Hack Fes. 2025
AIとハッカーとその先へ
「Hack Fes. (ハック・フェス)」は、セキュリティ・エンジニアを対象にした対面開催限定のイベントです。専門知識を学んだり、スキルを磨いたりする場であるとともに、参加者同士が直接交流できる機会を提供することを目的としています。Fes.(フェスティバル)で多くの人が集まることで生まれる「ワクワク感」や「楽しさ」を共有し、参加者とともに「お祭り」を作り上げていきます。
AIの進化は日進月歩。たった1年でも状況は大きく変わります。今年はその“先”を見据え、いま注目されている最新トピックや技術動向を取り上げていきます。セキュリティエンジニアとして「その先」へ進むための知見やスキルにも触れられます。
Call For Presentations
Hack Fes. 2025では「サイバーセキュリティ」に関するテーマで講演者を募集します。下記リンクの文章をお読みいただき、専用フォームからご応募ください(5月31日で応募を締め切りました)。
https://forms.gle/PkYBMKamVw5y3B5s9
開催概要
・名称:Hack Fes. 2025
・日程:2025年7月19日(土)
・時間:【カンファレンス】10:00〜17:40(受付開始 9:20予定)
【ネットワーキング(NW)パーティ】18:00〜19:40(開場 17:30)
・会場:秋葉原UDX
〒101-0021 東京都千代田区外神田4丁目14-1
【カンファレンス】UDX Conference(6F)
【NWパーティ】UDX Gallery(4F)
・形式:対面開催(オンライン配信は行わない)
・トラック数:メイントラック×1、セカンドトラック×1、ワークショップ×1
・募集人数:【カンファレンス】350名(予定)
【NWパーティ】150名(予定)
・参加費(税込):【カンファレンスのみ】4,000円
【カンファレンス+NWパーティ】10,000円
・事前登録:Yahoo! PassMarket にて販売中
・協賛企業:株式会社ブロードバンドセキュリティ
SCSKセキュリティ株式会社
株式会社CEL
株式会社ユービーセキュア
フューチャーセキュアウェイブ株式会社
アカマイ・テクノロジーズ合同会社
・主催・運営:一般社団法人日本ハッカー協会
・お問い合わせ:https://www.hacker.or.jp/contact-us/
タイムテーブル(開場は9:20を予定)
メイントラック(RoomA〜C):定員約230名
【ご注意】セカンドトラックおよびワークショップの定員は各回約60名となっており、先着順でのご案内となります。人気のあるセッションでは、入場制限がかかる場合がございます。なお、ワークショップは内容の都合上、立ち見でのご参加はご遠慮いただいております。あらかじめご了承ください。
セカンドトラック(Room E):定員約60名
ワークショップ(Room F):定員約60名
ネットワーキングパーティ(4F UDX Gallery TYPE N):18:00〜19:40(開場17:30)
講演概要(順不同)・講師プロフィール(敬称略)
AI隆盛の本質、第3世代AI、AIエージェント、セキュリティ応用の可能性と必然性
近年のAIの発展は特に凄まじいですが、現象や言葉だけを見たのでは、どうしてこのような発展をしているのか?何が重要なのか?どう利用するのが良いのか?限界は? などがわからないと思います。
AIそのものを研究している立場から見ると、これらは、必然的、歴史的な発展の結果であり、今のAIエージェントも、突然現れたものではありません。この背景を正しく理解することで、どのような視点で今の最新技術を利用すれば良いかが見えてきます。
現在のAIは第3世代にあり、第1世代と第2世代については、時間の関係で AIの今を理解するに必要な要点のみを説明し、第3世代に説明を集中します。
また、その中では (1)機械学習、(2)大規模言語モデル、(3)AIエージェント、それぞれについて説明します。さらに、これらがセキュリティへの応用において、どのような必然性と可能性を持つかを示します。
高木 友博(明治大学 名誉教授)
計算型AIの世界トップクラスの権威。先端的基礎研究とともに、マーケティング全体の高度デジタル化、AIのセキュリティ応用などに関する応用研究も行う。これまで、米国石油資本など国内外の企業との様々な共同研究実績とともに、また多くの企業の顧問としてDX戦略やAIプロジェクトを主導した社会実装実績を持つ。カリフルニア大学バークレー校コンピュータサイエンス学科客員研究員、松下電器産業、日本学術振興会プログラムオフィサー、明治大学理工学部教授、日本ファジィ学会会長などを経て、人工知能学会代議員、国際ファジィ学会フェロー。 工学博士。
