🎊

イベント開催記「第3回 セキュリティ若手の会(ワークショップ&交流会)」

に公開

はじめに

本稿では、2025年8月2日に開催された「第3回 セキュリティ若手の会(ワークショップ&交流会)」について、公式ブログでご紹介します。

「セキュリティ若手の会」とは

セキュリティ若手の会」とは、将来セキュリティエンジニアを目指す学生や、セキュリティ業務に携わる若手エンジニアのためのコミュニティで、セキュリティに関する技術や業務内容、進路やキャリアについて、直接話し合える機会を提供しています。

本コミュニティは、2024年10月に asu_paramorioka12 によって設立され、設立当初からSNSで大きな反響をいただきました。

https://x.com/sec_wakate/status/1842453657184596140

本コミュニティの参加対象者は以下の通りです。

  • 学生:15歳以上で、セキュリティ技術や職種に興味がある方
  • 社会人:新卒1〜3年目で、セキュリティ関連業務に従事している方

詳しい情報は、以下ののWebページでもご確認いただけます。

https://sec-wakate.notion.site/119382dfaec98058902bec703686c43c

幹事メンバー (第1期生)

  • asu_para (@ultra-supara)
    • ユーザー企業で働く24卒セキュリティエンジニア
  • morioka12 (@scgajge12)
    • セキュリティベンダー企業で働く24卒セキュリティエンジニア
  • hikae (@0xhikae)
    • ユーザー企業で働く23卒セキュリティエンジニア
  • pizzacat83 (@pizzacat83b)
    • セキュリティベンダー企業で働く24卒ソフトウェアエンジニア

過去のイベント開催記

https://zenn.dev/sec_wakate/articles/acd5935f189460

https://zenn.dev/sec_wakate/articles/3891a59ab0b4fb

第3回イベント「ワークショップ&交流会」

第3回は、初の試みとしてワークショップを開催しました。

https://sec-wakate.connpass.com/event/357530/

今回のワークショップでは、以下の2つのコンテンツを実施しました。

  • 1:LLMセキュリティの攻防入門 〜ガバナンスと脅威対策〜
    • 提供:幹事(asu_para, hikae)
  • 2:オフェンシブセキュリティ入門 ~攻撃者目線でセキュリティ対策を考えよう~
    • 提供:株式会社エヌ・エフ・ラボラトリーズ

参考までに、今回の参加者に関する情報は、以下のようになります。

今回の参加者は、学生と社会人合わせて約50名で、両枠とも定員を超えるお申し込みをいただきました。

スポンサー企業・会場提供

第3回イベントは、以下の2社にスポンサーおよび会場提供としてご協力いただきました。心より感謝申し上げます。

  • ゴールドスポンサー
    • ドコモグループ(株式会社NTTドコモ/NTTドコモビジネス株式会社)
  • 会場提供
    • IPA 独立行政法人 情報処理推進機構

WS1: LLMセキュリティの攻防入門

ワークショップ1では、幹事メンバーであるasu_paraとhikaeによる「LLMセキュリティの攻防入門 〜ガバナンスと脅威対策〜」を担当しました。

本講座では、前半で国内外の動向を踏まえながら、組織における生成AIとの適切な向き合い方、安全に活用するための実践的な判断力を養います。さまざまなサービスが乱立する中、利用したいサービスが本当に安全なのかどのような観点で実際のセキュリティエンジニアが判断しているのかを学びます。

後半では、AI SaaSを利用する、APIを用いて開発するという2つの軸でどのような脅威が存在するのか、体験的に学びます。我々開発者にとって身近なAIシステムであるGitHub Copilotを題材に、OWASP Top 10 for LLMに基づいた、プロンプトインジェクション、機密情報の漏洩、過度な自律性などの脅威を実際に手を動かしながら学びます。脅威モデリングを通した攻撃者の視点を実際に体験することで、効果的な防御を身につけます。目まぐるしく情勢が変化するLLMセキュリティについて、攻守両面から体系的に学ぶ講座です。

参加者からは「セキュリティの観点から生成AIを深く考える良い機会になった」「LLMとの向き合い方を見直すことができた」といった感想が寄せられました。

参加者からの感想(一部紹介)

