こんにちは。KIYOラーニングでスタディングの開発をしている @skoda007 です。
普段の業務では開発に加えてサーバー監視などの保守も行っています。
生成AI・AIエージェントの普及も進んできた中でセキュリティ関連のニュースやトレンドをよく見かけるようになったので、セキュリティ面も今まで以上に気をつけるべきだと感じるようになりました。
そうした中で今回、このイベントが開催されることを知りました。
自社のシステムにそういった攻撃が来る前に何ができるかを知る機会だと思い、Security Days Spring 2026 Tokyoの3/27(金)に参加しました!
Security Days Spring 2026について
3/24(火)〜3/27(金)の4日間開催されていたSecurity Days Spring 2026の東京開催版です。
今回は大阪、福岡、名古屋でも別日に開催されているようでした。
詳しい内容は公式サイトをご確認ください。
会場ではセッションに加えて、展示もあり、様々な企業の方と話ができる場もありました。
セッションが始まるまでこういった場所で少し時間を潰せるのも個人的にありがたかったです。
参加したセッションの感想やセッション内で気になったワード
AIで失敗しないセキュリティ
〜「AIを」守るセキュリティ対策とは〜
■ セッション概要
■ 感想
国内外の企業で業務に生成AIの利用も進んでいるようです。
AIに関する脆弱性の報告(EchoLeakやCurXecute)も出てきているようなので、AIを使う上でのセキュリティ課題を認識した上でシャドーAI・AIエージェントの可視化、ガードレール、監査証跡(Audit Trail)など多方面で対応を進めていく必要があると感じました。
EUでは EU AI Act(EUのAI規制法) という法律も制定されているため、提供しているサービスによっては知らないうちに違反することがないようにしていく必要があるとのことでした。
■ 気になったワード
・MITRE ATLAS - AI/機械学習(ML)システムに対する攻撃者の戦術・技術(TTP)をまとめたナレッジベース
・シャドーAI - 企業が許可・管理していない生成AIやAIツールを、従業員が個人の判断で業務に利用する行為・状態のこと
・EU AI Act(EUのAI規制法) - 生成AIを含む包括的なAIの規制
AIエージェント時代のサイバーセキュリティ
■ セッション概要
■ 感想
AIエージェントがWebサイトへアクセスする機会が増えていくので、これからはWebサイトもAIが利用しやすい構成とする取り組みも必要になるかもしれません。
現状、暗号化にRSAなどを用いている部分が量子コンピュータによって解読されてしまうリスクがあり、PQC(耐量子計算機暗号:Post-Quantum Cryptography)を取り入れていく時期が近づいているようです。
■ 気になったワード
・PQC - 高性能な量子コンピュータでも解読できない、格子暗号などを基盤とした新しい暗号方式
47日へのカウントダウン
~有効期限の短縮化が招く証明書運用の崩壊を防ぐ方法~
■ セッション概要
■ 感想
398日→200日→100日→47日へ証明書の有効期限が短くなっていくことに加え、証明書更新の作業が年1回→2回→4回→8回以上と作業回数も増えていきます。
加えて、証明書更新を忘れた場合のビジネスインパクト(サービスへの接続ができないなど)は非常に大きなものになり、単純な更新忘れが重大なインシデントに直結する可能性が高いと思いました。
そうならないために今からでも段階的に自動化の仕組みづくりが必要だと感じました。
Dockerと考えるソフトウェアサプライチェーンセキュリティ
〜ビジネスアジリティと安全を両立する、持続可能なコンテナ開発の進め方〜
■ セッション概要
■ 感想
コンテナ技術を活用して脆弱性パッチやベースイメージ更新を素早く本番環境に取り込む仕組み(DevSecOps)も重要でした。
そのために、コンテナイメージを分析して脆弱性を検知し、修正する仕組みづくりや安全なベースイメージの選択が不可欠だと感じました。
コンテナイメージスキャンツールにはTrivy、Docker Scout、Sysdig Secureなどがあり、これらを使って脆弱性の検知やSBOM(Software Bill of Materials)の導入も効果的だと思います。
ベースイメージの脆弱性対応はコミュニティなどが対応してくれないと取り込みできませんが、CVE(共通脆弱性識別子)がほぼゼロのイメージ(Hardened Images)がDockerから提供されており、これをベースイメージとして利用する価値が高そうでした。
既存のLinuxディストリビューションと高い互換性もあるので、移行も比較的簡単にできるとのことでした。
■ 気になったワード
・SBOM(Software Bill of Materials) - ソフトウェアを構成するコンポーネント(OSSや外部ライブラリなど)の名前、バージョン、依存関係を一覧化したリスト
そのアクセス、本当に人間ですか?AI時代のWeb攻撃をシステム影響ゼロで可視化する技術
~WAF開発者が解説する、ログ分析の次世代スタンダード~
■ セッション概要
■ 感想
アクセスログは何かあったときに見る程度でしたが、攻撃者が情報収集のために行うリコネサンス(スキャン)にも事前に気が付くことができるので準備行動を早期発見できるのは非常に重要なポイントだと感じました。
ただ、ログの量は膨大かつ人力で確認するには無理があるのでシステム導入も検討が必要なのかなと感じました。
類似のサービスはiLogScannerが近く、それ以外にはあまりなかったとのことで、ありそうでなかったものを知れたのもよかったです。
■ 気になったワード
・リコネサンス - 本格的なウェブアプリケーションへの攻撃の前段階の探索的情報収集
港湾における情報セキュリティ対策強化への取組み
(サイバー攻撃を想定した訓練による気づき)
■ セッション概要
■ 感想
港湾で使われているシステム(TOS)がサイバー攻撃を受けた場合の被害がとても大きいものだと感じました。
訓練を実施して、関係者や有識者が集まり議論することで報告経路や報告フォーマットを明確にするなど見つかる課題もあるので、訓練をやることの重要性を再認識しました。
■ 気になったワード
・TOS(Terminal Operation System) - コンテナターミナルの荷役作業、コンテナ配置、搬出入を管理する港湾の基幹システム
まとめ
イベントに参加して様々なセキュリティリスクが潜んでいることを改めて認識することができました。
すぐに対応していくのは難しいものもありますが、何か起こってからではなく何か起こる前に対策していけるようにしたいと感じました。
KIYOラーニング株式会社について
当社のビジョンは『世界一「学びやすく、分かりやすく、続けやすい」学習手段を提供する』ことです。革新的な教育サービスを作り成長させていく事で、オンライン教育分野でナンバーワンの存在となり、世界に展開していくことを目指しています。
プロダクト
- スタディング:「学びやすく・わかりやすく・続けやすい」オンライン資格対策講座
- スタディングキャリア:資格取得者の仕事探しやキャリア形成を支援する転職サービス
- AirCourse:受け放題の動画研修がついたeラーニングシステム(LMS)
KIYOラーニング株式会社では一緒に働く仲間を募集しています