執筆者一覧: NECセキュリティブログ

エンジニアにとって「伝える」ということ

エンジニアの価値を決めるのは、その専門性や技術力であることは間違いありません。
特定の領域について深い知識と多様な経験をもち、その知識と経験からうまれる“技”でさまざまな課題を解決する、新たな価値を創造する。
その価値（技術力）は、解決された課題や、解決プロセス、創造された“もの”から、はかることもできるでしょう。でもそれだけで十分に、その“技”の価値を表現することは難しいのではないでしょうか。
その価値を表現する、伝えるということを積極的に行うことで、はじめてその価値を伝えることができると考えています。

NEC セキュリティブログの創設者が考える“エンジニアにとって「伝える」ということ”ー。

注）本ページでは、執筆者の最新記事公開時点でのプロフィール情報を掲載しています。

浅原洋（あさはら　よう）
セキュリティ技術センター　実装技術レギュレーショングループ

システムの提案支援やソフトウェア開発のプロジェクトマネジメント業務を経験後、サイバーセキュリティに興味を持ち、現在はNECのセキュリティ提案・実装推進に従事。CISSP、情報処理安全確保支援士（RISS)、PMPを保持。堅牢化コンテスト「Hardening 2024 Convolutions」にてLAC賞。

執筆記事

セキュリティ対策におけるリスク～「リスク受容＝何もしない」ではない～（2025年2月7日）
Hardening 2024 Convolutions参加記（2024年11月15日）

伊藤　怜（いとう　れい）
セキュリティ技術センター　セキュア技術開発グループ

NECグループ社内向けのセキュリティ関連サービスの開発に従事。ゲームが好き。

執筆記事

OWASP ASVSで実現するWebアプリケーションのセキュリティ（2025年2月21日）

井ノ口真樹（いのくち　まさき）
セキュリティ技術センター　デジタルシャドウ活用チーム

サイバー攻撃リスクを診断する技術の研究開発に従事。
第69回電気科学技術奨励賞、2020年度山下記念研究賞を受賞。
情報処理安全確保支援士（2021年11月現在）。

執筆記事

サイバー攻撃リスクを自動診断するための技術（2021年11月26日）

妹脊敦子（いもせ　あつこ）
セキュリティ技術センター　実装技術アーキテクチャグループ

OS・ミドルウェアの要塞化ツールの開発やリスクアセスメント、セキュリティ要件定義・設計の支援を通じてNECのセキュリティ提案・実装推進に従事。現在は、主にセキュリティ実装のための規程・ガイドライン整備を担当。CISSP、CISA、情報処理安全確保支援士（RISS)を保持。
趣味は週末ヨガと年に数回の手仕事（梅酒・梅シロップ・味噌・ジャムづくりなど）の母ちゃんエンジニア。

執筆記事

英国のCyber Assessment Frameworkを読んでみた（2024年5月10日）
セキュリティ業界でのワーママのキャリア形成について考える（2023年9月1日）
個人情報保護士認定試験を受けてみた（2023年2月24日）
「政府情報システムにおけるセキュリティ・バイ・デザインガイドライン」を読んでみた（2022年8月12日）
改めてWindows OSのセキュリティ設定を考える（2022年2月18日）
CIS Benchmarksを活用したシステムの堅牢化について（2020年5月22日）

岩川　健人（いわかわ　けんと）
セキュリティ技術センター　リスクハンティング・アナリシスグループ

高性能計算(HPC)分野のソフトウェア開発業務を経て、現在はペネトレーションテスト、脆弱性診断などに従事。
SANS SEC575 メダル保持。
CISSP／情報処理安全確保支援士(RISS)／OffSec(OSCE3,OSEP,OSED,OSWE,OSCP+,OSCP,OSWA,OSDA,OSWP,OSTH,OSIR,OSCC)／CHFI／情報処理技術者試験(NW,DB,ES)／GIAC(GREM,GMOB)／AWS認定(SCS)を保持。
Hack The Box - Guruランク。

