「セキュリティフォーラム2025」のトピック総まとめ 有識者とITベンダーの「視点」を徹底レポート

PR／ITmedia

PR

　2024年もサイバーセキュリティ関連のさまざまなニュースがあった。大きなセキュリティインシデントが話題になったかと思えば、クラウドやAIなどを想定したセキュリティ対策が注目を集めるなど、日々アップデートされる最新情報のキャッチアップに追われたという読者もいるだろう。

　「目まぐるしく変わるセキュリティのトピックを網羅的に押さえたい」「いま検討すべきセキュリティソリューションを知りたい」――こんな課題を抱える人に向けたセキュリティイベント「ソフトバンク セキュリティフォーラム2025」（2025年2月18〜21日）が開催された。「共に歩もう――制約ではなく“実現”し続けるセキュリティ」というテーマの下で、有識者やセキュリティベンダーが最新動向を解説した。その模様をレポートする。

目次

• 1日目：セキュリティ動向の現在地
• 2日目：セキュリティ対策の現実解
• 3日目：セキュリティ対策の効果を高める方法
• 4日目：セキュリティインシデントへの備え
• まとめ：制約ではなく“実現”し続けるセキュリティ

1日目：セキュリティ動向の現在地

　ランサムウェア、不正アクセス、情報漏えい――セキュリティに関する脅威やインシデントが報道されると特定の話題に注目が集まりがちだが、「木を見て森を見ず」と言うようにセキュリティの全体像をつかむことが大切だ。1日目の基調講演に登壇した内閣サイバーセキュリティセンターの村田健太郎氏（参事官）は、「サイバー攻撃が巧妙化、複雑化している」とした上で、日本を取り巻く状況や政府の取り組みを紹介する。

ソフトバンク×SBテクノロジーで「No.1セキュリティプレイヤーを目指す」

　セキュリティを巡って苦境に立たされる企業がある中、ソフトバンクが「信頼できるセキュリティ」の実現に取り組んでいる。従業員の約70％がエンジニアだという“技術集団”のSBテクノロジーを完全子会社化し、クラウドセキュリティの導入支援やマネージドセキュリティサービス（MSS）に強みを持つ同社の知見を生かして企業のセキュリティ対策を支援するという。

ソフトバンクの中野博徳氏（法人プロダクト＆事業戦略本部 副本部長）

　ソフトバンクはサイバーセキュリティを企業のDX基盤の一つに位置付けて、クラウドからエンドポイントまで全方位的にセキュリティソリューションを提供している。セキュリティ対策のプロセス別の支援は、上流工程におけるリスク可視化や現状把握に始まり、下流工程では運用を支援するMSSやインシデント対応の支援などを網羅的にサポート。同社の中野博徳氏は「特に通信事業者の強みを生かしてネットワークとセキュリティを包括的に提供できる点が評価されています」と説明する。

SBテクノロジーの金澤謙悟（執行役員 サービス統括 セキュリティ＆テクノロジー本部長 兼 CDO 兼 CISO）

　SBテクノロジーはNISTの「サイバーセキュリティフレームワーク」に沿った豊富なセキュリティソリューションを提供しており、中でもMSSが特出している。総合的な支援体制を持つソフトバンクとSBテクノロジーが協力する理由について、SBテクノロジーの金澤謙悟氏は次のように話す。

　「DX推進やセキュリティ対策の支援において人材不足が課題です。両社の強みを組み合わせて人材不足を解決し、新しいサービスや価値を提供することがお客さまにとって何よりも重要なことだと考えています」

　両社が目指す“ソフトバンクセキュリティ”について2人がそろって強調したのが包括的な対策の重要性だ。サイバー攻撃者はクラウド、エンドポイント、ネットワーク、従業員のID情報などクロスドメインで攻撃を仕掛けてくるので、守る側が要所要所で対策しても効果が上がりにくいと中野氏は指摘。「トータルで対策することが重要です」と説明する。

　金澤氏は「日々変化する環境の中で、どの企業にとっても最適なセキュリティ対策がどうあるべきかを見定めるのは悩ましい点です」とした上で、クラウドや生成AIなどの新しい技術の導入に合わせたセキュリティ対策も支援しながら「業界トップレベルのソリューションと価値を提供するNo.1セキュリティプレイヤーを目指します。ご期待ください」と結ぶ。

