AIを生み出した”人”はAIを使いこなす”人”になる~上野宣氏と語るAIの現在地とセキュリティの未来~

Share
SQATSecurityReport巻頭企画「AIを生み出した"人"はAIを使いこなす"人"になる」表紙画像

生成AI、AIエージェント、AIガバナンス。

急速に進化するAIは企業の業務やセキュリティにどのような影響を与えるのか。

本資料では、日本のセキュリティ業界を牽引してきた上野宣氏を迎え、AI活用の現状から今後の課題までを語った特別対談を収録しています。

登壇者紹介

上野 宣氏

プロフィール
株式会社トライコーダ代表取締役
奈良先端科学技術大学院大学で山口英教授のもと情報セキュリティを専攻、2006年にサイバーセキュリティ専門会社の株式会社トライコーダを設立。2019年より株式会社Flatt Security、2022年よりグローバルセキュリティエキスパート株式会社、2025年より株式会社ブロードバンドセキュリティの社外取締役を務める。あわせて、OWASP Japan代表、一般社団法人セキュリティ・キャンプ協議会理事、NICT CYDER推進委員などを歴任し、教育・人材育成分野にも尽力。情報経営イノベーション専門職大学(iU)客員教員。

株式会社ブロードバンドセキュリティ

  • セキュリティサービス本部 神保 冬和子
  • 情報セキュリティプロフェッショナルサービス本部 コンサルティング事業戦略部 コンサルティング事業戦略課 吉原百里可
  • マネジメントサービス本部 セキュリティオペレーション2部 クラウドソリューション課 渡邊 寛昭

この資料でわかること

  • AIエージェント時代の新たなリスク
  • AI活用における権限管理
  • AIガバナンスの重要性
  • AIリテラシー教育のあり方
  • AI時代のセキュリティ人材像

AIはこれからどこへ向かうのか

以下、インタビュー記事(SQAT® Seurity Report 2026年春夏号【巻頭企画】「座談会 AIを生み出した〝人〟はAIを使いこなす〝人〟になる~上野 宣氏を迎えてAIの今とこれからを語る~)より一部抜粋

神保:最近は「Alのバブル」などといわれていますけれども、今私たちが申し上げた「Al」にはさまざまなものがあって、例えば、自動車関連の画像認識の技術もAlが絡んでいますし、身近なものだとメールのスパム判定などに使われるものも、Alの技術のひとつの応用ですよね。セキュリティ面での注意点や今後Alはどういう方向に進んでいくのかなど、上野様からお伺いしたいです。

上野:セキュリティ面での注意点については、「OWASP Top 10 for Large Language Model Applications」(以降: Large Language ModelをLLMと表記)などが参考になると思います。プロンプトインジェクションによって機密情報が漏洩する可能性がある、などが例に挙げられます。 今後のAlの動向については、最近(座談会は2026年1月下旬実施)でいうと、クロードボット(Claudebot)というエージェント型のAlの話題が気になったのですが、エージェント型のAlが普及していった時にさまざまなセキュリティの問題が出てくることが予想できます。今後もAlの発展に付随して、問題も尽きることはないのかなと思います。


AIが変える攻撃と防御の構図については、上野氏の特別寄稿でも詳しく解説されています。
AI時代のセキュリティ戦略:上野宣氏が語る、攻撃と防御の最前線

上野氏は、今後のAIの進化において「AIエージェント」が大きな転換点になると指摘します。

AIエージェントは企業に何をもたらすのか

以下、インタビュー記事(SQAT® Seurity Report 2026年春夏号【巻頭企画】「座談会 AIを生み出した〝人〟はAIを使いこなす〝人〟になる~上野 宣氏を迎えてAIの今とこれからを語る~)より一部抜粋

上野:エージェント型のAlについて少々お話しますと、端末にインストールして、自律して動くことを謳っていますけれども、権限管理が非常に難しいですよね。それが特にビジネスシーンで浸透していった場合、自分が使っているAlエージェントが持っている権限であるとか、ある会社のシステムのAlの権限であるとか、人ではないものが権限持って自律して動く、というようなことですので。そこでセキュリティの問題や事件が起きることが予想されます。プロンプトインジェクションなどのLLM特有の問題も大きな問題になるのではないかと、セキュリティエンジニアとしての危惧がありますね。とはいえ、我々はAlによる発展を受け入れるべきです。ただし問題点も認識するべきであるということです。セキュリティ専門家としては、ちゃんと警鐘を鳴らしておいたほうがいいなと思っています。


AI活用で変わらないセキュリティの原則

以下、インタビュー記事(SQAT® Seurity Report 2026年春夏号【巻頭企画】「座談会 AIを生み出した〝人〟はAIを使いこなす〝人〟になる~上野 宣氏を迎えてAIの今とこれからを語る~)より一部抜粋

上野:まだ企業や組織でAlエージェントが広く活用されているという話はそこまでは聞きませんが、今後は企業や組織のAlエージェントの導入は進んでいくのかなと思います。RPA の代わりに広まってくるのではないかなと。まあ、既に一部のRPAには、多分Alが入っていると思いますけどね。

神保:RPAの中でもAlを許容しやすいというか、制御しやすいものとしづらいものがあるのかなと思うのですよね。限定的な機能のためのAl工ージェントであれば、それに必要最小限の権限を設定するのは難しくないですけれども、汎用性が高くなると権限もいろいろなところに及ぶと思うので、判断がつかなくなって設定するのが困難になりそうかなと。

上野:おそらく、判断がつかない場合は全権限をつけてしまうのが現状でしょうね。例えばアクセスコントロールとセットになっているようなサービスを各サービス提供ベンダが提供するとわかりやすいかもしれませんね。それを逸脱する時はこういうリスクがありますよ、と提示するとかで、ガイドラインが決まってくるといいのではないかなと思います。


AI時代に求められる人材とリテラシー

以下、インタビュー記事(SQAT® Seurity Report 2026年春夏号【巻頭企画】「座談会 AIを生み出した〝人〟はAIを使いこなす〝人〟になる~上野 宣氏を迎えてAIの今とこれからを語る~)より一部抜粋

神保:最近のAlの動向で、著作権や肖像権の侵害といった課題について、吉原さんはお客様からお問い合わせをいただくことはありますか?