普段利用している生成AIサービスについて、これまでセキュリティの観点から深く考える機会がなかったため、今回のワークショップは非常に多くの学びがありました。

今までLLMをコーディングなどを筆頭になんとなくで使用していたので、今回のワークショップで送信されているのリクエストを見れたりして、LLMとの向き合い方を見直すことができたのは非常に良かった。

LLMセキュリティについて、普段見ていない観点からLLMの使い方からLLMセキュリティについて考えることができてとても面白かった。

技術的な内容だけでなく、生成AIサービスの最新動向やAIシステムの脅威モデリングなどについても考える機会となり、とても興味深かったです。

一番知りたかった話題であったため、ハンズオン・講義ともに非常に嬉しい講座でした!資料もこれでもかというほど充実しており、無料にも関わらずとても時間をかけてくださったことが伝わり、感謝しています!!

講師を担当した幹事メンバーのコメント

初めてワークショップを担当し、環境構築が丁寧ではなかった・改善の余地ありといった反省などもありながらも皆様のご協力のおかげでワークショップを完遂することができました。8割以上の参加者の方からは好感触をいただくことができ、大変励みになっている次第です。

LLMアプリケーションのセキュリティやそれらのオフェンシブ領域に関わる部分は2-3年前から活発にセキュリティ業界で取り上げられている一方で、社会に生成AIを「安全に」浸透させていくというテーマ・課題に対しては、それぞれの組織のITに関する予算や個社のノウハウに限られており、そしてセキュリティエンジニアが世の中で安全にAI toolを使ってもらうためのノウハウをまとめて公開するといった取り組みは少ないように感じられていました。また、AI Agentに関する安全性のためのワークショップはおそらく国内に例がなく初めての取り組みになりました。

LLM SaaSを使いこなすといった視点でのセキュリティにおいても個人情報保護法をはじめとする法令等を含めた安全性のための「共通する考え方」があり、それに付随して個別のサービスでは設定や使い方の観点で具体的にどのようにすれば良いのかということを考えるべきで安全性のための戦略や思考は構造化されていることを知っていただきました。

また、ハンズオンとして手を動かす部分では通信の観点などよりプリミティブな部分に立ち返って攻撃の実施・検知などを行いました。

LLMの「通信の監視」といったら、一見ブルー寄りの内容なのかなと思われるかもですが、本ワークショップは「脅威モデリング」に基づいた考え方を有しているためレッド・ブルーどちらのサイドにとっても役に立ち応用可能なパープルチーミングなものであると考えています。

例えばバグバウンティプログラムにおいて、プロンプトインジェクションが発生した場合に

  • トリアージの動作検証(事業者サイド)
  • レポートを書く際の動作検証など(ハンターサイド)

の両者の立場で活用することが可能です。

今後、若手の会としても「エンタープライズ環境でのAI/LLMのセキュリティ」のテーマに注力して参ります。関連内容のLT採択件数も増やして参ります。こちらのワークショップは様々なセキュリティカンファレンスで大人向け改良版としてCFPを提出していきたいと考えていますし、アウトプットやコンテンツの一般拡充の戦略も着々と進めて参ります。

今後ともよろしくお願いいたします。

WS2: オフェンシブセキュリティ入門

ワークショップ2では、株式会社エヌ・エフ・ラボラトリーズの保要様・半野様・渡邉様にご登壇いただき、「オフェンシブセキュリティ入門 ~攻撃者目線でセキュリティ対策を考えよう~」を担当していただきました。

本ワークショップでは、初歩的なハンズオンを通して攻撃者視点でシステムのセキュリティを評価することを学び、その結果からセキュリティ対策を考えることで、オフェンシブセキュリティのエッセンスを習得します。

参加者からは、「攻撃者目線で考える重要性を認識できた」「ハンズオン後の考察プロセスに学びがあった」といった感想が寄せられました。

参加者からの感想(一部紹介)