ソフトバンクとSBテクノロジーそれぞれの強み（提供：ソフトバンク）

生成AIセキュリティの有効策は

ソフトバンクの田頭直樹氏（法人プロダクト＆事業戦略本部 セキュリティ事業第1統括部 セキュリティデザイン推進部 プリセールス課 兼 セキュリティBD課 課長）

　新しい技術のセキュリティ対策として、ソフトバンクの田頭直樹氏は生成AIをテーマに講演。生成AIの活用に期待が集まる一方で、ガバナンスや情報漏えいなどの懸念がある。田頭氏は「業務上のリスクを把握した上で、利便性と対策の線引きをする必要があります」とアドバイスする。

　生成AIサービスを使うとき、裏側でさまざまなITシステムに接続している。そのリスクを適切に抑えることが重要だ。AIサービスに接続させる社内データの汚染や漏えいを防ぐには「データセキュリティポスチャー管理」（DSPM）が効果を発揮する。悪意のあるプロンプトの入力によるトラブルを防ぐには「LLMファイアウォール」とID管理が有効だ。AIシステム全体を守る「AIセキュリティ体制管理」（AI-SPM）の導入を検討するのもいいだろう。シャドーIT化したAIサービスがないかどうか検査するツールも役立つと田頭氏は説明する。

1日目のセキュリティトピック

　イベント1日目に登壇したサイバーリーズンは、リスクマネジメントの考え方に基づいたリスク評価と対策について説明。サイバートラストは各種ガイドラインで言及されている「SBOM」（Software Bill of Materials）の作成方法を紹介する。タレスDISジャパンはDDoS攻撃の効果的な対策について、Zimperiumはモバイルアプリケーションのセキュリティ対策について解説する。

2日目：セキュリティ対策の現実解

　「有名な大企業ならまだしも、自社はサイバー攻撃を受けないだろう」と考えている企業は注意してほしい。対策を怠り、脆弱（ぜいじゃく）な企業は企業規模を問わず狙われる可能性がある。2日目の基調講演に登壇した神戸大学の森井昌克氏（名誉教授）は「全ての企業にとって実現可能な対策は必ず存在する」として、対策の指針を提示する。

1日に160億件のセキュリティイベント　ソフトバンクの対策

ソフトバンクの飯田唯史氏（常務執行役員 兼 CISO）

　ソフトバンクは、セキュリティ対策の取り組みを自社事例として積極的に発信している。同社が管理する業務用のPCは約6万台、スマートフォンは約4万台を数える。2023年度に同社を襲ったセキュリティイベントは1日当たり約160億件に上り、フィッシングメールは1日当たり約8万件も送られてくるという。ソフトバンクのセキュリティ対策について、同社の飯田唯史氏が紹介する。

　セキュリティ対策の中核の一つが「Zscaler」だ。不審な通信トラフィックを検知、ブロックするなど安全なWebアクセスやリモートアクセスを実現する。ソフトバンクが2023年に直面したセキュリティインシデントの約60％が「ポリシー違反のSaaS利用」に起因するもので、SaaSのアクセス制限にZscalerを利用。未許可のファイルアップロード操作を月平均25件に抑えるなどの成果を挙げたと飯田氏は話す。職種や業務内容に応じて従業員ごとに細かくアクセス権限を付与することで、社内からのクレームを0件に抑えたこともポイントだ。

2日目のセキュリティトピック

　ソフトバンクは飯田氏の講演の他に、中小企業のセキュリティ対策に優先順位を付けて解説。Okta JapanはID管理によってセキュリティと利便性を両立させられると訴える。Omnissa Japanもセキュリティと働きやすい環境の両立について説明。三井物産セキュアディレクションはペネトレーションテストの事例を、日本プルーフポイントは内部不正対策の事例を紹介する。

3日目：セキュリティ対策の効果を高める方法

　セキュリティ対策をしていたのに甚大な被害に遭った――こんなケースが増えている。3日目の基調講演に登壇した大阪大学の猪俣敦夫氏（教授、CISO）は、その背景や脅威インテリジェンスの重要性について解説する。