吉原:アドバイザリーの中には、「自社の作った著作物を、特に生成Alの学習から保護するにはどうしたらよいか?」というようなお問い合わせが出てきています。逆に、「他社の著作物を侵害しないためにはどうしたらよいか?」といったお問い合わせもあります。こういった質問はさまざまな業種のお客様からいただきます。ガイドラインの整備ができていない企業も多いようです。

神保:こういったところも、Alエージェントが普及していくとさらにややこしくなるかもしれませんね。例えば、Alエージェントが入っている環境で、Alエージェントが許諾をとっていたけれども、(利用者の)著作物を持っていって、別なところでリークしてしまうといった可能性もあるでしょうし、そもそもAlエージェントを利用してよいのか、してはいけないのかが企業や組織の中で明確にできていないことで問題が起こることもあるでしょうし。こういった統制はすごく難しいような気がします。

上野:結局のところ、その辺りの統制は人間がしないといけませんよね。生成Alにしろ、Alエージェントにしろ、社会人としてAlを使っていく部分では常に著作権侵害をしていないか、といったことに一番配慮すべきなのは、使う本人であると私は思います。私が昨年ぐらいに出した「セキュリティ1年生 図解でわかる!会話でまなべる!」という本の中で著作権のことにも触れていて、Alの生成物についても書いているのですけれども、例えばAlが持ってきた画像の出元であるとかは、特に企業や組織が使う場合、まずAlを使う本人の確認は必須です。さらに社外向けの資料にAlを使いたい社員がいるとしたら、本人の確認はもちろん、その上司も確認および承認が必要、といったフローになると思います。とは言っても、こういった概念はまだ浸透しきってはいないように思いますので、企業や組織向けのリテラシー教育は必要でしょう。将来的には例えば小中学校とかの段階で教育して、Alを使う場合に当たり前のように人がリテラシーを守る時代が来ると良いなと思います。


続きはSQAT® Seurity Reportでご覧ください

SQATSeurity Report2026春夏号表紙画像

本対談では、AIエージェントの普及による新たなリスクや権限管理の課題、AI活用におけるガバナンス、人材育成のあり方などについて議論しています。

本ページでご紹介した内容のほか、AIセキュリティに関する実践的な知見や用語解説を収録した「SQAT® Security Report 2026年春夏号」を無料公開中です。ぜひ資料をダウンロードのうえ、対談全文をご覧ください。

※主な対談内容(参考)
・AI利用におけるリテラシー教育
・AIセキュリティの課題

無料ダウンロード

用語解説

LLM (Large Language Models:大規模言語モデル)

自然言語を大量のテキストデータから学習し、ユーザからの自然言語によるリクエストを処理する仕組み。大星のテキストデータからの学習には機械学習モデルが用いられており、機械学習モデルには生物の学習メカニズムを模倣した人工ニューロンと呼ばれる計算ユニットを利用した人工ニューラルネットワークが用いられている。生成AlおよびマルチモーダルAlはユーザからの自然言語によるリクエスト処理のためにLLMを使用しているため、混同されることが多い。

OWASP Top 10 for LLM Applicationsについては、こちらの記事でも解説しています。
2025年春のAI最新動向第3回:生成AIの未来と安全な活用法 -私たちはAIをどう使うべきか?-

プロンプトインジェクション(PromptInjection)

LLMの脆弱性のひとつ。悪意のある、もしくは誤解を招くプロンプト(自然言語による指示・リクエスト)を作成してモデルの挙動を操作し、セーフティフィルタを回避して意図しない命令を実行する。これにより、情報漏洩、権限昇格、不適切な出力の発生などが起こりうる。従来のソフトウェアやWebアプリケーションにおけるコマンドインジェクションと同等の影響を、LLMで引き起こすものである。

AIを狙った攻撃手法や実際の脅威事例については、こちらの記事でも解説しています。
AIとセキュリティ最前線 -AI搭載マルウェアとは?脅威とセキュリティ対策-

AIエージェント

Alエージェントは目標に向かって自律的に行動・判断・ツール使用などができるAlの概念や役割を指す。エージェント型のAl はAl エージェントがどのようにふるまうか(自律性、複数ステップの実行、ツールの呼び出しなど)というAl の性質・特性を指す。

AIエージェントの仕組みについては、こちらの記事でも解説しています。
AIコーディング入門 第1回:Vibeコーディングとプロンプトエンジニアリングの基礎

RPA(Robotic Process Automation)

コンピュータ上で人間が行う定型作業(入カ・転記・集計・通知など)を、ソフトウェアロボットが代わりに実行する自動化手法。作業時間の削減やミスの低減が見込める。

関連記事・参考情報

編集責任:木下


Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

Security NEWS TOPに戻る
バックナンバー TOPに戻る

企業のセキュリティ成熟度 vol.2

Share

セキュリティ成熟度別ロードマップ

このようなお悩みはありませんか?

  • 何から対策を始めるべきかわからない
  • 対策の優先順位を整理したい
  • 限られたリソースで効率的に改善を進めたい

本資料ではセキュリティ成熟度に応じて優先的に取り組むべき対策と、
段階的な改善の進め方をわかりやすく整理しています。

資料イメージ

セキュリティ成熟度ロードマップ_全体像
成熟度別の対策ロードマップ
成熟度向上で得られる効果
改善に向けた次のアクション

まずは現状把握から始めたい方へ

セキュリティ対策の優先順位を検討する前に、まずは自社の対策状況を把握することが重要です。「企業のセキュリティ成熟度チェック」では、40項目のセルフチェックを通じて、現在の対策状況や改善が必要な領域を確認できます。

企業のセキュリティ成熟度チェックリストページリンクボタン

企業のセキュリティ成熟度チェックがダウンロードできるURLをお送りいたします。
ダウンロードご希望の方は下記の申し込みフォームからお申し込みください。

関連サービス


改善計画の策定や対策の優先順位付けでお悩みではありませんか?

セキュリティ対策は、企業の状況や成熟度によって優先すべき取り組みが異なります。
「何から着手すべきかわからない」
「自社に適した対策を整理したい」
といった場合は、お気軽にご相談ください。
BBSecが現状や課題を整理し、改善に向けた進め方をご提案します。


Security NEWS TOPに戻る

企業のセキュリティ成熟度 vol.1

Share

企業のセキュリティ成熟度チェック

このようなお悩みはありませんか?

  • 自社のセキュリティ対策レベルがわからない
  • どこに課題があるかわからない
  • セキュリティ対策の状況を客観的に確認したい

本資料では、40項目のチェックシートを通じて
セキュリティ対策状況の可視化と改善優先度の整理を支援します。

資料イメージ

BBSecセキュリティ成熟度チェック_チェックの概要イメージ
資料概要
BBSecセキュリティ成熟度チェック_チェックシートイメージ
40項目のチェックシート
BBSecセキュリティ成熟度チェック_スコア判定と改善アクション
スコア判定と改善アクション

診断結果の次の一手をお考えの方へ

vol.1「企業のセキュリティ成熟度チェック」で現状を把握した後は、結果に応じた対策の優先順位を整理することが重要です。vol.2「セキュリティ成熟度別ロードマップ」では、成熟度に応じて何から取り組むべきか、どのような順番で対策を進めるべきかを解説しています。チェック結果を具体的な改善アクションにつなげたい方は、ぜひあわせてご活用ください。

セキュリティ成熟度別ロードマップページリンクボタン

企業のセキュリティ成熟度チェックがダウンロードできるURLをお送りいたします。
ダウンロードご希望の方は下記の申し込みフォームからお申し込みください。

関連サービス


チェック結果を次のアクションにつなげませんか?

