セキュリティ・キャンプ2025 全国大会 【専門】Bクラス 共通シナリオ + 講義概要紹介

2.1K Views

August 16, 25

#security #seccamp

スライド概要

セキュリティ・キャンプ2025 全国大会【専門】Bクラス
https://www.ipa.go.jp/jinzai/security-camp/2025/camp/zenkoku/program/b.html

プロデューサー
藤田 尚宏
現代では、生活がインターネットにつながっていることが当たり前となり、ウェブ技術やクラウド技術が社会の基盤として重要な役割を果たしています。一方で、ゲームや動画配信、SNSといった日常的なサービスだけでなく、教育(EdTech)、金融(FinTech)、医療(HealthTech)など、さまざまな業界においてクラウドの利活用が進む中で、プロダクトセキュリティの重要性もますます高まっています。プロダクトセキュリティは、開発者に対する制約ではなく、安全にサービスを提供し、社会の信頼を確保するための不可欠な手段です。

本クラスでは、XaaS(Everything as a Service)やX-Tech分野のプロダクト開発・運用に必要なセキュリティ知識とスキルを体系的に学びます。クラウド環境におけるセキュリティ設計、認証技術、監視・ログ管理、APIセキュリティといった技術的な要素を深く理解するとともに、セキュリティを考慮した設計・開発の手法を身につけます。また、攻撃者の視点から脆弱性を分析し、どのようにシステムが狙われるのかを考えることで、より実践的な対策を学びます。さらに、プロダクトの信頼性を高め、競争力を強化するために、経営層や他の関係者へ適切にセキュリティの重要性を伝える力も養います。

このクラスを受講する皆さんは、単なる技術習得にとどまらず、チームで協力しながらプロダクトセキュリティを向上させる方法を学びます。異なるバックグラウンドを持つメンバーと共に多角的な視点を養い、組織の中でリーダーとして、あるいは協力者として、セキュリティを推進できる人材を目指します。

profile-image
スライド一覧

メディア企業でプロダクトセキュリティをやっています。 CISSP/GCIH/GCFR/SANS FOR610, FOR572(Coin holders)/AWS CLF/GCP ACE,PCA,PSE /セキスペ

シェア

またはPlayer版

埋め込む »CMSなどでJSが使えない場合

(ダウンロード不可)

関連スライド

slide-thumbnail

新卒エンジニア研修2023(セキュリティ)- 日本経済新聞社
hack the nikkei security
user-img ふじたーな 104.6K
slide-thumbnail

安全なクラウドネイティブ実現へ:内製開発におけるプロダクトセキュリティ強化の軌跡と開発チームとの協調 - CNDT2023
security cndt2023
user-img ふじたーな 24.9K
slide-thumbnail

セキュリティ・キャンプ2024 全国大会 B1 プロダクトセキュリティの展望(#seccamp2024)
security seccamp
user-img ふじたーな 20.3K
slide-thumbnail

SANSの20 Coolest Careers in Cybersecurity を活用して、組織やチームに必要なセキュリティ人材像を整理する方法(NIKKEI Tech Talk #18)
nikkei tech talk security hack the nikkei
user-img ふじたーな 9.9K
slide-thumbnail

【レベル別】どこから始める?プロダクトセキュリティ(NIKKEI Tech Talk #12)
hack the nikkei security nikkei tech talk
user-img ふじたーな 9K
slide-thumbnail

生成 AI を活用した Slack App ではじめる スケーラブルなセキュリティインシデント対応訓練
security owasp
user-img ふじたーな 6.9K
各ページのテキスト
1.

セキュリティ・キャンプ2025 全国大会 【専門】Bクラス 共通シナリオ + 講義概要紹介 Bクラスプロデューサー 藤田尚宏

2.

セキュリティ・キャンプ 2025 全国大会【専門】 Bクラス プロダクトセキュリティ クラス https://www.ipa.go.jp/jinzai/security-camp/2025/camp/zenkoku/program/b.html

3.

プロダクトのセキュリティ推進は リソース(人・モノ・カネ・時間) によって限られるよね

4.

やらないことを決めること

5.

やるべきことにフォーカスすること

6.

組織の成長フェーズに 合わせたセキュリティ 施策と技術

7.