ロボット技術と未来社会
ChatGPTなどのGenerative AIが広く使われるようになり、コロナ禍を機にサイバー空間を提供するプラットフォーム、サービスも開始されて久しい。しかし、これらのAI、サイバー空間はあくまで情報の共有と提供を主とした技術である。ロボット技術の真価はフィジカルワールドへの作用、経済活動から人々の日々の暮らしまで直接、役に立てる事だ。本講演では、サイバー・フィジカルを繋げるこれからのロボット技術、そしてAIを搭載したモビリティの事例と今後の技術展望について述べる。これからの日本の産業と技術が向かうべき一つの方向を提示し、そのグランドデザインについても触れる。
古田 貴之(千葉工業大学 未来ロボット技術研究センター:fuRo)
博士(工学)。千葉工業大学 未来ロボット技術研究センター (fuRo)所長。1968年、東京生まれ。
(独)科学技術振興機構にてロボット研究チームのリーダーを務めた後、2003年6月、fuRo設立とともに所長に就任。福島第一原発では唯一全フロア走破可能なロボットを無償で提供し、冷温停止ミッションなど数々の成果を達成。パナソニックロボット掃除機RULO(現行品)など民生品も開発する。世界で最も影響力あるデザイン賞:A'Design Awardでは最高賞Platinumを受賞(2021)。
常任理事として大学経営に��携わりつつ最近では株式会社未来ロボットを立ち上げ代表取締役に就任。これまでの半生は高校2年の英語の教科書:『WORLD TRECK』(桐原書店)に取り上げられ、最近では数々のTV番組に出演する、今、話題のロボット研究者。
ニンゲンがAIを本当のパートナーとして認めるとき
『繭の季節が始まる』『ディープフェイク』『サイバーコマンドー』などで、サイバーセキュリティやAIをテーマに小説を書いてきた著者が、やや乱暴に想像の翼を広げ、AIが人類のパートナーとして台頭した近未来、世界に与える影響を、ドラマチックかつアバウトな与太話として語ります。
行きつく先は、ただのほら話かそれともホラーか!? 石を投げたい気持ちをぐっとこらえて笑ってもらえるとありがたいです。
福田 和代(@kazuyo_fuku)
1990年、神戸大学工学部卒業、金融機関のシステムエンジニアを経て、2007年に『ヴィズ・ゼロ』で作家デビュー。『TOKYO BLACKOUT』『怪物』『迎撃せよ』『侵入者』など、スケールの大きな近未来アクション小説を得意とする。最近は『梟の一族』シリーズや『ヴァンパイア・シュテン』など、古典や歴史に題材を得たエンタメにも力を注いでいる。現在もシステムエンジニアとしてERP刷新プロジェクトなどに参画中。
BLADE : Windows/Linux対応のAIエージェント型ペネトレーションテストツール
- 攻撃面の発見から内部侵害まで、攻撃チェーン全体を自動化 -
サイバー攻撃が巧妙化・複雑化する中、効率的かつ包括的なペネトレーションテストの重要性が増しています。本講演では、LLMを基盤としたAIエージェントを活用し、WindowsおよびLinux環境に対してペネトレーションテストを自動実行するツール「BLADE」を紹介します。
BLADEは複数のAIエージェントを連携させることで、ASMによる攻撃面の自動探索から、権限昇格を含む内部侵害まで、攻撃チェーン全体を自律的に実行可能です。また、BLADEはロ��ーカルLLMにも対応しており、検査対象内の機微情報が外部に漏れるリスクがないため、実運用環境でも安心して利用することができます。
本講演ではBLADEの設計思想や主要機能の解説とともに、ライブデモを通じて、マルチAIエージェントがペネトレーションテストの効率と精度をどのように向上させ、柔軟かつ拡張性のあるセキュリティ評価を実現するかをお見せします。
高江洲 勲(@bbr_bbq)
MBSDのシニアエンジニア。機械学習システムの脆弱性・対策に関する研究や、機械学習をサイバーセキュリティに応用する研究を行っており、研究成果をBlack Hat Arsenal、DEFCON DemoLabs、CODE BLUE、AVTOKYOなどのハッカー系カンファレンスで発表しています。近年では、セキュリティキャンプの講師・プロデューサーとして教育分野にも貢献しています。
一ノ瀬 太樹 (@mahoyaya)