チェック結果を踏まえ、優先的に取り組むべき対策や改善の進め方について
専門家がご相談を承ります。自社に適した対策の整理にぜひご活用ください。


Security NEWS TOPに戻る

バックナンバー

Share

バックナンバー


SBOMとは?ソフトウェア部品表の基本と企業が導入すべき理由アイキャッチ画像SBOMとは?ソフトウェア部品表の基本と企業が導入すべき理由
2026.5.13
CitrixBleed 3(CVE-2026-3055)の脆弱性:NetScaler ADC / Gatewayの影響・リスク・対策アイキャッチ画像CitrixBleed 3(CVE-2026-3055)の脆弱性:NetScaler ADC / Gatewayの影響・リスク・対策
2026.4.22
脆弱性スキャンとは?脆弱性診断ツールの選び方と導入ポイントアイキャッチ画像脆弱性スキャンとは?脆弱性診断ツールの選び方と導入ポイント
2026.4.22
脆弱性対応とは?CVE対応とパッチ管理の実務フローアイキャッチ画像脆弱性対応とは?CVE対応とパッチ管理の実務フロー
2026.4.15
情報漏洩対策とは何か ―企業が知るべき原因・リスク・防止策の全体像―アイキャッチ画像情報漏洩対策とは何か ―企業が知るべき原因・リスク・防止策の全体像―
2026.4.15
「IPA情報セキュリティ10大脅威 2026に見る、AI時代のサイバーリスク」アイキャッチ画像IPA情報セキュリティ10大脅威2026にみる、AI時代のサイバーリスク
2026.4.8
「脆弱性管理とは?企業が行うべき脆弱性管理の基本と実践手順」アイキャッチ画像脆弱性管理とは?企業が行うべき脆弱性管理の基本と実践手順【2026年版】
2026.4.8
Claude Code流出問題の全体像アイキャッチ画像Claude Code流出問題の全体像
―事件からわかるAI開発リスクとサプライチェーンリスク―

2026.4.3
Axiosのサプライチェーン攻撃とは何だったのかアイキャッチ画像Axiosのサプライチェーン攻撃とは何だったのか
―npm改ざんの経緯、影響範囲、企業が今すぐ確認すべき対応を解説―

2026.4.3
セキュリティ運用体制の作り方 属人化を防ぐ役割分担と外部活用の考え方アイキャッチ画像セキュリティ運用体制の作り方 属人化を防ぐ役割分担と外部活用の考え方
2026.4.1
TLS設定の安全性と確認ポイントアイキャッチ画像TLS設定の安全性と確認ポイント:古い暗号設定が引き起こすリスクと改善手順
2026.4.1
TLSバージョンの確認方法とは?アイキャッチ画像TLSバージョンの確認方法とは?
ブラウザ・OpenSSL・ツールでのチェック手順と安全な設定ポイント

2026.4.1
セキュリティ運用は何から始めるべきか 担当者が最初に整理すべきポイントアイキャッチ画像セキュリティ運用は何から始めるべきか 担当者が最初に整理すべきポイント
2026.3.25
セキュリティ運用とは?属人化を防ぎ継続的に回す基本の考え方アイキャッチ画像セキュリティ運用とは?属人化を防ぎ継続的に回す基本の考え方
2026.3.18
緊急パッチ適用の判断基準 ―業務影響を抑えるにはどうすべきか―アイキャッチ画像緊急パッチ適用の判断基準 ―業務影響を抑えるにはどうすべきか―
2026.3.11
脆弱性の意味を正しく理解する―読み方・具体例・種類をわかりやすく解説アイキャッチ画像脆弱性の意味を正しく理解する―読み方・具体例・種類をわかりやすく解説
2026.3.11
脆弱性診断の必要性とは?ツールなど調査手法と進め方アイキャッチ画像脆弱性診断の必要性とは?ツールなど調査手法と進め方
2026.3.11

SQAT® Security Information TOPに戻る
Security NEWS TOPに戻る

Webアプリケーション脆弱性診断のサービスのご紹介資料および年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

脆弱性診断は受けたけれど ― SSVCで考える「脆弱性管理」と優先順位付け

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

~とある会社Aと脆弱性診断の結果を受け取った関係者とのやり取り~

脆弱性診断を受けたA社では入社3年目のセキュリティ担当・Bさんが結果に頭を抱えています。なぜなら、社内ネットワークに使っているスイッチにCVSSスコア9.8の脆弱性、リモートアクセスに使用しているVPNゲートウェイにCVSSスコア8.8、オンラインショップ用の受発注管理に利用しているデータベースにCVSSスコア7.5の脆弱性が見つかってしまったからです。リスクはどれも「高」レベルとして報告されたため、Bさんは上司に相談し、すべてに修正パッチを当てるようスイッチとVPNゲートウェイについてはインフラチームの担当者に、データベースについては開発部に連絡することにしました。

インフラチームのCさんとSlackでやり取りをしていたBさんはCさんからこんなことを伝えられます。

インフラチームCさん「修正パッチを適用するとなると、インフラチームは基本みんなリモートだから、誰かを土日のどこかで休日出勤させるか、急ぎだったら平日の夜間に勤務させて、パッチを当てることになるけど、どれぐらい急ぎなの?」

「あと、VPNとスイッチ、どっちを先に作業したほうがいいの?パッチの情報を調べてみたら、VPNのほうは一度途中のバージョンまで上げてから最新バージョンまで上げないといけないみたいで、作業時間がすごくかかりそうだから、別日で作業しないとだめかもしれないんだよね」

Bさんは答えに詰まってしまいました。リスクレベルは高だといわれているけれども、どれぐらい急ぐのかは誰も教えてくれないからです。

答えに詰まって「確認してから折り返し連絡します」と返したところ、「セキュリティ担当はいいなあ。土日とか夜間に作業しなくていいし、すぐに答えなくてもいいんだから」と嫌味までいわれてしまいました。

Bさんは脆弱性診断の結果が返ってきてから1週間後、開発部門のD部長にセキュリティ担当と開発部門の定例会議の際に報告事項としてパッチ適用の件を報告しました。するとD部長はこういいました。

開発部D部長「この件、1週間ほど報告に時間を要したようですが、脆弱性診断の結果以外に何か追加の情報はありますか?あと、この脆弱性診断の結果によるとリスクレベル高とありますが、社内の規定としてどの程度急ぐかといった判断はされましたか?」