【クラス全体の共通コンテキスト】 とある EdTech 企業の プロダクトとセキュリティ 成長ストーリー

8.

9.

ビジネス : 学生向け学習サービス開始 フェーズ1 無敗塾 セキュリティ課題 : 認証管理、クラウド基盤セキュリティ 対策: パスキー認証、IAM、GitHub管理

10.

フェーズ1 無敗塾 ビジネス : 学生向け学習サービス開始 セキュリティ課題 : 認証管理、クラウド基盤セキュリティ 対策 : パスキー認証、 IAM、GitHub管理 ビジネス : 法人向けコンテンツを提供 セキュリティ課題 : フェーズ2 無敗ラーニング 企業向けSSO、APIセキュリティ クラウドネイティブ基盤 対策: OIDC/SAMLの導入 APIセキュリティの強化

11.

フェーズ1 無敗塾 ビジネス : 学生向け学習サービス開始 セキュリティ課題 : 認証管理、クラウド基盤セキュリティ 対策 : パスキー認証、 IAM、GitHub管理 フェーズ2 無敗ラーニング ビジネス : 法人向けコンテンツを提供 セキュリティ課題 : 企業向けSSO、APIセキュリティ、クラウドネイティブ基盤 対策 : OIDC/SAMLの導入、APIセキュリティの強化 セキュリティインシデント発生

12.

講義の範囲 フェーズ1 無敗塾 ビジネス : 学生向け学習サービス開始 セキュリティ課題 : 認証管理、クラウド基盤セキュリティ 対策 : パスキー認証、 IAM、GitHub管理 フェーズ2 無敗ラーニング ビジネス : 法人向けコンテンツを提供 セキュリティ課題 : 企業向けSSO、APIセキュリティ、クラウドネイティブ基盤 対策 : OIDC/SAMLの導入、APIセキュリティの強化 セキュリティインシデント発生 フェーズ3 無敗大学 ビジネス : 高等教育向け「無敗大学」(学位取得)を追加 セキュリティ課題 : データプライバシー強化、試験の不正防止 対策 : GDPR、FERPAなど各種法規制に準拠 、オンライン試験での本人認証 フェーズ4 無敗リスキリング ビジネス : 社会人のリスキリング需要に応えるサービスを開始 セキュリティ課題 : サプライチェーンリスク管理、 AIモデルのセキュリティ 対策 : 外部講師・提携企業とのアクセス管理厳格化 、フェデレーテッドラーニングの導入 フェーズ5 無敗グローバル ビジネス : 海外展開を本格化 セキュリティ課題 : データローカライゼーション、サイバー脅威対策の高度 対策 : 各国の規制に基づきデータを適切なリージョンに保存 、SOC 2/ISO 27001などの 国際認証を取得

13.

フェーズ1 無敗塾 ビジネス : 学生向け学習サービス開始 セキュリティ課題 : 認証管理、クラウド基盤セキュリティ 対策 : パスキー認証、 IAM、GitHub管理 フェーズ2 無敗ラーニング ビジネス : 法人向けコンテンツを提供 セキュリティ課題 : 企業向けSSO、APIセキュリティ、クラウドネイティブ基盤 対策 : OIDC/SAMLの導入、 B2 APIセキュリティの強化 B1 B3 B4 B6 セキュリティインシデント発生 B5 B1 クラウドプラットフォーム監視入門 B2 設計・開発・テストにおけるセキュリティ の実践と考え方を知ろう B3 デジタルアイデンティティの基礎と 最新認証技術パスキーの実装 B4 Kubernetesで学ぶクラウドネイティブ時 代のプラットフォームセキュリティ B6 APIセキュリティ設計:脅威に負け ないアーキテクチャ構築戦略 B5 モダンなプロダクト開発を攻撃者の視点で捉える

14.