MBSDのエンジニア兼ペンテスター。 サイバーセキュリティのみならずアプリケーションやネットワークにも精通しており、15年以上の実務経験を持っています。また、そのノウハウを活かして、Black Hat Arsenal、BSides Tokyo(2018年、2019年、2025年)、JAWS Days 2019、AVTOKYOをはじめとする数多くのカンファレンスで講演を行っています。 休日は脆弱性を探したり、Perlやセキュリティのコミュニティ活動を行っています。
生成AIによるソフトウェア開発の収束地点
生成AIはソフトウェア開発の風景を急速に塗り替えています。
本講演では、この進化がどこへ向かうのか、その「収束地点」を考察します。
機械学習分野から見た技術面の発展の課程および、実際に生成AIを活用する複数の企業で行われている開発の様子を両輪で紐解く中で、生成AI開発がもたらすコードの信頼性や未知のリスクを予想します。
私達が備えるべきエンジニアリングの未来像について、皆様の一助になれば幸いです。
河合 俊典 a.k.a. ばんく�し(@vaaaaanquish)
2023年よりエムスリー株式会社にてVice President of Engineeringを務める。
機械学習分野での主要なOSSへの貢献、執筆活動が認められ、日本有数のGoogle Developer Experts (AI/ML)に選出。
株式会社Elith、PIVOT株式会社等複数社での技術顧問を務め、より良いエンジニアリングを広める活動にも従事。
米国国防総省(DoD)のDevSecOpsライフサイクルをAWSのセキュリティサービスとOSSで実現
米国国防総省(DoD)が策定したDevSecOpsライフサイクルではどの�ようなセキュリティプロセスが必要であるかの記述がなされており、各開発フェーズにて考慮するべきことがまとめられています。このセッションではセキュリティを考慮したCI/CDパイプラインを最新のAWSとOSSでどのように実現できるか、取り上げるサービスの紹介とともに解説します。
吉江 瞬(@typhon666_death)
株式会社野村総合研究所に所属。マネージドセキュリティサービスの設計・開発・運用、クラウドセキュリティ監査、プロダクトセキュリティを経て、現在はクラウドセキュリティエンジニアとして社内向けのクラウドや生成AIの利用ガイドライン整備やASM・CNAPPのサービス調査と運用設計に努めています。AWS Security Hero。Security-JAWSコミュニティメンバー。
AIによるバグハンティング
AIはこれまでマルチモーダルによって人間の目や耳にあたる部分を獲得してきた。そしていま「手」にあたる部位を獲得することによってAIはさらなる進化を遂げている。 この講演ではそうした情勢について最新状況を解説し、サイバーセキュリティにおける応用としてバグハンティングへの活用方法を研究した結果について解説する。
新井 悠(株式会社NTTデータ)
2000年に情報セキュリティ業界に飛び込み、株式会社ラックにてSOC事業の立ち上げやアメリカ事務所勤務等を経験。 その後情報セキュリティの研究者としてWindowsやInternet Explorerといった著名なソフトウェアに数々の脆弱性を発見する。 ネットワークワームの跳梁跋扈という時代の変化から研究対象をマルウェアへ照準を移行させ、著作や研究成果を発表した。 2013��年8月からトレンドマイクロ株式会社で標的型マルウェアへの対応などを担当。 2019年10月、NTTデータのExecutive Security Analystに就任。近年は数理モデルや機械学習を使用したセキュリティ対策の研究を行っている。 大阪大学招聘准教授。著書・監修・翻訳書に『サイバーセキュリティプログラミング』や『アナライジング・マルウェア』がある。博士(情報学)。CISSP。
RapidPen: AIエージェントによる高度なペネトレーションテスト自動化の研究開発
本講演では、ペネトレーションテストにおけるIPアドレスからシェル獲得までの「初期侵入」フェーズを全自動化するAIエージェントツール「RapidPen」の研究開発について報告します。
AIによるペネトレーションテストの試みは散見されますが、RapidPenでは単一の脆弱性だけでなく、複数の脆弱性や設定不備を巧みに組み合わせた「複合初期侵入」の�自動化焦点を当て、ハイスキルな人間と同等レベルに達することを目標としています。
AIエージェント・LLMの技術を単純に活用するだけでは難しい理由を説明し、そのギャップを埋めるための工夫についてご紹介いたします。
ペネトレーションテストにご興味ある方はもちろん、AIエージェントを用いた動的テストを行うセキュリティプロダクト全般に共通する知見があるものと考えます。是非ご覧ください。
中谷 翔(@laysakura)
