イントロダクション

サイリーグホールディングス株式会社

DevSecOpsを導入していた米国金融機関を襲った
1億件超の個人情報漏洩事件の真相と教訓

EGセキュアソリューションズ株式会社 取締役CTO 徳丸 浩氏

近年、セキュア開発の観点からDevSecOpsが注目されています。DevSecOpsは、開発（Dev）と運用（Ops）を統合し、迅速なデプロイを実現するDevOpsに、セキュリティ（Sec）の自動化を加えた手法です。

本講演では、DevSecOpsを導入しながら大規模な侵入事件を起こしてしまった事件を紹介し、その教訓からDevSecOps運用の課題と解決策について説明します。

＜講師プロフィール＞1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。2008年独立してWebアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社（現EGセキュアソリューションズ株式会社）を設立。2023年にイー・ガーディアングループのCISOに就任。脆弱性診断やコンサルティング業務のかたわらブログや勉強会などを通じてセキュリティの啓発活動をおこなっている。

開発エンジニアが実践するDevSecOps
- セキュリティを意識した自動化の取り組みの紹介

JCOM株式会社 専任部長 渡辺 一宏氏

本セッションでは、10年以上DevOpsを実践している開発エンジニアが、新たな環境の構築に際してセキュリティを意識した自動化の取り組みをどのように組み込んだか、その具体的な方法と実践例をご紹介します。

セキュリティを強化しつつ効率的な開発プロセスを維持するために意識したことや、取り組みの内容について解説します。

＜講師プロフィール＞独立系ソフトハウスで電力系統制御システムの開発からCD-ROM等マルチメディア系Windows/Mac OSアプリの開発など幅広い開発経験を経て、1998年からWeb系のシステム開発などに従事。2012年末ごろから、DevOps/CI/CDを取り入れる。現在も開発と並行して日々開発プロセスの改善を進めている。主な著書に『CakePHPで学ぶ継続的インテグレーション』（共著、インプレス刊）『Ansible徹底入門』（共著、翔泳社刊）などがある。

日本企業への実証データが示すAPIセキュリティの盲点と対策
– API特有の脅威と実践的防御策

アカマイ・テクノロジーズ合同会社
セキュリティ製品事業部 ストラテジックアカウントマネジャー 田中 晴也氏

2024年にAkamaiが買収したNoname Security社のAPIセキュリティソリューションを日本企業に対して実証検証した結果、既存の対策（WAF、API Gatewayなど）では見逃されがちなAPI特有の脆弱性・構成不備や攻撃手法が明らかになりました。

本講演では、業界ごとに顕著なAPI特有の不備や、実際に検知された攻撃の詳細を解説し、APIを狙う最新の脅威に対する効果的な防御策を共有します。APIセキュリティの実践的な知見を得たいエンジニア必見の内容です。

＜講師プロフィール＞直近10年間、EDRメーカーの日本法人立ち上げ、及び内部不正対策ソリューションの日本市場立ち上げに従事。 2024年より現職。Akamai API Securityの製品営業担当として、日本における API Securityマーケットの立ち上げを推進。

APIセキュリティリスク対策の実践 〜 APIライフサイクルを通じた継続的なアプローチ

Postman株式会社 テクノロジーエバンジェリスト 川崎 庸市氏

API活用がビジネスの基盤として浸透する中、Web APIにおけるセキュリティリスクへの対策が急務となっています。APIの安全性を確保するためには、設計段階から運用に至るまで継続的なセキュリティテストとリスク管理が求められます。

本セッションでは、組織が直面するAPIセキュリティリスクの調査結果をもとに、Postmanを活用してAPIライフサイクル全体を通じてどのようにセキュリティを確保し、持続的にリスクを管理していくのか、その実践手法を共有します。

＜講師プロフィール＞米国ジョージア大学卒業後、テック系スタートアップ、ヤフー、マイクロソフト、ZOZOにてさまざまなエンジニアリングロールに従事。2023年6月よりPostman株式会社で同社プロダクトやAPI技術の普及活動に従事。共著「プログラマーのためのVisual Studio Codeの教科書」（マイナビ出版）。

 休憩

調整中

日本最大のバグバウンティ・プラットフォーム「IssueHunt」の提供を通して見えてきた、国内におけるプロダクトセキュリティの課題

IssueHunt株式会社 代表取締役社長 横溝 一将氏

弊社は、日本最大のバグバウンティプラットフォーム「IssueHunt」の提供を行っており、急成長ベンチャー企業からエンタープライズ企業までサポートしています。その中で、プロダクトセキュリティの基準がなく、対策に悩まれている企業様の声を多数伺ってきました。

この講演では、その課題に対するソリューションとしてASPMを交えたご紹介を行います。

＜講師プロフィール＞大学在学中に福岡で当社を創業し、飲食店の注文システムやウェブサービスの受注開発に従事。2017年に上京し、世界数十万人のエンジニアが使うOSS製ツール「Boost Note」や、世界のオープンソース開発者が利用するOSS支援サービス「IssueHunt for OSS」等の開発・提供を経て、現在は国内最大のバグバウンティ・プラットフォーム 「IssueHunt」や、プロダクトセキュリティ支援サービスを提供中。ユーザビリティ関連従事者の認定資格である、HCD-Net人間中心設計専門家資格保持者。

DevSecOpsの第一歩 – どこから始め、どう進めるか？

EGセキュアソリューションズ株式会社 セキュリティコンサルタント 黒木 大志氏

DevSecOpsを全ステージで一度に実践するのは容易ではありません。本セッションでは、DevSecOpsをどこから始めるべきか、そして実践の際に気を付けるべきポイントを分かりやすく解説します。小さく始めて着実に進めるためのヒントをお届けします。

＜講師プロフィール＞前職までSESとして、さまざまなシステムの保守運用および開発に従事。その中で実効性のあるセキュリティ対策の重要性を痛感し、セキュリティ業界へ転身。 現職では、Webアプリケーションやミドルウェアの脆弱性診断に従事した後、これまでの経験を活かしてWebセキュリティに関する課題解決に取り組む。現在はセキュリティコンサルタントとして、DevSecOpsトレーニングコースの作成なども手がけている。

クロストーク

前半のセッションを受けて気になった話題を深掘っていくディスカッション。参加者の皆様からいただいた質問などに登壇者がお答えいたします。