開発部のほかの人にもこんなことをいわれてしまいます。

開発部担当者「パッチを適用する場合、ステージング環境で影響を調査したうえで必要であればコードや設定の修正などを行う必要がありますが、その時間や工数は考慮されていないですよね。通常の開発業務とどちらを優先すべきかといった判断はどうなっているんですか?」

Bさんはまたもや言葉に詰まってしまいます。セキュリティ担当は自分と上司の2人だけ、上司は別の業務との兼務でパッチの適用の優先順位付けまで考えている時間はありません。自分もEDRやファイアウォールの運用をしながら脆弱性診断の依頼や結果を受け取るだけで、とても他の部門の業務内容や環境のことまで把握しきる余裕がないのです。


ここまで、架空の会社A社と脆弱性診断の結果を受け取った関係者の反応を物語形式でお送りいたしました。現在、弊社の脆弱性診断サービスでは脆弱性単体のリスクの度合いの結果をご提供させていただくことはあっても、その脆弱性をどういった優先度で修正しなければならないかといった情報はご提供しておりません。なぜならば、パッチを適用するにあたって優先順位をつけるためにはお客様しか知りえない、以下の要素が必要になるためです。

パッチ適用の優先順位をつけるための3つの要素

  1. 脆弱性を持つアセットが置かれている環境
    ・インターネット上で公開された状態か、IPSやFWなどで制御されたネットワーク内か、もしくはローカル環境依存といった非常に限定的な環境かといった分類
    ・CVSSでいう環境スコア(CVSS-E)の攻撃区分(MAV)にあたる、実際の環境依存の要素
  2. アセットが攻撃を受けた場合に事業継続性に与える影響
  3. アセットが攻撃を受けた場合に社会や社内(運用保守・人材)に与える影響

冒頭のA社のケースでは以下のように整理できるでしょう。

アセットが置かれている環境

  • VPN:インターネット上で公開された状態
  • データベース:設定を間違っていなければIPSやFWなどで制御されたネットワーク配下だが、公開ネットワーク寄り
  • スイッチ:設置環境によって制御されたネットワーク内かローカル環境になる。

アセットが公開されている場合、攻撃者からよりアクセスしやすいことからより緊急度が高いといえるので、VPN=データベース>スイッチの順になると考えられるでしょう。

アセットが攻撃を受けた場合に事業継続性に与える影響

アセットが攻撃を受けた場合に自社の事業継続にどの程度影響が出るかといった要素です。
仮にランサムウェア攻撃によって影響を受けた場合、それぞれのアセットの停止でどの程度の影響が出るかを想定してください。A社の場合事業継続性への影響度順でいうと、データベース>VPN>スイッチの順になると考えられます。

今回の場合はデータベースが事業に直結しており、顧客情報を含むデータを持っているため、継続性への影響度が高いという想定です。アセットの利用目的や環境によってはこの順番が入れ替わることもあります。

アセットが攻撃を受けた場合に社会や社内に対して与える影響

A社がランサムウェア攻撃を受けた場合はオンラインショッピングサイトのデータベース関連で以下の影響が見込まれます。

  • 顧客情報の漏洩
  • 運用およびシステムの復旧にかかる費用と工数

このほかにVPNやスイッチもフォレンジック調査の対象となって業務が行えなくなる可能性が高いと考えられます。VPNに関しては利用できない期間、社員の出社が必須になるなどワークスタイルへの影響も出る可能性もあります。こういったことから、社会および社内に対して与える影響でA社の例を考えると影響度は、データベース>VPN=スイッチと考えられるでしょう。

SSVCとは

こうした情報があったうえで利用ができようになる優先順位付けの方法があります。それが「SSVC(Stakeholder-Specific Vulnerability Categorization)」です。SSVCは脆弱性管理プロセスに関与する利害関係者のニーズに基づいて脆弱性に優先順位を付けるための方法論とされており、経営・マネジメント層、システム開発者、システム運用者といったステークホルダーと一緒に脆弱性に対処していくための方法論といえます。SSVCは脆弱性そのものの技術的評価ではなく、脆弱性にどのように対処するかという観点での評価を行うフレームワークになります。

SSVCの3つのモデル

  1. ソフトウェアやハードウェアの供給者、すなわちパッチを開発する人が用いる「Supplier Decision Model
  2. ソフトウェアやハードウェアを利用する側、つまりパッチを適用する人が用いる「Deployer Decision Model
  3. CSIRTやPSIRT、セキュリティ研究者やBug Bounty Programなど、脆弱性に対して何らかの調整やコミュニケーションのハブとなりうる人、コーディネーターが用いる「Coordinator Decision Model

このうち、「Deployer Decision Model」と「Supplier Decision Model」ではプライオリティ(対応優先度)付けの結果を4つにわけています。

SSVCで得られるプライオリティ付けの結果

Deployer ModelSupplier Model
Immediateすべてのリソースを投入し、通常業務を止めてでもパッチの適用を直ちに行うべきである全社的にすべてのリソースを投入して修正パッチを開発し、リリース
Out-of-cycle定期的なメンテナンスウィンドウより前に、やむを得ない場合は残業を伴う形で緩和策または解消策を適用緩和策または解消策を他のプロジェクトからリソースを借りてでも開発し、完成次第セキュリティパッチとして修正パッチをリリース
Scheduled定期的なメンテナンスウィンドウで適用通常のリソース内で定期的な修正パッチのリリースタイミングでパッチをリリース
Defer現時点で特に行うことはない現時点で特に行うことはない

ここではDeployer Decision ModelをもとにA社がどのようにパッチを適用すべきか検討してみましょう。

まず、Bさんは上司に相談したうえで、前述した3つの要素、「脆弱性を持つアセットが置かれている環境」、「事業継続性への影響」、「社会や社内への影響度」を定義していく必要があります。また、この定義に当たっては実際の環境や利用用途、部門内のリソースなどをよく知っているインフラチームや開発部といった当事者、つまりステークホルダーの関与(少なくとも承認)が必要となってきます。このほかに優先順位付けの結果、”Immediate”や”Out-of-Cycle”が出た場合の対応プロセスも用意しておく必要があります。Bさん1人で何かできることはそれほど多くはなく、社内のステークホルダーへの聞き取りや経営層への説明、必要なプロセスの準備と合意形成など、上司や部門全体も含めて組織的に取り組まなければならないといえます。さらに、Bさんは脆弱性自体が持つ以下の要素を調べる必要があります。