株式会社SecDevLab代表として、企業や組織向けにセキュリティサービス、ソフトウェア開発、AI活用支援を提供。
CISSP・OSCP等の資格を保有し、脆弱性診断やペネトレーションテスト等のセキュリティ業務のほか、OS, RDBMSなどの低レイヤーシステムやWebバックエンドの開発の実績も持つ。
ソフトウェアリサーチャー・開発者のスキルでセキュリティ業界に貢献することを目指し活動中。
Black Hat USA 2025登壇(予定)。CTF上位入賞複数。
プロンプトインジェクション 2.0 : 進化する防御機構とその回避手法
大規模言語モデル(LLM)を外部のデータソースやツールと統合するプロトコル、Model Context Protocol(MCP)の登場で、LLMが多様なユースケースで幅広いユーザーに活用されています。しかし、悪意ある指示を挿入しLLMに意図しない動作をさせるプロンプトインジェクションは未解決で、多くのサービスで情報漏えいなどの問題が生じています。
この問題に対処するため、SpotlightingやTask Trackerなど新たな防御機構が開発されています。Microsoft主催のプロンプトインジェクション回避技術コンテスト「LLMail-Inject」で、私のチームは14位(上位3%)を獲得しました。
本講演では、コンテスト参加で得た知見をもとに、プロンプトインジェクション防御機構と仕組みを説明し、回避手法をデモを交えて解説します。
湯浅 潤樹(@melonattacker)
サイボウズ株式会社に所属し、セキュリティエンジニアとして脆��弱性診断や脅威分析などの業務に従事。
近年はAIセキュリティ分野に関心を持ち、LLMアプリを対象としたセキュリティツールの開発やバグハンティングに取り組んでいる。
SECCON Beginnersの運営メンバーとしても活動している。
LLM を活用したソースコードにおける脆弱性の検出
本講演では、静的解析による脆弱性発見の新たなアプローチとして、木構造とLLMを活用した効率的かつ効果的な手法について取り上げます。講演の際には、従来の静的解析における脆弱性の発見方法についての理解を深めた後、意図的に脆弱性が含まれたWordPressのプラグインと実際に存在した脆弱性を題材とし、LLMを用いた脆弱性の検出方法についての理解を深めます。参加者はソースコードのアーキテクチャについての知識と従来の静��的解析の知識に加え、LLMを用いた脆弱性の発見についての基礎的な知識と概念実証コードの作成についての応用的な知識も得ることが可能となります。
蔀 綾人(@AyatoShitomi)
株式会社フォアーゼット在籍。脆弱性診断・ペネトレーションテスト・レッドチームオペレーションに従事する。ベトナムのDuy Tan 大学にてレッドチーム講師を務め、国際的な CTF にて活躍する学内 CTF チーム「ISITDTU」への指導も行う。過去に多数の脆弱性を報告しバグバウンティプラットフォームにて表彰。発見した脆弱性のうち 7 件が CVE に登録される。
サイバーセキュリティ概念のバーチャルからリアルへの応用
~対ロシア、対北朝鮮の脅威への対処法~
国際的に戦乱や自然災害が増える中で、各国の世相に依存したサイバーセキュリティ脅威の見落としによる被害も、ネットからリアルに範囲が急拡大しつつある。
これらは、プログラミングなどのデジタル的な対処以外に、組織体系や人やモノ、カネの流れの構造把握も広義のサイバーセキュリティとして重要になってきている。
本講演では、サイバーセキュリティを防犯や防災、国防の文脈で捉え、ゆくゆくは情報システム担当者がサポートに廻りながらも、一般社員や顧客の方々ひいては地域コミュニティが主体的に毎日少しずつセキュリティホールを塞ぐ習慣を身につけてもらえる内容を目標とした。
日本人。Rubyで有名な松江や縁結びで有名な出雲大社とは100km前後も離れた位置にある島根県立大学総合政策学部出身。半官半民の原子力系のお役所で、Webサイトの日常的な更新管理や子どもたち向けサイトのリニューアル企画、SNS運営、広告効果測定、サイエンスコミュニケーションや、教育活動、原子力施設の視察案内等に従事していました。退職後の現在は、各国の行政機関や日本国内警察に、国内外のOSINTコミュニティとアカデミアとも連携してOSINT活動に従事しています。
『セキュリティエンジニアの知識地図』の著者と描く、あなたのキャリアコンパス
~多様化するセキュリティエンジニアのリアルと未来~
『セキュリティエンジニアの知識地図』で紹介されたセキュリティエンジニアの仕事や職種を、著者たちのリアルなキャリアパスから深掘りします!