執筆記事

OffSec Learn Unlimited 受講体験記：挑戦とスキルアップの一年間（2025年4月25日）
XZ Utilsに対するサプライチェーン攻撃から考えるバックドアの検知（2024年8月9日）
そのCron設定、安全ですか？（2023年12月8日）
Pentest Active Directory LAB project - GOADの紹介（2023年4月21日）
MobSFを用いたiOSアプリのソースコード解析（2022年10月21日）
CVE-2007-4559（Pythonのtarfileモジュールに対するディレクトリトラバーサル）についての考察（2022年10月11日）

岩下直之（いわしたなおゆき）
セキュリティ技術センター脆弱性マネジメントチーム

NECグループの社内向け脆弱性情報管理業務に従事しています。
例年は健康のための水泳へのモチベーションを桜の季節に回復するのですが、今年は新型コロナウィルスのために自粛しており、今後モチベーションが回復するか心配です。

執筆記事

SCAPの要素第一回～製品の識別と脆弱性情報管理の難しさ～（2020年4月10日）

岩田琴乃（いわたことの）
セキュリティ技術センター　脆弱性管理グループ

NECグループの社内向け脆弱性情報管理業務に従事しています。
SBOMに興味・関心があります。
好きなものは、焼き芋とクマです。
CISSP Associate、CEH、AWS Associateを保持。

執筆記事

【入門】SSVCとは？基礎を学ぼう！（2024年8月2日）
業種別(医療機器/自動車/電気・通信/金融)のSBOMへの取り組み（2023年12月1日）
SBOMが解決する課題と関連資料の紹介（2023年4月14日）

岩田友臣（いわたともおみ）
セキュリティ技術センター　リスクハンティング・アナリシスグループ

hardware/firmware/software の開発や生体認証の技術開発などを経て、現在はペネトレーションテスト、脆弱性診断などの業務に従事。

攻撃観測・マルウェア解析・フォレンジックを趣味で実施。
SEC660、FOR610、FOR508、SEC504、3×NetWars、2×Flare-Onメダル保持
CISSP、GIAC（GXPN、GREM、GCFA、GCIH）、RISS、ねこ検定（初級）を保持

スーパー猫の日がある2022年に　ねこ検定（初級）に合格できました。

執筆記事

ウェブサイト改ざんについて（2022年6月17日）
2021年の迷惑メールを振り返る（2022年3月18日）
偽ショートメッセージ「不在通知SMS」について2 （2021年3月26日）
偽ショートメッセージ「不在通知SMS」について（2020年9月25日）
Holiday Hack Challenge 2019のWriteUp （2020年3月13日）

宇井　哲也（うい　てつや）
セキュリティ技術センター　脆弱性管理チーム

お客様に提供するシステムの脆弱性管理を行うための基盤づくりや推進業務に従事。
CISSP、情報処理安全確保支援士（RISS）を保持。

執筆記事

CISAが展開する脆弱性情報充実化プロジェクト「Vulnrichment」について（2025年1月31日）
Amsterdam 2024 FIRST Technical Colloquium参加記（2024年5月24日）
パスワード付きzip PPAP 問題について（2021年1月8日）
Cyber Threat Intelligenceの活用（2020年3月19日）

浦川　侑之介（うらかわ　ゆうのすけ）
セキュリティ技術センター　セキュア技術開発グループ

NECグループ社内向けのセキュリティ関連サービスの開発に従事。
CISSP、GIAC GCSA、情報処理安全確保支援士(RISS)を保持。

執筆記事

OWASP Top 10 CI/CD Security Risksから考えるCI/CDパイプラインのセキュリティ（2024年6月21日）

江村勇紀（えむら　ゆうき）
セキュリティ技術センター　セキュリティ実装技術チーム

社内のセキュア開発推進や、社内SEへのセキュリティ技術支援に従事。

執筆記事

ペネトレーションツールの紹介　～Koadic編～（2020年4月17日）

大家政胤（おおやまさつぐ）
セキュリティ技術センター　リスクハンティング・システムグループ

脆弱性診断、ペネトレーションテスト、インシデント対応に関する業務に従事。
CISSP、CCSP、GPEN、CHFI、RISSを保持。

執筆記事

MEGA CMDによる情報盗み出し時の痕跡について（2024年11月22日）
「DetectionLab」で手軽にWindowsラボ環境を構築（2021年4月16日）
RE for Beginners: Playground Exercises - Write-up （2020年10月9日）
トレーニングコンテンツ: 脆弱なサーバレスアプリケーション「DVSA」の紹介（2020年4月24日）