脆弱性が持つ要素

自動化の可能性

攻撃者がツール化して脆弱性を悪用するかどうかを判定するものとなります。これは攻撃者がツール化した場合、攻撃者間でツールの売買が行われるなど汎用的に悪用される可能性があるため、把握が必要な要素となります。一部の脆弱性はCISA VulnrichmentやCVSS4.0のSupplement MetricsのAutomatableの値が参照できますが、情報の参照先がないものについてはPoCの有無やPoCの内容から自動化の可否を判断する必要があります。この点はSSVC利用の難点として挙げられることもあります。

悪用の状況

実際に攻撃されていることを示すActive、PoCのみを示すPoC、悪用されていないことを表すNoneの3つに分類されます。この情報は時間の経過とともに変化する可能性が最も高く、逐次状況を確認する必要があります。情報の参照先は、KEVカタログ、CISA VulnrichmentのExploitationの値、CVSS4.0のThreat MetricsやNVDのReferenceのPoCの有無といったものが利用できます。唯一難点があるとすれば、日本国内でシェアの高い国内メーカー機器の情報がKEVカタログやCISA Vulnrichmentなどにあまり反映されない点にあります。

まとめ ~CVSSとSSVCの活用~

これまではCVSSが高い値のものだけ対処していた、という組織も多いでしょう。CVSSは脆弱性の単体評価ができ、脆弱性が広く悪用された場合の深刻度を測るための評価システムです。ただし、その脆弱性が存在するアセットがどのように利用されているか、そのアセットが業務継続性や運用保守、ひいては社会全体に対してどのような影響を与えるかといった観点が欠けていることが長らく問題視されてきたのも事実です。

脆弱性管理は手間がかかる、登場人物が多い、意見がまとまらないといったこともあるでしょうし、「自動化の可能性とかわからないし、攻撃の状況をずっと見ているほどの時間の余裕はない!」といった様々なお声があるかと思います。しかし、今この瞬間どの企業がいつサイバー攻撃を受けるのか全く見当もつかない状況の中、少しでもリスクを回避したい、どこにリスクがあるのか手がかりをはっきりしておきたいという企業の皆さまもいらっしゃるかもしれません。本記事を通じて、こういった脆弱性管理手法があることを知っていただき、活用することでリスク回避ができるようになるための役立つ情報提供となれば幸いです。

参考情報:


公開日:2024年9月10日
更新日:2026年5月13日

編集責任:木下

Security NEWS TOPに戻る
バックナンバー TOPに戻る

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

最新情報はこちら

Youtubeチャンネルのご案内

SQATチャンネル(@sqatchannel9896)では毎月、アナリストが語る「セキュリティトピック」解説動画やウェビナー動画を更新しています。 ぜひチャンネル登録をして、チェックしてみてください。


資料ダウンロードボタン
年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
お問い合わせボタン
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

スペシャル記事

Share

スペシャル記事

弊社社外取締役の上野宣氏に今後の動向や予測について語っていただいた記事やインタビュー、そして国内外問わずセキュリティイベントに多くご登壇し、弊社で毎月1回開催している社内研修で、最新動向をレクチャーいただいている奈良先端科学技術大学院大学の門林教授へのインタビューなどを掲載しています。経営の方から、システムを管理・開発する方も開発会社に依頼する方も、必見です。


上野宣氏(2026.3) <特別寄稿>
上野 宣 氏/
株式会社トライコーダ 代表取締役
2026年3月 SQAT®.jp限定公開
<インタビュー>門林 雄基 氏のサムネ <インタビュー>
門林 雄基 氏/奈良先端科学技術大学院大学 教授

2022年10月 SQAT®.jp限定公開
<インタビュー>
上野 宣 氏

2020年5月 SQAT®.jp限定公開
<対談>
杉浦 隆幸 氏(合同会社エルプラス 代表社員)
✕ 齊藤 義人(BBSec SS本部 本部長)

SQAT® SecurityReport 2019年3月号

SQAT® Security Information TOPに戻る

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。


Security Serviceへのリンクバナー画像

BBsecコーポレートサイトへのリンクバナー画像

セキュリティ緊急対応のバナー画像

SQAT® Security Information

Share

Security NEWS

進化し続けるサイバー攻撃の脅威に対抗するための最新のセキュリティ情報から、初心者向けの基本知識まで幅広く取り上げています。これからセキュリティの道へ進む方にも、すでにセキュリティに携わっている方にも、楽しんでいただける内容となっています。

Security NEWS TOPに戻る


「アフラック不正アクセスで約438万人の個人情報漏洩」アイキャッチ画像 NEW
アフラック不正アクセスで約438万人の個人情報漏洩 ―保険会社を狙うサイバー攻撃のリスクと企業が取るべき対策
2026.7.1
「サッポロHD海外2社に不正アクセス」アイキャッチ画像 NEW
サッポロHD海外2社に不正アクセス ―海外グループ会社を狙うサイバー攻撃リスクとは
2026.7.1
「インシデント対応体制とはCSIRTの役割と企業が整えるべき運用のポイント」アイキャッチ画像 NEW
インシデント対応体制とは?CSIRTの役割と企業が整えるべき運用のポイント
2026.7.1
ランサムウェア被害の実態 ―業務停止・損害・企業が直面するリスクとは―アイキャッチ画像 NEW
【企業のためのランサムウェア対策ガイド】
ランサムウェア被害の実態 ―業務停止・損害・企業が直面するリスクとは―

2026.7.1
「KDDIメールシステムに不正アクセス、最大1,422万件漏えいの可能性」アイキャッチ画像 KDDIメールシステムに不正アクセス、最大1,422万件漏えいの可能性―企業が見直すべき「共通基盤リスク」とは
2026.6.25
インシデント対応フローとは?発生時に企業が取るべき手順と判断ポイントアイキャッチ画像 インシデント対応フローとは?発生時に企業が取るべき手順と判断ポイント
2026.6.24
ランサムウェアの攻撃手法とは - 侵入から暗号化までの流れを解説アイキャッチ画像 【企業のためのランサムウェア対策ガイド】
ランサムウェアの攻撃手法とは – 侵入から暗号化までの流れを解説

2026.6.24
セキュリティインシデント管理とは?企業が押さえるべき対応フローと体制の全体像アイキャッチ画像 セキュリティインシデント管理とは?企業が押さえるべき対応フローと体制の全体像
2026.6.17
ランサムウェアの感染経路とは ―企業が見落としがちなVPN・RDP侵入リスクを解説アイキャッチ画像 【企業のためのランサムウェア対策ガイド】
ランサムウェアの感染経路とは ―企業が見落としがちなVPN・RDP侵入リスクを解説