ショートセミナーでは、脆弱性診断やペネトレーションテスト、コンサルティングなど、さまざまな専門分野で活躍する著者たちが登壇。現在の仕事にたどり着くまでの道のりや、日々向き合うミッション、現場のリアルな課題まで、本音で語り尽くします。
プロのリアルな旅路を聞いて、あなたのキャリア地図上の「現在地」と、次なる「目的地」の手がかりにしてください。
パネルディスカッションでは、「AI時代、どう働く?」といったテーマや、皆さんから寄せられたキャリアの悩みに、著者たちがズバリ答えます。明日からの一歩が、きっと楽しみになる。そんな時間をお届けします!
上野 宣(株式会社トライコーダ)
株式会社トライコーダ代表取締役。奈良先端科学技術大学院大学で情報セキュリティを専攻後、2006年に企業のセキュリティを“攻めて守る”ペネトレーションテストと実践重視のトレーニングを提供するトライコーダを設立。OWASP Japan代表として国内外で活動し、GMO Flatt Securityほか複数企業の社外取締役や監査役、ScanNetSecurity編集長も兼務。JNSAやセキュリティ・キャンプなど教育・研究分野にも深く関与し、Hardening ProjectやSECCONの実行委員も務める。第16回「情報セキュリティ文化賞」、第11回ISC²アジア・パシフィックISLA賞、2025年総務省サイバーセキュリティ奨励賞(Hardening Project)を受賞。著書に「セキュリティエンジニアの知識地図」など多数。
幸田 将司(株式会社バラエナテック)
SESでの業務経験から多種多様な現場での知見を活かして数年間フリーランスとして活動。複数のセキュリティベンダーで技術支援を行う。現在もプレイヤーとして活躍しつつ講師活動やISMS取得支援まで幅広い業務を担当している。
CEH(Certified Ethical Hacker)及びCND(Certified Network Defender)の認定インストラクター、JNSA ISOG-J WG1所属。
『セキュリティエンジニアの知識地図』を共著。
関根 鉄平(株式会社エーアイセキュリティラボ)
セキュリティエンジニアとして大手金融機関等の脆弱性診断に従事。その後、Webアプリケーション検査ツール・サポートチームの立ち上げをしつつ、CSIRTや開発現場でのセキュリティを推進。
2020年6月より現職。AeyeScanのカスタマーサクセスチームの責任者として脆弱性診断の内製化を支援。大規模イベントや大手企業での講演に多数登壇。
『セキュリティエンジニアの知識地図』を共著。CISSP
大塚 淳平(NRIセキュアテクノロジーズ株式会社)
脆弱性診断士からキャリアをスタートし、その後、対策コンサルティング、研修講師、サービス開発、脅威ベースのペネトレーションテスト(TLPT)のサービスの立ち上げ等、幅広く活動。
現在は、脅威リサーチチームおよび同社インテリジェンスセンターに所属し、脅威や技術情報を軸に活動している。
2025年度からJNSA ISOG-J WG1リーダーを務める。��『セキュリティエンジニアの知識地図』を共著。
スポンサーセッション:
Web開発者からハッカーの世界へ
-AIを用いたVibeCodingの安全性について-
Webアプリケーションの開発者だった私が、なぜ"ハッカー"と呼ばれる側へと足を踏み入れたのか。そのきっかけと過程、そしてそこから得られた数々の貴重な経験について、本講演でお話しします。脆弱性診断の現場でしか見えないリアルな罠、ハッカーとなり踏み入れたBlackHatで見た景色、そして今話題のAIを活用したWebアプリケーション開発手法であるVibeCodingに対するセキュリティ的な懸念と考察——。単なる攻撃手法の紹介にとどまらず、「ハッカーの視点」を持つことで得られる発見と、開発者としての成長についても共有します。ハッカーになったことで広がった"技術者としての世界"を、ぜひ体感してください
羽鳥 拓也(株式会社ユービーセキュア)
株式会社ユービーセキュアに在籍。
Webアプリケーション開発者として、ITエンジニアとしてのキャリアをスタート。
情報処理安全確保支援士の合格をきっかけにサイバーセキュリティの道へ。サイバーインシデント対応講師、EDR製品開発などを経験し、脆弱性診断士として現職。母国語はRubyと日本語。
スポンサーセッション:
物理デバイスから突破する攻撃技術
近年、サイバーセキュリティの強化が進む一方で、新たな侵入経路として物理セキュリティの重要性が再び注目されています。
本講義では、USBデバイスやRFIDクローン、無線通信の悪用に加え、物理侵入におけるAI技術の活用についても解説します。
攻撃手法とその成立要因、防御策を体系的に学び、サイバーとフィジカルの境界を越える複合的なリスクへの理解を深めます。
