Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

【セミナーレポート】サイバーセキュリティ勉強会2024夏 in 塩尻 (その1)

2024年8月31日に長野県塩尻市にて開催されました第11回塩尻サイバーセキュリティ勉強会に(登壇)参加しました。本勉強会に参加した様子を簡単にご紹介します。

 

開催日時

2024年8月31日(土)

13:30~17:15

会場 塩尻インキュベーションプラザ 1階多目的ホール(長野県塩尻市大門八番町1番2号)
参加形式 現地会場/Zoomウェビナー
主催 塩尻市セキュリティ啓発活動実行委員会

 

塩尻サイバーセキュリティ勉強会とは

2016年から毎年サイバーセキュリティ月間に合せて長野県塩尻市で開催されている勉強会です。2023年から冬(2月)に加えて夏(8月)も開催されており、今回私は第11回サイバーセキュリティ勉強会2024夏 in 塩尻”に参加しました。

 

■参加したきっかけ

前回の第10回in冬の勉強会にオンライン(Zoom)参加しており、次も参加したいなと思っていた所、講演登壇枠(先着順2)が空いていたので現地参加する事にしました。

8月最終週の土曜日に開催という事もあり、来年4月から観覧料の値上げ(大人700円→1,300円)が予定されている国宝・松本城を見たい・・というのも参加動機の半分位を占めていたかも知れません。

 

■当日プラン

勉強会の公式サイトには「塩尻サイバーセキュリティ勉強会の楽しみ方」という参加者向けのガイドがあり、こちらを参考に移動旅行プランを検討しましたが、ぶっちゃけ”冬向け”のガイドラインだった事もあり、参考程度という感じでした。

※主催者の方には”夏用ガイド”の作成もお願いしておきました。

www.security-feed.club

 

ガイドでは東京方面からの電車移動についてやや長野新幹線コース(上野→長野→在来線)推しなご紹介がされていますが、新宿へのアクセスが良い方は特急あずさの中央線コースの方が向いているかも知れません。

※参加者として現地会場(塩尻インキュベーションプラザ)に勉強会開始の13:30までに到着するプランだと、あずさ13号(乗車券4,070円+指定席2,550円)辺りで間に合ったかと思いますが、私は(登壇者でもある事からご挨拶と事前テストを考え)12時前には会場に着きたかったので、この1時間位前の臨時列車で塩尻に向かいました。

 

■夏と言えば”台風”

今年8月は台風の当たり年でしたが、勉強会の開催された8月31日も台風10号の影響で開催が危ぶまれていました。台風進路(降水・暴風)予報がコロコロ変わり各地で被害が発生し、塩尻への移動ルートも影響が出そうでしたので現地からZoom参加に切り替えられた方も多いかも知れませんが、結果として(私は)あまり大きな影響もなく特急で(普通に)移動できました。

※参考:ウェザーニュース記事

 

同日8/31開催の「サイバー防衛シンポジウム熱海2024」は台風10号の影響で現地開催を中止している中、塩尻の勉強会が現地開催できたのは、関係者の皆様の日ごろの行いが良いからだとは思いますが、(塩尻市の方に聞くと)地形的に塩尻山に囲まれているので、台風に比較的強い場所なのだそうです。

 

塩尻駅の名物と言えば・・・

前述のガイドにもしっかり記載されていますが、一見の価値があると思ったのが、塩尻駅の構内にある日本一狭いと噂される信州そば屋(桔梗)です。駅の内側と外側でそばが頂けるのですが、内側は・・・運よく空いている時にしか(この入口からは)入店できない気がします。

tabelog.com

この日は東海道新幹線などが止まっていた影響もあってか、駅も混んでいてチラッと見て諦めました。改札を出て左側の待合室側にもカウンターがあり、

こちらもカウンターに立てるエリアは狭いものの、電車待ちで混雑している待合室の椅子に座って食べている人がいたので、それに倣って安曇野葉わさびそばを頂きました。

こちらも同じく塩尻名物となっている山賊焼きが入ったそば(うどん)を食してみたかったのですが、数量限定だった様で、既に販売終了となっていました。

 

※山賊焼きは塩尻駅から徒歩5分の居酒屋「山賊」の前身(松本食堂)が発祥で、店主の祖父の風貌が山賊に似ていたというのが名前の由来と言われています。しかし一方で山賊が旅人や通行人から金品を「取り上げる」を「鶏揚げる」にかけて作ったとのなど、諸説あるようです。

tabelog.com

 

■会場への近道は少し分かりづらい

雨が少し強めに降っていた事もあり、ガイドに書かれている道が分からずを外して少し遠回りで会場に歩いていきました。徒歩6分程度との事でしたが、10分位かかったかと思います。

※駅前の写真。奥に見えているのがガイドでも宿泊先候補として挙げられている中村屋です。(このホテルの横に居酒屋山賊がある様です)

 

因みに会場までの道沿いにはコンビニはなかったので、駅内のNewDaysで買い物してから会場に向かうのも良いかと思います。

※会場から徒歩圏内にセブンイレブンがあるので、寄り道するのも良いかも知れません。(この日は少し雨足が強かったので、駅で買い物したらよかった・・と少し後悔しました)

 

■会場へ到着(受付→奥の多目的ホールへ)

(忘備録として)雨模様でしたので、この写真下に写っている傘立てに傘を置く方が多かったのですが、帰りがけ(雨は上がっていた)に傘を忘れた方がいらっしゃった様です。雨の日はお気をつけください。

 

既に10回以上の勉強会を重ねていらっしゃるだけあって、会場入りした際にはすぐにでも勉強会がスタートできそうな状態でした。台風の影響もあり、会場参加者は少な目(運営・講師・受講者すべてで30人弱位だったでしょうか)で、広い会場を広々と使えました。