2026.6.17
セキュリティインシデントの再発防止と体制強化_アイキャッチ画像 セキュリティインシデントの再発防止策とは?体制強化と継続的改善のポイント
2026.6.17
セキュリティインシデント発生時の対応アイキャッチ画像 セキュリティインシデント発生時の対応 ―初動から復旧まで解説―
2026.6.17
セキュリティインシデントとは何か?基礎知識と代表的な事例アイキャッチ画像 セキュリティインシデントとは?基礎知識と代表的な事例を解説
2026.6.17
クレジットカード情報漏洩に備える ―非保持化・PCI DSS準拠でも漏洩が起きる理由とは―アイキャッチ画像 クレジットカード情報漏洩に備える ―非保持化・PCI DSS準拠でも漏洩が起きる理由とは―
2026.6.10
ゼロデイ脆弱性とは?最新事例と企業が取るべき対策を解説アイキャッチ画像 ゼロデイ脆弱性とは?最新事例と企業が取るべき対策を解説
2026.6.3
ランサムウェアの仕組みとは ―感染から暗号化までの動きを解説アイキャッチ画像 【企業のためのランサムウェア対策ガイド】
ランサムウェアの仕組みとは ―感染から暗号化までの動きを解説

2026.5.27
企業の情報漏洩対策 ―すぐに実践できる防止策と運用のポイント―アイキャッチ画像 企業の情報漏洩対策 ―すぐに実践できる防止策と運用のポイント―
2026.5.27
特殊詐欺のイメージ画像(電話・お金・メモ) ソーシャルエンジニアリングとは?代表的な手口・事例・対策を解説
SQAT® Security Report 2020-2021年秋冬号
2026.5.27
【企業のためのランサムウェア対策ガイド】ランサムウェアとは何かアイキャッチ画像 【企業のためのランサムウェア対策ガイド】
ランサムウェアとは何か ―企業が知るべき被害・仕組み・対策の基本

2026.5.20
情報漏洩はなぜ起きるのか ―企業で多い原因と最新事例から見るリスクの実態―アイキャッチ画像 情報漏洩はなぜ起きるのか ―企業で多い原因と最新事例から見るリスクの実態―
2026.5.20
2026年1Q KEVカタログ掲載CVEの統計と分析 2026年1Q KEVカタログ掲載CVEの統計と分析
2026.5.13

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Security Serviceへのリンクバナー画像
BBsecコーポレートサイトへのリンクバナー画像
セキュリティ緊急対応のバナー画像

Security NEWS TOPに戻る

【長期休暇前の見直しを!】ネットワーク図が消えた瞬間─ランサムウェア時代のインシデント対応を左右する“準備”の質

Share

Security NEWS TOPに戻る
バックナンバー TOPに戻る

インシデントレスポンス・フォレンジック記事アイキャッチ画像(パソコンと火のイメージ)

長期休暇は攻撃者にとっての“ゴールデンタイム”─攻撃の隙を突かれ、組織のネットワーク図や構成情報が暗号化されてしまえば、インシデント初動対応やフォレンジック調査に大きな支障が生じます。本記事ではランサムウェア攻撃の実例を交えつつ、サイバー攻撃への対策の要点を解説します。

図面サーバが暗号化された実例が突きつけた現実

2021年1月、プエルトリコ財務省(Hacienda)の共有サーバがランサムウェア「Ryuk」によって暗号化されました。困難を極めたのは業務システムそのものではなく、インシデント対応の羅針盤となるIDSログとネットワーク図まで人質に取られたことでした。CompSec Direct社は、外部のDFIR(Digital Forensics & Incident Response)チームが構成を把握するまでに数時間を費やし、その間オンライン納税が全面停止した結果、1日あたり2000万ドルを超える税収が失われたと報告しています。さらに同様のリスクが民間企業にも差し迫っています。Microsoft Igniteで発表されたランサムウェアバックアップ戦略ガイド「Ransomware attack recovery plan」では、「ネットワーク図やCMDBは攻撃者が真っ先に狙う復旧用ドキュメントであり、失えば復元計画そのものが成立しなくなる」と警鐘を鳴らしています。

ネットワーク図はフォレンジック調査とCSIRTの羅針盤

マルウェア感染が判明した直後、CSIRT(Computer Security Incident Response Team)はネットワークをどこで遮断すべきか、どのホストでメモリダンプやパケットキャプチャを始めるべきかを瞬時に決めなければなりません。その判断を支える“地図”こそ最新のネットワーク図です。AWS Incident Response「Document and centralize architecture diagrams」でも、アーキテクチャ図を一元的に保管し常に更新しておくことが「迅速かつ正確な封じ込めの前提」と明示しています。

フォレンジック担当者にとっても図面は欠かせません。感染セグメントの境界を論理的に隔離し、ログ残存率の高い経路を優先してトラフィックを保存し、横展開を想定したホストに的を絞ってメモリを取得する—こうした分単位のオペレーションは、正確な構成情報があって初めて迷いなく実行できます。図面が欠落した状態では、調査は手探りになり、感染拡大のリスクが急激に高まります。

攻撃者が真っ先に狙う“復旧用ドキュメント”

近年のランサムウェアは単にシステムを暗号化するだけでなく、復旧の要となるバックアップやドキュメントを破壊・窃取する二重・三重恐喝が主流です。Microsoftは前述した「Ransomware attack recovery plan」の中で、図面を含む復旧ドキュメントを必ずイミュータブルまたはオフラインの領域へ隔離し、管理者権限を奪われても書き換えられないように設計することを強調しています。この”文書奪取型”の攻撃は、組織が身代金を支払わざるを得ない状態へ追い込む目的で計画的に行われます。したがって、図面の退避先をシステムとは別レイヤーに置く設計思想そのものが、ランサムウェア時代の事業継続計画(BCP)の根幹となります。

三層バックアップと3-2-1 ルール—図面を守るための冗長化設計

攻撃者がドキュメントを狙う前提を踏まえ、Microsoft Azureや多くのクラウド事業者は「三層バックアップ」を基準として推奨しています。第一層は多要素認証を必須化したオンラインバックアップで、日常的な迅速リストアを担います。第二層はクラウドのイミュータブルストレージで、週次コピーを保管し、管理者権限の奪取による改ざんを防ぎます。第三層は完全オフラインの隔離媒体で月次アーカイブを保持し、最悪のシナリオでも“最後の砦”として機能します。この三層構造の流れは下図の通りです。

三層バックアップのイメージ図

三層バックアップは、しばしば「三つのコピー・二種類の媒体・一つはオフサイト」という 3-2-1ルールとも呼ばれ、ログやアプリケーションデータだけでなくネットワーク図のような復旧必須ドキュメントにもそのまま適用できます。重要なのは、図面を単なるPDFとして保存するのではなく、バージョン管理システムやIaC(Infrastructure as Code)ツールで変更履歴を残し、更新が発生するたびに自動でイミュータブル層へ複製する運用プロセスを組み込む点にあります。

長期休暇は“攻撃者のゴールデンタイム”

