプロセスを辿ることにより、攻撃者の視点で物事を捉える機会を受講生に提供し、ベストプラクティスの確立されていない領域においても自らセキュリティ対策を立案できる人材の育成を目指します。

セキュリティエンジニアを目指す人にとって、単体のセキュリティ技術あるいはトレンドとなる攻撃技術について学ぶ機会は多くあり、良質なコンテンツに個人が自由にアクセスできる時代になりました。しかし、個々のセキュリティ技術や攻撃手法を理解することと、攻撃者の思考や感情を理解することには大きな違いがあります。ほとんどの人にとって、現実世界に対してサイバー攻撃を実施し、攻撃者の見る世界を肌で感じる機会はごく限られています。

本講義では、講師が従事するサイバー攻撃シミュレーションサービス「レッドチーム演習」での経験に基づき、ゼロトラスト、ソースコード共有サービス、CI/CD、クラウドなどモダンなプロダクト開発環境に対する一連のサイバー攻撃を取り上げます。受講生は、講義、デモ、ハンズオン、ディスカッションを通じ、攻撃者がどのように考え、感じ、行動するかを疑似体験することができます。攻撃者の思考や感情を理解することができれば、セキュリティ対策をこれまでとは違った視点で捉えることができるはずです。

本講義を通じて、開発するプロダクトやそこで利用するテクノロジに関わらず、あらゆる環境に適用可能な「攻撃者が何を狙うかを自ら考える力」を体得することにより、広くITに携わるすべての受講者に、セキュリティを意識した業務を行なうための地図を提供することを目指します。

• 石川 朝久

8月14日（木曜日） 13時30分～17時30分

• セキュリティアーキテクチャ
• APIセキュリティ
• 脆弱性
• 脅威分析

API開発の現場では、技術の進化やビジネスの要求に応じてアーキテクチャを柔軟に変更する「進化的アーキテクチャ」の考え方が採用されています。これはセキュリティの分野でも重要であり、変化し続ける環境に適応しながら、セキュリティを確保する設計・運用が求められます。

本講義では、既存のAPIアーキテクチャのセキュリティ課題を分析し、アーキテクチャの変化に対応しながら、どのように堅牢なセキュリティを確保するかを考察します。講義と演習を通じて、「セキュリティアーキテクト」としての視点を養い、脅威に強いAPIアーキテクチャの設計・構築戦略を習得することを目指します。

講義と演習を通して、既存のAPIアーキテクチャをセキュリティの観点から評価し、脅威モデリングなどを活用してリスクを特定・分析し、改善策を検討・立案するプロセスを学びます。また、理想的な「ベストプラクティス」を理解するだけでなく、リソースや技術的制約、ビジネス上の優先事項を考慮しながら、現実的に実現可能なセキュリティ対策の最適解を見出す力を身につけます。