 

講師テーブルにご案内頂き、運営の方々や他の講師の方々と名刺交換。名刺を配るチャンスは少なかったのですが、懇親会も含め新調した名刺を貰って頂いた方、ありがとうございました。
画像

※因みに、著名なインコ系セキュリティリサーチャーの方とは違い、私は素性(本業)を隠している訳ではないので、聞かれたら本業の名刺もお渡ししています。(当ブログでもよく見るとどこかに書いています)

 

■勉強会

私以外の講師の方々(ラック 長谷川さん、AWS Japan平賀さん、信州大学 内山先生、ワンビ 加藤さん、アスタリスク・リサーチ岡田さん)の講演も興味深いものが多く勉強になりました。

①株式会社ラック 長谷川長一 氏

「サイバーセキュリティ人材」について整理してみる

【キタきつねコメント】

講師の岡田さんもXでコメントされていらっしゃいましたが「5年前のセキュリティは通用しない。被害を及ぼしているのと一緒」というコメントは、勉強会全体を通して一番受講者に”刺さった”と思います。※資料だとP12

②キタきつね

結局、パスワードは使い回されている ~古くて新しい「人の脆弱性」解消のヒント~

【キタきつねコメント】

発表はカミカミでしたが、講演資料はかなり時間をかけて作ったので何か伝わるものがあったら嬉しいです。

AWS Japan 深井 氏

教育委員会におけるクラウドセキュリティ

【キタきつねコメント】

AWSのセキュリティサービスにランサムウェア対策(Amazon S3 Object Lock』があり、イミュータブルな仕組みを提供されているのはAWS利用ユーザーの方は要チェックかと思います(私は知りませんでした・・・)

※講演資料だとP33

信州大学 情報基盤センター 内山 巧 先生

セキュリティアウェアネス ~どうやったら気をつけてもらえるの?~

【キタきつねコメント】

Security Awareness(セキュリティ意識)をどう向上させるか、身近の取組例から分かりやすく説明されていました。カタカナ言葉の概念なので、日本組織が弱い分野ですが、人の脆弱性という観点では今後重要性が増すのは間違いありません。

⑤ワンビ株式会社 加藤 貴 氏

データ消去の真実!~あなたのデバイスを安心に消去する方法~

【キタきつねコメント】

安全なデータの消去手法について基本的な所から解説されていました。(講演資料の説明箇所が見つかりませんが)HDD消去は(3回ではなく)最近は1回上書きで良いと説明されていて、古い知識がUpdateされました。

アスタリスク・リサーチ/OWASP Japan 岡田良太郎 氏

なぜ脆弱性診断を受けてもセキュリティ侵害は減らないのか 〜 2024年ここまでのサイバーセキュリティ侵害事案を概観する 〜

【キタきつねコメント】

(資料が公開されていないのでうろ覚えのコメントですが)脆弱性診断は時間やコストの制約があり、本来事前に委託先から提供されるべき情報が無い場合は、どうしても効果が限定的になるとのお話は、もっともな話だと感じました。(被診断企業の努力も診断効果を高めるために重要)

⑦パネルディスカッション

 

※私の講演資料はdocswellにて公開しています(勉強会公式 *参加者向け では資料DL不可だったので、別UPしています)

 

■パネルディスカッションの(キタきつねコメント)補足

KADOKAWANTT西日本、イセトーなどの最近の大きなセキュリティインシデントに関連して、セキュリティ対策のポイントや意識・考え方が変わっていくだろうと思われることはありますか?

私からは、

NTT西日本(内部不正)

NTT西日本(の子会社)は、ベネッセ事件を教訓にしていない

(元派遣社員は10年前から不正をしていた≒ベネッセ事発覚とほぼ同時期)

KADOKAWA、イセトー(ランサムウェア被害)

→両社とも記者会見をしなかったので、騒動が大きくなった

(企業イメージを毀損した)

→対応が後手後手に廻ったのはインシデント対応計画に問題があったのではないか

といった趣旨のコメントをさせて頂きましたが、②の記者会見の所について、モデレーター(大原さん)から”海外での対応では記者会見が普通?”との質問について(当日は岡田さんがコメントされていましたが)補足させて頂きます。

*時間が限られていた事もあり、このコメントは当日できませんでした。

 

【追加コメント】

海外では記者会見は一般的ではありませんが、上場企業は重大なサイバーインシデントが発生した際に米国証券取引委員会(SEC)に対し、インシデントについてかなり詳しく報告(一般開示)する義務があります。

日本では個人情報保護委員会などの管轄省庁などに対してインシデントの報告義務はありますが、一般への開示義務、定型の報告書式(開示内容に対する縛り)も無いので、企業リリース、更にそれ(リリースの不足)を補うものとして記者会見が位置付いているのかと思います。

※米国では上場企業は米国証券取引委員会(SEC)に対し、サイバーインシデントに関して報告義務があります。SECへの報告書はForm 8-Kと呼ばれるフォームでのインシデント開示が一般的であり、これ以外にもForm 10-k(年次報告書)でインシデントが公開されます。

SECの(新)ルールは以下の通りです。

①上場企業は、重大なサイバーセキュリティインシデントが発生したと判断してから4営業日以内にそのインシデントを公表しなければならない

②上場企業は、サイバーセキュリティのリスク管理、戦略、ガバナンスに関する情報をフォーム10-Kで毎年開示する必要がある

www.jri.co.jp

 

尚、当日の動画は、後からYouTubeにUPすると主催の方が仰っていたので、(カミカミの)私や他の方の講演内容含め、気になる方は勉強会公式YouTubeアカウントをチェックしてみて下さい。

www.youtube.com

 

→(その2)に続く

foxsecurity.hatenablog.com

 

更新履歴

  • 2024年9月6日