大型連休や年末年始は、内部管理者の不在や監視体制の手薄さを突く格好のタイミングです。実際、米CISAと FBIは2021年のレイバー・デー (Labor Day=労働者の日)を前に、「過去の大規模ランサムウェア攻撃は、週末や祝日の直前に集中する傾向がある」と共同アドバイザリRansomware Awareness for Holidays and Weekends」を公開し、平時よりも高い警戒レベルを求めました。

国内でも2024年4月、独立行政法人情報処理推進機構(IPA)が「2024年度 ゴールデンウイークにおける情報セキュリティに関する注意喚起」を発表し、「長期休暇中は管理者が長期間不在になるため、インシデント発生時の対応が遅れ、休暇明けの業務継続に影響が及ぶ恐れがある」と警告しています。連休を狙った攻撃が成功しやすい背景には、VPNリモートデスクトッププロトコル(RDP)のパッチ未適用、監視ログの見落としといった“人的スキマ”が重層的に生じる点があります。

「連休前点検」と「連休後フォロー」を年間行事に

休暇入りの二週間前を目安に、ネットワーク図とCMDB(構成管理データベース)の最新版をイミュータブル層へ複製し、外部ベンダーとも共有確認を行う—これだけで、もし連休中に図面サーバが暗号化されても代替コピーを即座に展開できます。さらに休暇明け初日に、ログの異常値とバックアップ整合性をチェックする“フォローアップ窓”を設ければ、潜伏期間の長いマルウェアを早期に検知できます。

平時にベンダー契約を結び、図面を安全に共有する

インシデント対応は社内リソースだけで完結しない局面が多くあります。経済産業省が公開した中小企業向け手引きでも、専門知識が不足する場合は外部ベンダーへ速やかに支援を依頼するよう明記されています。ところが緊急時に初めて見積もりを取得し、社内決裁を経て、機密保持契約(NDA)を交わすようでは手遅れになりかねません。またNIST SP 800-61 Rev.3でも、外部サービスプロバイダーとの契約には責任分界点・連絡フロー・緊急時の権限を事前に文書化し、図面や資産リストを暗号化して共有しておくべきだと指摘しています。

図面を平時から共有しておけば、ベンダーは現地到着と同時に封じ込めポイントやログ取得手順を提示できる―これが、初動を数十分で完了させるか、半日を失うかの分岐点となります。

図面更新運用「変更が起きた瞬間にバックアップを取る」

ネットワーク構成は日々変化します。クラウドのセキュリティグループを1行書き換えるだけでも、感染経路や封じ込め手順は一変します。したがって、図面更新の責任を特定の担当者に寄せるのではなく、CI/CDのパイプラインに組み込んで自動化するアプローチが有効です。例えば、IaCテンプレートを最新版にマージすると同時に、図面を自動生成し、イミュータブル層へコミットする―こうして「変更=バックアップ」のトリガーを組織文化として定着させることで、人為的な更新漏れを防止できます。

クラウド・オンプレミスを跨ぐハイブリッド環境への適用のポイント

ハイブリッド環境では、クラウド側のアーキテクチャ図とオンプレの物理配線図を統合的に管理する必要があります。AWS Systems Manager Application ManagerやAzure Arcなどのサービスを活用すると、マルチクラウド/オンプレ資産を単一のリポジトリへ収集できる。こうして得られたメタデータをエクスポートし、Visioやdraw.ioで図面化して保管すれば、プラットフォームを跨いだ封じ込め手順を迅速に策定できます。

90日で構築する“図面と契約”のロードマップ

まず、30日以内に既存図面の所在を棚卸しし、漏れや重複を洗い出します。次の30日で三層バックアップを設計し、イミュータブル層とオフライン層へのコピーサイクルを自動化します。最後の30日でMSSPやクラウドベンダーとの契約書に図面共有条項を追加し、緊急連絡網と責任分界点を明文化します。こうした段階的な取り組みを通じて、図面が失われても数分で代替コピーを展開できる体制が完成します。

まとめ:今日から始める“図面と契約”の棚卸し

ネットワーク図は初動対応の生命線であり、失えば封じ込めもフォレンジックも大幅に遅れます。図面そのものが攻撃者の標的になる現実を踏まえ、イミュータブルストレージと完全オフライン媒体を組み合わせた三重の防御を施すことが不可欠です。さらに、平時からMSSPやフォレンジックベンダーと契約し、暗号化した図面を安全に共有しておけば、いざという時に“地図を持った専門家”が数分で封じ込めを開始できます。図面が手元にあるか否かで、インシデント対応は「数時間」で済むか「数日」を要するかが決まります。ランサムウェアが猛威を振るう2025年、まずはバックアップ設計とベンダー契約を棚卸しし、次の長期休暇を迎える前に備えを万全にしましょう。

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

【参考情報】


Security NEWS TOPに戻る
バックナンバー TOPに戻る

ウェビナー開催のお知らせ

  • 2025年8月5日(火)14:00~15:00
    企業サイトオーナー向け ユーザーからのレピュテーションを高めるWebサイトの在り方-Webサイトを取り巻くリスク・規制・要請とユーザビリティ向上-
  • 2025年8月20日(水)13:00~13:30
    EC加盟店・PSP必見!クレジットカード・セキュリティガイドライン6.0版対応ウェビナー
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    JCDSC「カードセキュリティ フォーラム 2025」講演レポート

    Share
    セミナー講演(ブース運営の様子1)

    概要

    2025年6月27日(金)、日本カード情報セキュリティ協議会 (JCDSC)主催「カードセキュリティ フォーラム 2025」にて弊社社員が講演登壇を行いました。クレジットカードセキュリティをテーマに、クレジットカードセキュリティガイドライン【6.0版】、PCI DSSv4.0.1対応をテーマにしたセッションのほか、PCI SSCの認定セキュリティ評価機関であるQSA(Qualified Security Assessor)3社、株式会社ブロードバンドセキュリティ、国際マネジメントシステム認証機構(ICMS)、NRIセキュアテクノロジーズ株式会社によるパネルディスカッションも行われました。

    弊社講演内容

    「PCI DSS v4.0.1運用の課題とベストプラクティス対応状況」

    QSA 3社により、PCI DSS v4.0.1の運用とベストプラクティス課題について、顧客企業が対応に苦心した事例を紹介・解説し、ポイントについてパネルディスカッションを行いました。パネラーとして、弊社QSAの宮坂が登壇しました。

    パネリスト:
    ①国際マネジメントシステム認証機構(ICMS)
    ②株式会社ブロードバンドセキュリティ
    ③NRIセキュアテクノロジーズ株式会社

    「PCI DSS v4.0.1対応と有事の備え」伊藤 祐生雄(株式会社ブロードバンドセキュリティ)