フェーズ1 無敗塾 ビジネス : 学生向け学習サービス開始 セキュリティ課題 : 認証管理、クラウド基盤セキュリティ 対策 : パスキー認証、 IAM、GitHub管理 フェーズ2 無敗ラーニング ビジネス : 法人向けコンテンツを提供 セキュリティ課題 : 企業向けSSO、APIセキュリティ、クラウドネイティブ基盤 対策 : OIDC/SAMLの導入、 B2 APIセキュリティの強化 B1 B3 B4 B6 セキュリティインシデント発生 B1 クラウドプラットフォーム 監視入門 B5 すべての活動はログに通じる B2 設計・開発・テストにおけるセキュリティ の実践と考え方を知ろう B3 デジタルアイデンティティの基礎と 最新認証技術パスキーの実装 B4 Kubernetesで学ぶクラウドネイティブ時 代のプラットフォーム セキュリティ B6 APIセキュリティ設計:脅威に負け ないアーキテクチャ構築戦略 B5 モダンなプロダクト開発を 攻撃者の視点で捉える

15.

B1: クラウドプラットフォーム監視入門 https://github.com/m-mizutani/seccamp-2025-b1 クラウドプラットフォームはリソース構成の自由度が高く、素早く柔軟にサービスを提 供したい人にとっては強い武器になる反面、その自由度故に脆弱な構成になりやす い側面もあります。また、クラウドサービスを活用したプロダクト開発は便利な半面、 サプライチェーン攻撃などをうける脆弱さもあります。本講義ではこれらの対策の一 つであるセキュリティ監視について学びます。 前半ではセキュリティ監視を実践するにあたっての前提や設計などについて学びま す。セキュリティ監視は他のセキュリティ対策と組み合わせて活用することとなるの で、利用するアーキテクチャやクラウドプラットフォームが提供しているセキュリティ 機能を活用・理解している必要があります。これらを理解しつつ、どのように設計す るかについて解説します。 後半では実際にセキュリティ監視のための機能を構築する実習に取り組みます。実 際にクラウドプラットフォーム上でセキュリティ監視の基本であるログの収集、保全、 管理、検知を簡易的なセキュリティ監視基盤を構築します。セキュリティ監視は組織 の成熟度に応じて取り組み方や規模が変化するため、今回は組織が小さい段階か らどのような取り組みができるかを順を追って体験できるようにしたいと考えていま す。 https://x.com/m_mizutani/status/1955134426322702351

16.

B2:設計・開発・テストにおけるセキュリティの実践と考え方を 知ろう https://www.docswell.com/s/a-zara-n/KPGX74-2025 -08-14-143959 プロダクトのセキュリティを担保するためには、できる限り開発工程の前段階で セキュリティリスクを発見することが大事であり、これをShift-left と呼びます。 そのようなプロダクト開発の潮流の中で、セキュリティを担保するために、広範な 知識と多くの技術が要求されるようになりました。 本講義では、ソフトウェア開発ライフサイクル(SDLC)をもとに、各工程でセキュリ ティをどのように担保すべきかについて、考え方や実践方法を学びます。 それにより、DevSecOps に代表されるセキュアな開発工程を俯瞰的に理解し、 エンジニアの総合的な力を身につけます。 また、技術的な能力を高めるだけではなく、脆弱性に起因するリスクを他人にわ かりやすく説明するなどのいわゆるソフトスキルの向上も目指します。 本講義のゴールはプロダクトのセキュリティに関心を寄せるエンジニアとしての 総合的な力を身につけることです。 https://x.com/a_zara_n/status/1955868800169226632

17.

B3:デジタルアイデンティティの基礎と 最新認証技術パスキーの実装 資料公開なし 本講義は、デジタルアイデンティティの基礎とパスキーの実装について学びます。 前半では、本人確認、ログイン・再認証、認可・ID連携、アカウントリカバリーなど、デジタルアイ デンティティの利活用に必要な基礎的な知識を学びます。 インターネットサービスの機能が充実していく中で、気軽に匿名で利用できるものから本人確認 (Know Your Customer、KYC)が求められるサービスに変化してきています。世の中で KYCが 求められる背景やトレンドをおさらいします。 また、パスワードや二要素認証であるワンタイムパスワードなどの既存の認証技術、 OAuth 2.0 やOpenID Connectといった認可・ID連携の技術についても解説します。 後半では「パスキー」について解説をします。パスキーはパスワードレス認証を実現する最新の 認証技術です。 近年パスワードのリスト型攻撃に加えてフィッシング攻撃の被害も増加しています。フィッシング 攻撃の対策として期待されるパスキーの概要やプロトコルをご紹介します。 座学に加えて、実際にWebアプリケーションにパスキーをプログラミングし、UI/UXや実装のポイ ントをハンズオン形式で学びます。 講義を通じて、デジタルアイデンティティで実現する安心・安全なインターネットサービスのあり方 を参加者のみなさんと一緒に考えていきます。 https://x.com/kura_lab/status/1955486422070333835

18.