「組織の脆弱性」を低減する「CSIRT」

SBテクノロジーの北村達也氏（プリンシパルアドバイザー、一般社団法人日本シーサート協議会 理事長）

　通報を受けた消防隊が現地に駆け付けて消火活動をするように、サイバーインシデント発生時に影響の拡散防止や事態の収拾を担う専門チームが「CSIRT」です――こう例えるのは、SBテクノロジーの北村達也氏だ。日常的に訓練や予防活動をしている点も消防隊と同じだ。

　CSIRTのミッションは「ダメージコントロール」だと北村氏は話す。インシデントの被害を最小限にするために、問題を一刻も早く発見して迅速に意思決定を下し、素早く対応することがダメージコントロールを成功させるポイントだ。事態を早く収拾すればするほど被害を局所化できる。

　「サイバー脅威に対して私たちができることは『脆弱性をなくすこと』です。『組織の脆弱性』を少なくするためにCSIRTが求められています。インシデント発生を前提としたサイバーレジリエンスはもちろん、平時からの準備が大切です」

CSIRTは消防隊に例えられる（提供：SBテクノロジー）

3日目のセキュリティトピック

　イベント3日目は、SBテクノロジーがクラウドセキュリティ対策で注目される「CSPM」（Cloud Security Posture Management）について解説。ゼットスケーラーはゼロトラストセキュリティのポイントを詳説する。Netskope Japanは「レガシーITからの脱却」をテーマに、パロアルトネットワークスは「セキュリティトランスフォーメーション」をテーマにIT環境の変革についてアドバイス。ソフトバンクはOTセキュリティの重要性を説く。

4日目：セキュリティインシデントへの備え

　セキュリティ対策においては敵を知ることが欠かせない。4日目の基調講演に登壇した日本ハッカー協会の杉浦隆幸氏（代表理事）は、公開されている資料や情報を分析してセキュリティ対策に役立てる手法「OSINT」について解説する。

対処可能な脆弱性の50％以上は1カ月以内に悪用される

SBテクノロジーの辻伸弘氏（プリンシパルセキュリティリサーチャー）

　「『侵入前提』という言葉が当たり前になりましたが、侵入されてもいいと簡単に諦めていいわけではありません。侵入前提と言い過ぎて入り口を守ることがおろそかになっていないでしょうか」――SBテクノロジーの辻伸弘氏はこう切り出す。

　おろそかになりがちな対策の一つがセキュリティパッチの適用だ。辻氏は悪用が確認されている脆弱性に対するパッチがリリースされてから30日以内の適用率は約15％にとどまると指摘。「悪用されるまでにパッチを適用すればいいのではないか」という疑問に対して、対処可能な脆弱性の50％以上は1カ月以内に悪用されているという調査があると辻氏は警鐘を鳴らす。

　辻氏いわく、1年間に発見される脆弱性のうち悪用が確認されている緊急度が高いものは1％にも満たないという。この数字にどう向き合うかが重要だと言える。

4日目のセキュリティトピック

　4日目の講演セッションで、ソフトバンクはクラウドセキュリティ対策の一つである「CNAPP」（Cloud Native Application Protection Platform）の考え方を説明。日本プルーフポイントは攻撃者の手口として電子メールを取り上げて解説する。XM Cyberはセキュリティリスクを継続的に監視する「CTEM」（Continuous Threat Exposure Management）を、日本マイクロソフトはゼロトラストセキュリティの次の一手を紹介する。

共に歩もう――制約ではなく“実現”し続けるセキュリティ

　ソフトバンク セキュリティフォーラム2025のテーマは「共に歩もう――制約ではなく“実現”し続けるセキュリティ」だ。ソフトバンクとSBテクノロジーの協業によって生まれる価値に期待が膨らむ。企業とセキュリティベンダーが共に歩むことで実効性が高いセキュリティ対策を実現できるはずだ。セキュリティ対策に取り組むときは、ソフトバンクとSBテクノロジーに依頼するというのも手だ。課題解決を親身に手伝ってくれるだろう。

【無料オンデマンド配信】ソフトバンク セキュリティフォーラム2025

ソフトバンク セキュリティフォーラム2025は、2025年4月21日までオンデマンド配信されている。内閣サイバーセキュリティセンターの村田参事官をはじめとする基調講演も視聴可能。無料で視聴できるので、関心があるセキュリティ領域の講演だけチェックすることもできる。気軽に視聴登録してみるのがいいだろう。

• 配信期間：2025年4月21日（月）まで
• 視聴登録はこちら