渡邉 正人(フューチャーセキュアウェイブ株式会社)
現在、フューチャーセキュアウェイブ株式会社にて、Webアプリケーションの脆弱性診断やペネトレーションテストに従事しています。
これまでは主にサイバー領域を対象としてきましたが、今後は物理セキュリティの要素も取り入れ、
サイバーとフィジカルの両面からリスクを総合的に評価できるペネトレーションテストを実現したいと目論んでいます。
北山 玲央(フューチャーセキュアウェイブ株式会社)
セキュリティエンジニアとして脆弱性診断やペネトレーションテスト等、RedTeamの業務に従事。
攻撃者の視点からシステムの弱点を洗い出し、実用的なセキュリティ対策を提案しています。
最近では、システムやサービスを支えるネットワーク技術にも強い関心を持ち、インフラ全体の安全性向上を目指して学習を続けています。
スポンサーセッション:
AIと[文系]セキュリティエンジニアの日常
文系学部卒エンジニアがセキュリティ部門に配属後、生成AIと一緒に駆け抜けてきた3年間をぎゅぎゅっとまとめてお話しします。「普段の業務や学習でどのように生成AIを活用してきたのか」や、「3年目で転職を考えた理由」などAIに限らず、セキュリティエンジニアとして経験を(短いですが)お話しします。
島田 慎之介(SCSKセキュリティ株式会社)
22年に新卒で地方銀行システムをメインに扱うSIerに入社、入社前年に設立されたセキュリティ部門を希望し、見事に配属された。以降、3年にわたり地方銀行のサイバーセキュリティ業務(SOC/CSIRT業務)に従事した。25年4月から現職。CTFにも精力的に参加している(もちろんGPTくんの助けを借りて)。情報処理安全確保支援士(第027181号)。
スポンサーセッション:
AIエージェントはハッカーの夢を見るか?
―攻撃者とAIの境界線とその先ー
生成AIやAIエージェントの進化は、私たちの生活やビジネスを劇的に変える一方で、サイバー攻撃の形も根本から変えようとしています。本講演では、実際に確認されているAIを用いた攻撃の事例や、生成AIがペネトレーションテストやマルウェア開発にどのように利用されているのかに触れます。さらに、防御側が直面する新たな課題と対応の方向性を提示します。
中本 有哉(株式会社CEL)
2018年創業のサイバーセキュリティ企業である株式会社CELの代表取締役を務める。バルクHDグループセキュリティエンジニアチームの責任者を兼務。AI診断プラットフォーム『ImmuniWeb』の日本市場におけるプロダクトマネージャーを現任。同社において脆弱性診断やペネトレーションテスト、脅威インテリジェンス、デジタルフォレンジック、セキュリティコンサルティングなどを提供している。
スポンサーセッション:
"w/ AI", "w/o AI" 2つの世界の光と闇
AIセキュリティ投資は、桁違いのROIという「光」をもたらす一方で、その背後には旧来の発想では捉えきれない「影」が忍び寄っています。本講演では、「w/ AI」と「w/o AI」の2つの世界線を行き来しながら、組織が直面する新たなリスクの輪郭を描きます。インシデントが“起こらない”前提ではなく、“起きる”前提で考える時代──ペンテスターであり経営にも関わる立場から、完璧な防御ではなく「しなやかに耐え、素早く立ち直る力(サイバーレジリエンス)」へ。技術・体制・文化、それぞれの変革のヒントをお届けします。
齊藤 義人(株式会社ブロードバンドセキュリティ)
アプリケーション開発エンジニアを経て、セキュリティ企業のペンテスター兼フォレンジックQA担当の上席執行役員。LLMを作りながら壊し、壊した痕跡を追いかける日々。大学等でも教えつつ、技術と経営の狭間でAIセキュリティの「リアル」と格闘中。最近の嬉しいこと:当社の若手エンジニアがCTF作問をみんなで頑張ってること。最近の困ったこと:私「これって他の方の質問への回答ですよね?」某生成AI「はい。そのとおりです」
スポンサーセッション:
APIを守らずしてAIは守れない
- OWASP API Security Top 10への国内検知事例に学ぶ「防御の順序」
「AIのセキュリティは、盤石なAPIセキュリティの上に成り立つ」
現代のAI活用は、必ずといっていいほどAPIを介して行われます。しかし多くの組織で、その玄関口であるAPIのセキュリティが不十分なまま、プロンプトインジェクション対策といったAI固有のセキュリティ議論が先行しています。それは、最新鋭の金庫(AI)を、鍵のかからない部屋(API)に置いているのと同じです。それにもかかわらず、APIセキュリティが不十分なままAIセキュリティを議論しているケースが多く見受けられます。