    PCI DSS v4.0.1対応で求められるログ監視の自動化は、早期検知・早期対応による被害最小化と、カード情報漏洩や外部からの不正アクセス・マルウェア感染といったリスクに対し、有事対応力を高める鍵となります。フォレンジック事業者(PCI Forensic Investigator)として最新インシデント事例を交えながら、インシデントに強い体制づくりを支える新MDRサービス「G-MDRTM」をご紹介しました。

    「クレカ・セキュリティガイドライン【6.0版】改定ポイント/木下 祐希(株式会社ブロードバンドセキュリティ)

    カード不正利用被害が深刻化する中、最新のクレジットカード・セキュリティガイドライン6.0版では、加盟店の脆弱性対策強化とPSPの支援責任が明確化されました。本講演では改定ポイントを整理し、実効性ある対策とPSPが果たすべき役割について解説しました。

    そのほかの講演内容はこちら
    ※外部サイトにリンクします。

    セミナー講演(ブース運営の様子2)
    弊社ブース運営の様子
    講演登壇の様子(講師写真1)
    講演の様子1
    講演登壇の様子(講師写真2)
    講演の様子2
    講演登壇の様子(講師写真3)
    講演の様子3

    今後ともブロードバンドセキュリティ(BBSec)を引き続きどうぞよろしくお願い致します。

    当サイト 「SQAT.jp」について

    SQAT.jpは、株式会社ブロードバンドセキュリティ セキュリティサービス本部の管理・運営によるサイトです。

    株式会社ブロードバンドセキュリティとは

    株式会社ブロードバンドセキュリティ(BroadBand Security, Inc./BBSec)は、2000年の創業以来、様々なニーズに対応するセキュリティサービス事業を展開してまいりました。セキュリティ・コンサルティング、デジタル・フォレンジック、脆弱性診断、マネージドセキュリティサービスなど、対応分野を次々と拡大。ITセキュリティのエキスパートとして、豊富な知識と経験に裏打ちされた高品質のサービスをお届けしています。

    セキュリティサービス本部とは

    セキュリティサービス本部は脆弱性診断を主サービスとするエンジニアリング本部です。エンジニア、アナリスト、ホワイトハッカー等から編成された精鋭チームが、お客様システムに潜む脆弱性を検証し、改善案を提示するサービスを提供しています。お客様は金融機関・インターネット事業者などの民間企業から、官公庁をはじめとする公共機関まで幅広く、これまでに延べ10,300組織64,280を超えるシステムの健全化に貢献しています。(2025年6月時点)

    2025年7月19日(土)開催 「Hack Fes. 2025」講演レポート

    Share
    HackFes2025ブロードバンドセキュリティブース写真1

    Hack Fes. 2025 概要

    2025年7月19日(土)、一般社団法人日本ハッカー協会主催「Hack Fes. 2025」が開催されました。本イベントは当社ブロードバンドセキュリティのほか、SCSKセキュリティ株式会社、株式会社CEL、株式会社ユービーセキュア、フューチャーセキュアウェイブ株式会社、アカマイ・テクノロジーズ合同会社が協賛しました。当日は当社上席執行役員である齊藤義人によるスポンサーセッションのほか、ジェパディ形式のオンラインCTF大会「CTF S.Q.A.T 2025」を実施しました。そして大会終了後は、ネットワーキングパーティにて、上位入賞者への表彰式も行いました。

    HackFes2025ブロードバンドセキュリティブース写真2
    ブロードバンドセキュリティブースの様子1
    HackFes2025ブロードバンドセキュリティブース写真3
    ブロードバンドセキュリティブースの様子2
    HackFes2025ネットワーキングパーティの様子
    ネットワーキングパーティの様子
    HackFes2025CTF表彰式の様子
    CTF S.Q.A.T 2025表彰式の様子

    弊社講演概要

    スポンサーセッション:「”w/ AI”, “w/o AI” 2つの世界の光と闇」/齊藤 義人(株式会社ブロードバンドセキュリティ)

    • 14:20 – 14:45(25min)
    • 本講演では、「w/ AI」と「w/o AI」の2つの世界線を行き来しながら、組織が直面する新たなリスクの輪郭を描きます。インシデントが“起こらない”前提ではなく、“起きる”前提で考える時代──ペンテスターであり経営にも関わる立場から、完璧な防御ではなく「しなやかに耐え、素早く立ち直る力(サイバーレジリエンス)」へ。技術・体制・文化、それぞれの変革のヒントをお届けします。

    そのほかの講演内容はこちら
    ※講演へのお申込みはすべて終了しています。
    ※外部サイトにリンクします。

    CTF S.Q.A.T 2025

    当社(ブロードバンドセキュリティ)が主催するジェパディ形式のオンラインCTF大会。
    CTF初心者〜中級者を対象にした個人戦で、Web・ネットワーク・フォレンジック・OSINT・その他のジャンルから出題します。競技終了後にスコアを集計し、ネットワーキングパーティの席で優秀者を発表します。成績上位3名には賞品を授与いたします。

    Webサイト

    7月31日(木)まで公開中

    ・トップページ
     https://bbsec-ctf-hackfes2025.ctfd.io/
    参加登録ページ
     https://bbsec-ctf-hackfes2025.ctfd.io/register
    ・スコアボード
     https://bbsec-ctf-hackfes2025.ctfd.io/scoreboard

    今後ともブロードバンドセキュリティ(BBSec)を引き続きどうぞよろしくお願い致します。

    お問い合わせ

    本イベントに関するお問い合わせはこちらからお願いします。

    当サイト 「SQAT.jp」について

    SQAT.jpは、株式会社ブロードバンドセキュリティ セキュリティサービス本部の管理・運営によるサイトです。

    株式会社ブロードバンドセキュリティとは

    株式会社ブロードバンドセキュリティ(BroadBand Security, Inc./BBSec)は、2000年の創業以来、様々なニーズに対応するセキュリティサービス事業を展開してまいりました。セキュリティ・コンサルティング、デジタル・フォレンジック、脆弱性診断、マネージドセキュリティサービスなど、対応分野を次々と拡大。ITセキュリティのエキスパートとして、豊富な知識と経験に裏打ちされた高品質のサービスをお届けしています。

    セキュリティサービス本部とは

    セキュリティサービス本部は脆弱性診断を主サービスとするエンジニアリング本部です。エンジニア、アナリスト、ホワイトハッカー等から編成された精鋭チームが、お客様システムに潜む脆弱性を検証し、改善案を提示するサービスを提供しています。お客様は金融機関・インターネット事業者などの民間企業から、官公庁をはじめとする公共機関まで幅広く、これまでに延べ10,300組織64,280を超えるシステムの健全化に貢献しています。(2025年6月時点)