Japan
サイト内の現在位置
RSA Conference 2023参加記
NECセキュリティブログ2023年5月26日
NEC セキュリティ技術センターの長浜です。
4/24(月)~4/27(木)でサンフランシスコのMoscone Centerにて開催されたRSA Conference 2023に参加してきました。今回はその参加レポートです。
RSA Conference 
[1]は、世界最大級のセキュリティカンファレンスです。私は今回初めて参加しましたが、日本からの参加者も多くこのイベントへの注目度の高さを感じました。本ブログでは、RSA Conferenceの中で人気イベントの一つであるInnovation Sandboxを中心に紹介したいと思います。
Innovation Sandboxとは
サイバーセキュリティ業界における革新的な技術やアイディアを発掘するため、Innovation Sandboxと呼ばれるコンテストが開催されます。ファイナリストとして10社がそれぞれソリューションやプロダクトに関するプレゼンテーションを3分実施し、審査員が革新的な企業を1社選定します。会場の雰囲気は、海外のオーディション番組のような雰囲気でした。
今年は、HiddenLayerがInnovation Sandboxのグランプリとして選出されました。HiddenLayerのソリューションの詳細については後程記述いたします。
Innovation Sandbox ファイナリスト 企業一覧
ファイナリストの10社は以下の通りです。
| 企業名 | 概要 |
| AnChain.AI | Web3向けSoCサービス |
| Astrix Security | クラウドアプリケーションのAPI連携の管理 |
| Dazz | クラウドセキュリティ修復プラットフォーム |
| Endor Labs | OSSの依存関係可視化プラットフォーム |
| HiddenLayer | AIの資産を保護するためのAI/MLソリューション |
| Pangea | セキュリティ機能をAPIとして提供するSecurity Platform as a Service |
| Relyance AI | コードを解析し、個人情報の流れを可視化するデータ保護プラットフォーム |
| SafeBase | コンプライアンスなどの準拠状況を共有できる信頼コミュニケーションプラットフォーム |
| Valence Security | SaaSアプリケーション接続のおける設定ミス等のセキュリティリスクの低減するソリューション |
| Zama | 秘密計算を可能にする完全準同型暗号のライブラリソリューション |
特徴的な企業についての紹介
本記事の中では、気になった企業4社について紹介いたします。
今年のInnovation Sandboxのグランプリに選出された企業です。ChatGPTやDXなどでAIが注目されている中、AIに対する攻撃が危惧されています。HiddenLayerではAIのデータのインプットとアウトプットを監視することで、悪意のあるアクティビティを検出するMLDR(Machine Learning Detect & Response)を提唱しています。
私は、AIのデータ保護というのは非常に新しく面白いと感じました。EDRと同じようなテクノロジーを用いていると紹介がしていたため、今後EDRにMLDRが組み込まれることがあると面白いと思いました。
今年のInnovation Sandboxの2位となった企業です。Pangeaでは、開発者向けのセキュリティサービスとして認証、認可、監査ログなどのセキュリティサービスをAPIとしてSPaaS(Security Platform as a Service)を提供しています。
私はこのプレゼンテーションを聞いた際にシステムやサービスのセキュア開発を進めるうえで有用なソリューションだと感じました。セキュリティ機能を1つのパッケージとして提供することにより社内のセキュリティ機能を統一することができ、対象のパッケージに脆弱性が発生時の対応などが統一的にできるのでよさそうと感じました。ただ、本ソリューションはクラウドのサービスということもあり、使える場面は限定的になりそうだと感じました。
米国大統領令でSBOM(Software Bill of Materials)に注目が高まるなか、Endor LabsではSBOM作成や各種OSSの依存関係を可視化するためのソリューションを提供しています。
2021年12月に発表されたLog4jの利用状況などこのソリューションを用いることで容易に検出できるのが良いと感じました。このEndor Labsには、ChatGPTとEndor Labs独自のリスクデータを組み合わせて会話形式で、OSSパッケージを迅速に調査できるようにしている点は非常に面白いと感じました。今後は、マニュアル等の整備や独自DBの検索機能のフロントとしてChatGPTのような会話形式で提供されるのでしょうか、今後の動向が楽しみです。
昨今、SaaSやIaaSなどのクラウドサービスにアクセスする際には、利用者に対しMFAなどセキュリティ対策が導入されて始めています。こうしたクラウドサービスには他クラウドサービスとの連携のためにAPIキーやOAuth認証などでの連携機能などが存在しますが、この管理や認証強化は進んでいません。その課題を解決するために、Astrix Securityでは、そういった各種SaaSやIaaSなどのシステム連携状況を可視化し、不正なAPIキーや不要となったAPIキー、過剰な権限を検出、削除などが可能です。
Astrix Securityの着目点は面白いなと思いました。確かに人の連携部分に対してのセキュリティ意識というのは年々向上しているところですが、API連携されたものに対しての意識というのはあまり向上していないようにも感じられます。
まとめ
今回はRSA ConferenceのInnovation Sandboxに注目して紹介してきました。私は初めてRSA Conferenceに参加しましたが、米国や欧州のセキュリティトレンドを肌身で感じることができました。多くのセキュリティ製品はオンプレを想定しておらずクラウド上での構築が当たり前という点は日本との大きな違いになりそうと感じました。SBOMやAI周りのセキュリティが今後どのように日本に入ってくるかが楽しみですね。
参考資料
- [1]”2023 USA ” RSA Conference,https://www.rsaconference.com/usa , (参照 2023-05-16).
- [2]“Machine Learning Detection & Response Platform” HiddenLayer,https://hiddenlayer.com/platform/ , (参照 2023-05-16).
- [3]“Pangea | Security Services for Developers” pangea,https://pangea.cloud/ , (参照 2023-05-16).
- [4]“Home | Endor Labs” Endor Labs,https://www.endorlabs.com/ , (参照 2023-05-16).
- [5]“Securing App-to-App Connections - Astrix Security” Astrix Security,https://astrix.security/(参照 2023-05-16).
執筆者プロフィール
長浜 佑介(ながはま ゆうすけ)
セキュリティ技術センター リスクハンティング・アナリシスグループ
主にペネトレーションテスト、脆弱性診断などを担当しNECグループのセキュア開発・運用を推進。
2020年6月にIPA 産業サイバーセキュリティセンター中核人材育成プログラムを修了。
CISSP、GIAC(GXPN)、情報処理安全確保支援士(RISS)を保持。
執筆者の他の記事を読む
アクセスランキング
2025年3月30日~4月5日に読まれた記事のランキング
