本ブログシリーズでは、米国サンフランシスコのモスコーニセンターにて行われた、RSAカンファレンス2025(正式名称: RSAC 2025)にて示された、サイバーセキュリティ業界の最新情報などについて解説します。
第一弾である本記事では、RSAC 2025の概要や弊社コンサルタントが見聞きした情報、またそれらを踏まえた洞察をご紹介します。
※本稿の内容は各講演の内容について筆者の知見を基に見解や解釈を加えたものであり、必ずしも内容の正確性を保証するものではありません。予めご了承ください。
RSAカンファレンス 2025のイベント概況
RSAカンファレンスは主にサイバーセキュリティに関する、世界で最も大きく影響力のあるイベントやそのコミュニティを指し、今年のイベントは4月28日~5月1日の4日間にて、アメリカ サンフランシスコのモスコーニセンターで開催されました。今年は730名以上の講演者による450以上のセッション(講演)と650社を超える企業ブースの展示が行われました。34回目の開催となる今年のRSAカンファレンスには、史上最多となる約44,000名が訪れました。
RSAカンファレンスの会場であるモスコーニセンター
RSAカンファレンス 2025 のテーマ
今年のカンファレンスのテーマは 「Many Voices. One Community. (邦訳: 多様な声、一つのコミュニティ)」でした。このテーマでは、多様な視点や強みを持つコミュニティが一つにまとまって協力し合うことを強調しており、サイバーセキュリティにおけるリスクや脅威に互いを高めあいながら団結して対抗していくことの重要性を示しています。
RSAカンファレンスのエグゼクティブ・チェアマンであるヒュー・トンプソン氏は、「このテーマは、RSA Conference の本質を表している」と述べており、サイバーセキュリティ分野におけるコミュニティの重要性と参加者同士の交流の促進について何度も強調しています。
同氏の基調講演では次の点が強調されました。
- 攻撃者によるAIの活用で攻撃手法が劇的に変化している。また各国の規制の未来が不確定な時代だからこそ、コミュニティとして活動する必要がある。
- 2025年に最も影響力のあるトレンドはAIであり、AIがサイバーセキュリティの状況を大きく変える可能性がある。
- 2026年には、AI主導のアプリケーションセキュリティとLLM(Large Language Model)に対する敵対的攻撃が主要トレンドとして予測される。
RSAカンファレンス エグゼクティブ・チェアマンのヒュー・トンプソン氏の基調講演を待つ聴衆
RSAカンファレンス 2025 で最も注目されたトピック
RSAカンファレンスでは各セッションにトピックが一つ以上設定されますが、今年のセッションで最も言及されたトピックは「AIとセキュリティの融合(Intersection of AI & Security)」でした。また、このトピックの指定がないものも、実際には AI についての言及のあるセッションばかりで、もはやAIの活用やそれによる脅威が前提となっている雰囲気を実感しました。
実際に、セッションだけでなくブース展示においても、LLMを含むAIの活用や、それによるセキュリティリスクなどについて、必ずと言ってもいいほど言及されていました。
注目すべきセッション
RSAカンファレンス 2025のテーマ”Many Voices. One Community.”に沿ったセッション
冒頭で紹介したRSAカンファレンス 2025のテーマに沿ったディスカッションベースのセッション「 When Things Go Boom! Your Supply Chain Risk(邦訳: インシデントが発生! その時、サプライチェーンリスクは!)」に参加しました。AIに関連した製品を導入する際には、そのセキュリティリスクの評価やそれが絡むインシデントの対処には、多数の部門を巻き込んで準備する必要があると強調されていました。以下にその概要を紹介します。
Session Summary:
- サプライチェーンセキュリティリスクに関するワークショップ型の講演にて参加者が議論し、講師が講評した。
- 参加者は発注者(投資事業会社)のセキュリティ部門、法務部門、製品開発部門、コンプライアンス部門、事業部門などに割り当てられ、架空のAIツールをお客様が利用するシステムに導入するというシナリオを通じて、サプライチェーンリスクの評価、対策立案、インシデント対応までの流れにおける、考慮事項や必要な連携事項を整理した。
- 講師や参加者に含まれる弁護士や経営者などから、それらの立場に基づいた発言や議論がなされた。
Key Takeaways:
- 生成AIを活用する製品やサービスは、従来の3層(プレゼンテーション層、アプリケーション層、データ層)に加え、モデル層に関する考慮も必要になる。そのため、生成AIを活用した製品の導入時や導入済みのサービスに生成AIを用いた機能が組み込まれる場合には、モデル層を考慮したリスク評価やインシデント対応手順の検討が必要になる。
- モデル層の追加による主な検討事項は、ビジネス部門による利用者への説明責任やモデルの限界、法務部門による知的財産の侵害や学習データの適法性、広報部門によるFAQの拡充などが挙げられる。
RSAカンファレンスのテーマに基づくセッションで用いたパネルと会場
セキュリティコンサルタントが厳選したセッション
当社のセキュリティコンサルタントが日々のご支援や新サービスの開発を行う中で、お客様や自社のコンサルタントにとって有益だと考えられるセッションを厳選しました。それらをまとめると、以下の5カテゴリとなります。
- セキュリティリーダーシップと戦略
- ガバナンス・リスク・コンプライアンス
- 脅威情報・分析・対策
- インシデント対応と組織能力
- キャリア・育成
これらの詳細は次回以降のブログにてご紹介します。
セッションに参加して得られた知見
RSAカンファレンスのセッションから得られた知見や示唆を、以下に抜粋します。
CISO(最高情報セキュリティ責任者)のセキュリティリーダーシップと戦略