本セッションでは、『OWASP API Security Top 10』で指摘される脅威に対し、日本国内で実際に観測された攻撃の検知事例をベースに、堅牢なAPIをいかに設計し防御すべきかを解説。その上で、AI固有の課題(OWASP LLM Top10 など)へと進む 「正しい順序」 でのセキュリティ実装の全体像を提示します。
田中 晴也(アカマイ・テクノロジーズ合同会社)
直近10年間、EDRメーカーの日本法人立ち上げ、および内部不正対策ソリューションの日本市場立ち上げに従事。 2024年より現職。Akamai API Securityの製品営業担当として、日本における API Securityマーケットの立ち上げを推進。
ワークショップ概要(順不同)・講師プロフィール(敬称略)
バグバウンティ入門
〜バグハンターへの道のり〜
本講義では、バグバウンティに興味がある方や挑戦してみたいけど始め方がわからない方などの初心者に向けて、最初の一歩を踏み出せる内容��を取り扱います。 今回はバグバウンティプラットフォームをもとに、ドメイン(WebサイトやWebアプリ)を対象とした、バグバウンティにおける脆弱性調査の流れについてポイントを押さえながらハンズオン形式で実施します。 前提として、基礎的なWebセキュリティやJavaScriptに関する知識を持っていることが望ましいです。 用意するもの:ローカルプロキシツール「Burp Suite」、Webブラウザー。
森岡 優太(@scgajge12)
2020年からWebアプリケーションやパブリッククラウドに対する脆弱性診断、Webペネトレーションテスト等を経験し、現在はセキュリティ事業におけるBizDev(事業開発/推進)に従事。 プライベートでは、バグハンターとしてバグバウンティで脆弱性を探したり、ポッドキャスト「Bug Bounty JP Podcast」のホスト兼スピーカーなどにも取り組む。
CTF入門
〜AI時代にCTFで何を学ぶか〜
近年、CTFはセキュリティエンジニアに限らず、幅広い層から注目を集める一方で、AI技術の進歩に伴い年々問題の難易度が上昇しており、初心者にはややハードルが高く感じられるようになってきました。
そこで、CTFに興味がある初心者の方向けに、AI時代の中でのCTFの向き合い方等を含め、以下ジャンルの講義と、実際に手を動かしながら学べる簡易mini CTFを開催します。
- Web
- Pwn
- Forensics
水野沙理衣(@r1154n)
株式会社GMOサイバーセキュリティ by イエラエに所属し、ペネトレーションテストに従事。学生の頃にCTFを一度挫折するが、勉強するうちに楽しさに気づき、過去の挫けた自分のような方の力になるため、また、自分のスキル向上のためにCTF for Girls運営に参加。現在は副代表を務め、さまざまなジャンルの講義や問題作成を担当する。また、国際女性向けCTF「Kunoichi cyber game」日本代表メンバーに選出。普段は会社メンバーと共にCTFを楽しむ。
Webアプリケーション(SPA)脆弱性診断入門
AIサポートによる開発が普及しつつありますが、生成AIの提示するコードに脆弱性があるケースや、生成AIのコードを開発者が手直しする際に脆弱性が混入するケースもあり、脆弱性診断の必要性は減っていません。本ハンズオンでは、ReactとExpress.jsによるAPIで開発されたTodoアプリケーションを対象として、Web APIやSPAフロントエンドの脆弱性診断入門を行います。Webアプリケーション開発やテストに興味がある方を対象とします。セキュリティ知識は前提とせず、基礎から説明します。
用意するもの: ローカルプロキシツール「Burp Suite」(Community Editionでも可)をあらかじめインストールしていただきます。
徳丸 浩(@ockeghem)
1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティに興味を持つ。2004年同分野を事業化。
2008年独立して、Webアプリケーションセキュリティを専門分野とするHASHコンサルティング株式会社(現EGセキュアソリューションズ株式会社)を設立。現在は、同社取締役CTO。
脆弱性診断やコンサルティング業務のかたわら、ブログや勉強会などを通じてセキュリティの啓蒙活動を行っている。
ネットワークOSINTハンズオン by pinja
公開ネットワーク情報から対象のインフラ全体を可視化し、脅威ハンティングや攻撃面評価に直結する調査フローを実践形式で学ぶハンズオンです。whoisから、DNS、サブドメイン調査、使用技術やフレームワークの調査/ShodanやCensysなどを組み合わせ、関連ドメインやサービスを迅速に特定を体験。初学者でも即戦力となるネットワークOSINTスキルを90分で習得しましょう。当日はPCもしくはMacが必要です。ブラウザー利用のみで行います。