攻撃者目線でのセキュリティについて大変勉強になりました。

今回のワークショップは、攻撃を実際にやってみるだけでなく、その要因と対策を考察するプロセスにも学びがあったと思いました。

ハンズオンが終わった後の、脆弱性の原因と何が攻撃側で辛かったかの問いが、考えさせられるポイントとして印象に残った。

企業側の事情ではなく、攻撃者にたって考えることの重要性と、攻撃者目線で嫌なこと(緩和策)と、抜本的対策などを分けて適切に評価することの重要性を認識できました。

Hack the boxやTry Hack meに取り組む際には、マシンを攻略するために考えられる弱点を探すだけだったが、Wiresharkを見て自分がどのような操作を行っているのかを考えるという動作が新鮮だったので面白かった。

また、株式会社エヌ・エフ・ラボラトリーズが開発中のセキュリティ学習プラットフォーム「Purple Flair」については、以下の公式Webページをご覧ください。

https://info.purple-flair.nflabs.jp/

会場提供による講演1

会場提供による講演1では、IPAデジタル基盤センター デジタルエンジニアリング部 AIシステムグループ(AISI)研究員の桐淵様にご登壇していただき、AISIの取り組みやAIセーフティとセキュリティの概観についてお話ししていただきました。

ゴールドスポンサーによる講演2

ゴールドスポンサーによる講演2では、NTTドコモビジネス株式会社 イノベーションセンターテクノロジー部門Offensive Security Researcher/RedTeamの二瓶様にご登壇していただき、セキュリティエンジニアとしての業務紹介をお話ししていただきました。

会社紹介

会社紹介のセクションでは、各社におけるセキュリティエンジニアの業務内容、採用情報の提供、PR情報などを話していただきました。

  • ゴールドスポンサー:ドコモグループ(株式会社NTTドコモ/NTTドコモビジネス株式会社)

  • 会場提供:IPA 独立行政法人 情報処理推進機構

また、IPA様からは主に未踏事業に関する紹介をしていただきました。

交流会

交流会では、本コミュニティが大切にする「直接交流」と「情報交換」の通りに、ご参加いただいた方々には活発な交流が行われていた印象でした。

また、今回も名札の紐の色を属性ごと(幹事/学生/社会人/スポンサー)で変えていたり、名札にハンドルネームとアイコンを付けたものを用意していたため、SNSでの認識を元に参加者同士が交流したりもしていました。

参加者の声

参加者からの感想フォームでは、「セキュリティ若手の会」が掲げる「セキュリティに携わる学生や若手向け」として、第3回イベントも全体的にとても満足度の高いイベントとして、評価をいただくことができました。

学生A
様々な背景を持つ方や幹事の方とも話せて非常にありがたかったです!

学生B
同年代の人との交流もできてとてもよかったです。オフラインでここまで多くのセキュリティに興味を持った方達とお話しできる機会はないため貴重な機会をありがとございました。

社会人C
本当にやる気と技術力のある大学生、若手が多く居ることが分かり、すごく刺激になった。

社会人D
セキュリティに興味関心のある年の高い方と話せる機会というのはそこまで多くないため、非常に楽しい時間を過ごすことができました。

Xポストまとめ

https://posfie.com/@sec_wakate/p/lthAOHt

最後に(次回予告)

本稿では、2025年8月2日に開催した「第3回 セキュリティ若手の会(ワークショップ&交流会)」についてご紹介しました。

次回は、第4回イベントを11月頃に都内で開催する方向で検討しています。

詳細については、9月頃に公式Xアカウントで告知いたしますので、ぜひフォローしてお待ちください。

https://x.com/Sec_Wakate

スポンサーにご興味のある方向け

「セキュリティ若手の会」では、イベントごとにスポンサー企業を募集しています。

「スポンサーに興味ある企業向けの資料」もご用意しておりますので、ご興味をお持ちの企業様は、以下のフォームよりご連絡ください。募集開始の際に優先的にご案内いたします。

https://forms.gle/L59BAgJnFoyU5Cg38

※個人によるスポンサーは現在受け付けておりません。
※会場スポンサーは、東京周辺に限らず、関西周辺などでも会場候補として歓迎します。
※会場は、最低50名以上収容可能な会場を想定しています。

https://x.com/sec_wakate/status/1901931162198810936

お問い合わせ

運営へのご質問やご相談は、以下のフォームよりお気軽にご連絡ください。

https://forms.gle/nVtvf4hSftmCh6749


最後までお読みいただきありがとうございました。

Discussion