- サイバーセキュリティの戦略を「ITの計画」ではなく、組織のビジョンとミッション及びビジネス戦略と連動した、「Dynamicな意思決定の基盤」として捉えなおすべきである。
- セキュリティ報告には、過去のデータよりも将来の見通しとリスクの変化を盛り込むことが重要である。
- 日本の企業において、セキュリティをIT部門内に閉じた問題として経営から見過ごされやすい現状がある場合、CISOを経営層に近いポジションに配置することが、セキュリティを事業リスクとして適切に管理するために中長期的に有効である。
ガバナンス・リスク・コンプライアンス
- セキュリティポリシーと実際の運用には多くの場合ギャップが存在するため、ポリシーとプロセスのそれぞれの成熟度(ポリシーや手順書に対する例外の少なさなど)を分けて評価することでリスクを特定できる。
- サードパーティとの責任区分の明確化には、A.N.C.H.O.R(合意された測定指標、明確な範囲、明確な責任、データ管理要件、運用詳細、リスク特定)原則に基づく共有責任モデルの適用が推奨される。
- 昨今顕著になっている偽装就労からの内部侵入のリスクに対処するために、対面による実在性の確認のステップを採用プロセスに適切に取り入れることが推奨される。
脅威情報・分析・対策
- 一流のハッカーであっても、基本的なオペレーションセキュリティ(OpSec)の欠如から自身の特定に至る痕跡を残しているという事実を示しており、裏を返すと日本企業においても一般従業員やIT担当者に関わらず適切なOpSecの遵守が重要となる。
- インシデントの契機のうち人的要素が60%を占めるため、標的型メール対策訓練を開始・継続すべき。(訓練実施組織はフィッシングメールの報告率が 21%、未実施は 5%)
- セキュリティ監視におけるAIの活用(プロセスの自動化、脅威インテリジェンスへのAI活用など)を企業として推進し、より高度な脅威検知と自動対応を実現するための情報収集やツール導入を検討することが重要となる。
インシデント対応と組織能力
- アタックサーフェスを減らすべく、不要なUSB/Wi-Fi/Bluetoothのポートを遮断し、ネットワークやアプリケーション、IDをセグメント化することで、1回の侵害だけでは全てのアクセスを与えない実装が推奨される。
- セキュリティ文化を、ブランド(一貫したメッセージ)・儀式(繰り返される行動習慣)・社会資本(信頼と共感)を通じて醸成することが重要である。
- 重要インフラ企業が効果的な防衛戦略を立案するためには、まずは自社の影響力が自国の経済的や軍事的な重要性にどの程度寄与しているかの影響力を評価し、その結果から自国から提供される支援を調査するとよい。
キャリア・育成
- サイバーセキュリティ分野で求められる能力は多様であり、単なるギークではなく、ビジネスや組織を理解し、他者と効果的にコミュニケーションできる人材が重要である。
- 日本の企業がサイバーセキュリティ人材の採用や育成を行うには、技術スキルの有無だけでなく、幅広いスキルや学習意欲を評価基準に取り入れることが中長期的に求められる。
- 技術者個人としては、自身の強み(技術、ビジネス理解、コミュニケーションなど)を明確にし、それを適切にアピールする準備(履歴書や職務経歴書、LinkedInプロフィールの見直し)を短期的に行うとよい。
注目を集めたブース展示
ブース展示の全体的な傾向
今年のブース展示において、AIを活用したセキュリティソリューションが多数を占めました。中でも、脅威検知や分析プロセスへのAI技術の組み込みについて、特に強調される傾向が見受けられました。AIの活用に加え、別製品・サービスとの高い連携性とそれによる対処の省力化や高速化もまた、共通して強くアピールされておりました。今後はエージェントAIが組み込まれ、さらなる効率化が行われると見込まれます。
別の観点では、訪問者にノベルティを配布しているブースは人混みが続くところも多かったように見受けられました。ノベルティにはモバイルバッテリーやUSBメモリなどの電子機器ではなく、シールやTシャツ、帽子などが大多数を占めていました。
NRIセキュアのブース
今回のカンファレンスでは、NRIセキュアもブースを出展していました! 現地の企業の方をはじめ、日本から来場された方々、学生の方など多くの方にお立ち寄りいただきました。ブースの写真を撮影される方も数多く見受けられました。
NRIセキュアが出展したブースにてデモを行っている様子
今回、北米支社のサービスに加えて「Secure SketCH[1]」をブースで展示しましたが、日本企業が自社サービスを展示していることに対して、来場者からは多くの関心の声をいただきました。また、海外ベンダーに所属している日本人の方々にも多くお立ち寄りいただきました。会話の中では「日本の企業がなぜこのカンファレンスに出展しているのか」という質問も多く、当社の歴史や成り立ちについて説明する機会がありました。北米支社のサービスでは、特にペネトレーションテストサービスへの関心が高く、こちらのサービスを詳細に聞きたいという来場者が多かったのが印象的でした。
加えて、ブースに展示していたSecure SketCH公式マスコットキャラクターの「アンスケくん[2]」やNRIセキュアのグループ会社UBセキュアのオリジナル脆弱性キャラクター「ゼイジャッキー[3]」のシールも来場者の関心を引き、多くの方に注目していただけました。
「日本に行きたい、行ったことがある」「これから行く予定だ」と言ってくださる現地の方も多く、日本に対する関心、好意的な印象を実感しました。
次回予告
次回は「RSAカンファレンス2025における最新動向レポート(2)CISOのセキュリティリーダーシップと戦略&ガバナンス・リスク・コンプライアンス編」にて、「CISO(最高情報セキュリティ責任者)のセキュリティリーダーシップと戦略」と「ガバナンス・リスク・コンプライアンス」に関する主要セッションの詳細と対策について解説します。ご期待ください。
[1] https://www.nri-secure.co.jp/service/solution/secure-sketch
