2018/9 以来、7 年ぶりに開催された名古屋情報セキュリティ勉強会に参加してきました。
前回・前々回の参加記録が残っていて、いずれも「オフレコでほとんど書けない」と書いていたのですが、今回はセキュリティ関連の話としては「オフレコ少なめ」回でした。
開始まで
#nagoyasec 久しぶりすぎる pic.twitter.com/Nr1dvou7GT
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
道を挟んで 2 軒北側の MAY パークに車を停めたのですが、ここ(案内図のところ)まで来なくても手前のドアから入れました。
受付の待ち行列が長い#nagoyasec
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
こちら、ポストのタイミングが(見てのとおり)13:01(受付開始 2 〜 3 分後)。
わたしが会場前のロビーに着いた時点で 30 〜 40 人くらいは参加者が待っていて、13:00 過ぎにはその倍近くまで増えていました。
懐かしい#nagoyasec pic.twitter.com/a2Qdn15f6V
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
おもむろに前説(?)が始まる
「セキュリティの聖地名古屋港」#nagoyasec
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
主催の nawoyuky さんより。
何があったんでしょうか?(すっとぼけ)
まっちゃさん「午前中水族館ですよね?」
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
反応なし#nagoyasec
当日暑過ぎたので(この日の名古屋地方気象台の最高気温は 39.1 ℃ !!)、たぶんみなさんほとんど出歩かなかったのかと。
受付待ち行列、そろそろ解消?#nagoyasec
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
13:20 頃、待ち行列が解消されて、10 分前倒しで勉強会スタートです。
開始〜自己紹介タイム
久々のヤニーズ
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
(たぶんみんななんのことかわかってない)#nagoyasec
「ヤニーズ事務所」の元ネタ自体がなくなっちゃいましたからね。
セキュハラ(APT攻撃)?#nagoyasec
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
各種ハラスメント行為は禁止です!
自己紹介タイム#nagoyasec
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
自己紹介タイムの途中で遅れてきた人が…と思って見たら、マーカスさんでした。
初参加の人が大半!#nagoyasec
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
自己紹介タイムの終わりに挙手アンケート。大半の人の手があがりました。
LAC 西本さん「昨今の気になることを踏まえて 〜築くべきセキュリティ文化と未来を考える〜」
西本さんより、
— まっちゃだいふく (@ripjyr) 2025年8月30日
「昨今の気になることを踏まえて
〜気づくべきセキュリティ文化と未来を考える〜#nagoyasec pic.twitter.com/eh0h8Pnhca
ご本人いわく「与太話」とのことでしたが、面白い&興味深いお話でした。
「品の良い街からきました」
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
(別名:修羅の国)#nagoyasec
成人式で新成人が派手なコスプレ(?)をしているぐらい平和な街ですね。
犯罪被害額のうち3/4が詐欺によるもの
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
(3,000億以上)#nagoyasec
「詐欺は儲かる」というのが近年定着してきたようで。
わたしは名古屋情報セキュリティ勉強会には 10 年ちょっと前から参加していて、その頃も特殊詐欺の話は何度か出てきていたのですが、いわゆる振り込め詐欺の当時の被害額が 2 桁億円程度で銀行もそれほど本腰を入れて対策しようというモチベーションがない…と言っていたのと比べると被害総額も桁違いで、隔世の感が。
一方、
まあ中学生くらいなら普通にできそう#nagoyasec
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
IT 空間を悪用した詐欺などの首謀者が中高生、みたいなことは 10 年ぐらい前でも(数は多くないものの)あったような気がします。
そして内部統制の話、「いまどきの詐欺は『被害者を詐欺に加担させる』やり口」なので「身内を疑いたくないから監視しないのではなく、身内を犯罪に巻き込まない(意図しない形で加担させない)ために監視しよう」という話には納得しました。
とはいえ、
「社員を疑うのは気が引ける」みたいなやつ、人が見張らずAIで検出させることで心理的抵抗感を軽減できそう#nagoyasec
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
やはり人間がやりたくないことを AI に任せることも必要かな?と。
中部電力長谷川さん「重要インフラのセキュリティ」
長谷川さんより「重要インフラのセキュリティとは?」#nagoyasec pic.twitter.com/3ZsieHd4zs
— まっちゃだいふく (@ripjyr) 2025年8月30日
今は発送電分離などで送配電事業部門と販売事業部門が分社化されていますが、依然として発電事業向けの重要インフラを持つ中部電力のセキュリティについてのお話でした。
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
50Hz / 60Hz の話からスタート。中部電力は 60Hz 地域ですね。
(発電所が「越境」した場所にあったりしますが)
サプライチェーン攻撃とソフトウェアサプライチェーン攻撃はちゃんと区別してほしい…と思って聞いてたら今回の話にはハードウェアサプライチェーン攻撃まで出てきた#nagoyasec
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
やはり重要インフラですね。
「緊急」「重要」で区分しちゃうとうまく分類できる人あんまりいないのでは?と思ったり#nagoyasec
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
「セキュリティ対策は緊急性と重要性で分類して、『緊急かつ重要』なものから順に対応すべし」という話がありましたが(それはそう)、人間のほうに「緊急性」と「重要度」をうまく分類できないバグがありがちな気がします。
「締め切り直前の仕事」は緊急性は高そうだけどそれだけでは重要かどうか分からない(けど多くの人は直感的に重要だと認識しがち)
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
そして APT 攻撃ですが、
むかしは気づくまで2年くらいかかってたはず
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
(2〜3年前くらいだとようやくその半分)#nagoyasec
流石に近年は発見までの期間が短縮されているようです。
(1 年掛かっていて「短縮」というのもちょっと違うかもしれませんが)
電力系だと需要と供給をバランスしないと停電しちゃうからいろいろ大変そう
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
(事故ったときのための非常用系統とか)#nagoyasec
このあたりで IT(情報技術)と OT(運用技術)の違いとそれぞれのセキュリティの話が出てきましたが、OT では IT で実現可能な効率性重視の設計がしづらかったりなど、勝手が違う感じがしました。
トヨタ自動車寺澤さん「企業におけるセキュリティ教育・AIセキュリティ対策について」
こちらはほぼ全編オフレコでした。
(「オフレコ」というワードを聞き逃していたのでうっかり X にポストしそうになりましたが…)
LLMと生成AIのOWASP Top 10https://t.co/nK465olKN7#nagoyasec
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
最近この Top 10 は身のまわりでよく話に出てきます。
まあ外部漏洩をチェックするのにうっかりエゴサしちゃう人たちも昔からいる(そしていなくならない)からなあ
— hmatsu47(まつ) (@hmatsu47) 2025年8月30日
(注:講演とは無関係な話)#nagoyasec
「LLM で情報漏洩」は確かに気をつけないといけないけど、その前に気にすべきこともあるのでは?感が。
今回は(申込時点では)すでに懇親会の枠が埋まっていたのと前後のスケジュールの関係で本編のみの参加となりました。
久々の名古屋情報セキュリティ勉強会参加で、昔(といってもせいぜい 10 年くらい前ですが)を思い出しました。