ykame(@YuhoKameda)/ awamori(@awamori_tt)/ <s>lumin(@lumin)</s>
OSINT CTF出場チームとして2015年に結成。世界最大のセキュリティイベント「DEFCON」の「Recon Village CTF」(2023年 ハッキングコンテスト)と「Live Recon」(2024年 ASMコンテスト)で優勝。その他、海外のOSINT CTFにも積極的に参戦。実務では犯罪組織調査などにも携わる。
イベント
CTF S.Q.A.T 2025
株式会社ブロードバンドセキュリティが主催するジェパディ形式のオンラインCTF大会。
CTF初心者〜中級者を対象にした個人戦で、Web・ネットワーク・フォレンジック・OSINT・その他のジャンルから出題されます。成績上位3名には賞品が授与されます。
●CTF競技時間
7月19日(土)10:00~17:00(JST)
スコアボードは15:00(競技終了2時間前)に表示停止。
競技終了後にスコアを集計し、ネットワーキングパーティの席で優秀者を発表します。
●Webサイト:7月18日(金)18:00オープン予定
・トップページ
https://bbsec-ctf-hackfes2025.ctfd.io/
・参加登録ページ
https://bbsec-ctf-hackfes2025.ctfd.io/register
・スコアボード
https://bbsec-ctf-hackfes2025.ctfd.io/scoreboard
ギークステッカー交換会
国内外のカンファレンスなどに参加して手に入れたギークなステッカーを皆で持ち寄り交換してみませんか?
【ルール】
テーブルに広げてあるステッカーの中から1枚、お好きなものを進呈いたします。複数のステッカーが欲しい方は、あらかじめ、ご自身でステッカーをご用意いただき、会場で交換してください。1枚ご提供いただくごとに1枚ゲットできます。お持ちいただくステッカーの種類は問いませんが、国内外のIT系カンファレンスや展示会などで入手したものを想定しています。進呈する1枚に加え、各自最大4枚まで交換することが可能です(合計5枚まで)。なお、「日本ハッカー協会」のステッカーは参加者全員に配布していますので、交換対象外とさせていただきます。
PC技術書・ハッカー関連書籍交換会
読んで役に立ったPC技術書や、強く印象に残ったハッカー関連の書籍などを、皆で共有してみませんか? 用済みになった本を処分する場ではありません。他の人に読み継いでほしいと思うものをお持ちください。
【ルール】
本に対する思い入れは人それぞれです。そこで本交換会では、ハッカー協会理事が本の鑑定人を務めます。
鑑定の基準は次のようになります。技術解説書(OS・ネットワーク・プログラミングなど)は、発行から3年以内のもの(2022年発行以降)が対象となります。また、技術解説とは関係しないハッカー関連の読物などについては発行年を問いません。
書き込みや傍線、ページの折り曲げなどは許容されますが、一部のページが切り取られた本などは交換の対象外となります。
紙の焼けや多少の汚れなども許容されますが、お持ちいただく前には簡単な掃除をお願いします。
上記の鑑定基準に従い、お持ちいただいた本は「Aグレード」と「Bグレード」に分類されます。
「Aグレード」:最新の技術書、人気ある技術分野の解説書、一定の評価を受けた技術書やハッカー関連書籍など
「Bグレード」:現在では人気が下降する技術分野の解説書、あまり人気のないハッカー関連の書籍など
グレードの判定は鑑定人が行います。判定結果に同意いただいた方が交換できます。
交換は同じグレードの本の間で行われます(例:Aグレードの本をお持ちいただいた方は他のAグレードの本と交換可能)。
交換できるのは、1人につき1冊までです。ただし、上下巻などに分かれるものは、2冊で1冊とカウントします。
本を入手する手段は交換のみとします。購入はできません。
Japan Hackers Association Quest
日本ハッカー協会は、ハッカーを中心とした情報セキュリティ人材の職業紹介を行っております。
ハッカー協会に寄せられております求人の一部をQuestという形で皆様にご紹介いたします。Questについては、当協会で採用実績がある職種や企業様を中心に選んでおります。興味があるQuestがございましたら、QRコードを読んで頂き、その場でエントリーすることも可能でございます。Questの詳細を確認できるQRコードの解放は、当協会への会員登録が必要になります。当協会の職業紹介の担当者もQuestブースに常駐しておりますので、掲示されたQuestに関するご質問から、今現在のお仕事に対する不安、自分のスキルでやっていける会社、将来のキャリアの方向性など、仕事に関するご質問がございましたら、お気軽にお越しください。
イベントスポンサー