B4: Kubernetesで学ぶクラウドネイティブ時代の プラットフォームセキュリティ https://github.com/kyohmizu/seccamp2025-B4 現代のソフトウェア開発は、クラウドネイティブなアプローチへと急速に移 行しています。コンテナ化やマイクロサービス、Kubernetesなどのオー ケストレーション技術の採用により、開発速度とスケーラビリティは劇的 に向上しました。しかし一方で、新たなセキュリティリスクへの対応も不可 欠となります。本講義では、プラットフォーム提供者の視点に立ち、 Kubernetesにおける安全なプラットフォームの構築・運用を実践的に学 びます。 受講生は、実際にKubernetesクラスタに触れながら、ハンズオン形式で セキュリティ対策を実装します。潜在的な脅威と対策への理解を深め、 開発ライフサイクル全体を意識した適切なセキュリティ対策を選定・実装 する能力を養います。 https://x.com/kyohmizu/status/1955557017264980088

19.

B5: モダンなプロダクト開発を攻撃者の視点で捉える 資料公開なし 架空の組織に対して行われる一連のサイバー攻撃のプロセスを辿ることにより、攻撃者の視点で物事を 捉える機会を受講生に提供し、ベストプラクティスの確立されていない領域においても自らセキュリティ対 策を立案できる人材の育成を目指します。 セキュリティエンジニアを目指す人にとって、単体のセキュリティ技術あるいはトレンドとなる攻撃技術に ついて学ぶ機会は多くあり、良質なコンテンツに個人が自由にアクセスできる時代になりました。しかし、 個々のセキュリティ技術や攻撃手法を理解することと、攻撃者の思考や感情を理解することには大きな 違いがあります。ほとんどの人にとって、現実世界に対してサイバー攻撃を実施し、攻撃者の見る世界を 肌で感じる機会はごく限られています。 本講義では、講師が従事するサイバー攻撃シミュレーションサービス「レッドチーム演習」での経験に基 づき、ゼロトラスト、ソースコード共有サービス、CI/CD、クラウドなどモダンなプロダクト開発環境に対す る一連のサイバー攻撃を取り上げます。受講生は、講義、デモ、ハンズオン、ディスカッションを通じ、攻 撃者がどのように考え、感じ、行動するかを疑似体験することができます。攻撃者の思考や感情を理解 することができれば、セキュリティ対策をこれまでとは違った視点で捉えることができるはずです。 https://x.com/Tinydile/status/1955894140333645855 本講義を通じて、開発するプロダクトやそこで利用するテクノロジに関わらず、あらゆる環境に適用可能 な「攻撃者が何を狙うかを自ら考える力」を体得することにより、広く ITに携わるすべての受講者に、セ キュリティを意識した業務を行なうための地図を提供することを目指します。

20.

B6: APIセキュリティ設計:脅威に負けない アーキテクチャ構築戦略 資料公開なし API開発の現場では、技術の進化やビジネスの要求に応じてアーキテクチャを柔軟 に変更する「進化的アーキテクチャ」の考え方が採用されています。これはセキュリ ティの分野でも重要であり、変化し続ける環境に適応しながら、セキュリティを確保す る設計・運用が求められます。 本講義では、既存のAPIアーキテクチャのセキュリティ課題を分析し、アーキテクチャ の変化に対応しながら、どのように堅牢なセキュリティを確保するかを考察します。 講義と演習を通じて、「セキュリティアーキテクト」としての視点を養い、脅威に強い APIアーキテクチャの設計・構築戦略を習得することを目指します。 講義と演習を通して、既存のAPIアーキテクチャをセキュリティの観点から評価し、脅 威モデリングなどを活用してリスクを特定・分析し、改善策を検討・立案するプロセス を学びます。また、理想的な「ベストプラクティス」を理解するだけでなく、リソースや 技術的制約、ビジネス上の優先事項を考慮しながら、現実的に実現可能なセキュリ ティ対策の最適解を見出す力を身につけます。 https://x.com/security_camp/status/1955887355967234298

21.

おわり