岡　史晃（おか　ふみあき）
セキュリティ技術センター　脆弱性管理チーム

グラフィックアクセラレータや画像処理開発業務、Androidフレームワーク/アプリケーション開発業務などを経て、
現在は、社内の脆弱性情報管理やその推進活動業務に従事。CISSP保持。

執筆記事

脆弱性管理におけるCVEと修正パッチについて（2022年9月20日）

岡田　真一（おかだ　しんいち）
セキュリティ技術センター　リスクハンティングチーム

脆弱性診断、ツール開発・検証、デジタルフォレンジック業務などに従事。
CEH、CDFP-Bを保持

執筆記事

ハッシュ値問い合わせツール「munin」のご紹介（2023年10月20日）

加来大輔（かく　だいすけ）
セキュリティ技術センター　リスクハンティングチーム

NECがお客様に納品したシステムに対するインシデント対応、Web診断などの業務に従事。
RISS、CISSP Associate、CEHを保持。

執筆記事

Microsoft 365 SharePoint Onlineのフォレンジック（2025年2月14日）
Windowsフォレンジックの効率化とAIエージェントによるサイバー脅威インテリジェンス生成～Hardening Designers Conference 2024～（2024年7月22日）
デスクトップ版OneDriveのフォレンジック（2024年6月7日）
Elastic Securityを触ってみた（2023年10月13日）

角丸貴洋（かくまる　たかひろ）
セキュリティ技術センター　サイバーインテリジェンスグループ

サイバーインテリジェンスグループ長、技術戦略の立案・推進、グローバル連携の推進を担う。CISSP、GIAC(GCTI)を保持。FIRST, SANS THIR Summit, AVARなどで講演。
アイスホッケーをこよなく愛し、理論派指導者としてTTP（徹底的にパクる）をモットーに指導方法の研究に没頭する日々を送る。

執筆記事

MITRE ATT&CK 頻出手口トップ10 Vol.5 （2023年7月14日）
ChatGPTとセキュリティに関わる課題（2023年2月27日）
スレットランドスケープの歩き方（2023年1月27日）
Virtual AttendanceからみたFIRSTカンファレンス（2022年7月15日）
【図解】サイバーレジリエンス（2022年1月21日）
サイバーレジリエンスとはなにか（パート2：他分野やリスクとの関係）（2021年9月21日）
サイバーレジリエンスとはなにか（パート1：定義と成り立ち）（2021年9月10日）
MITRE ATT&CK 頻出手口トップ10（2020年度下期）（2021年4月2日）

勝瀬　陸（かつせ　りく）
セキュリティ技術センター　サイバーインテリジェンスグループ

サイバー脅威情報の収集・分析・展開や生成AIを活用したアプリ開発に従事。CISSP、CEHを保持。

執筆記事

話題の「DeepSeek」を利用してみる（2025年2月28日）
AIエージェントを活用したサイバー脅威インテリジェンス生成とAWS Config・Ansibleを用いたセキュリティ実装の効率化、体験CTF～CODE BLUE 2024～（2024年12月10日）
Windowsフォレンジックの効率化とAIエージェントによるサイバー脅威インテリジェンス生成～Hardening Designers Conference 2024～（2024年7月22日）

蒲谷　武正（かまたに　たけまさ）
セキュリティ技術センター　サイバーインテリジェンスグループ

脅威情報の収集分析やサイバーインテリジェンス関連のビジネス・サービス開発、攻撃観測環境の構築・運営、セキュリティインシデント対応に関する業務に従事、CISSPを保持。

執筆記事

AIレッドチームのいわゆるAI脱獄問題や多言語問題について（2024年12月27日）

川西康仁（かわにし　やすひと）
セキュリティ技術センター　リスクハンティング・システムチーム

主にペネトレーションテスト、脆弱性診断、セキュリティ人材育成に従事し、NECグループのセキュア開発・運用を推進。
CEH、GIAC（GPEN）を保持、堅牢化コンテスト「Hardening 2024 Convolutions」にてLAC賞。

執筆記事

Objectionを用いたモバイルアプリの動的解析（2025年1月17日）
Hardening 2024 Convolutions参加記（2024年11月15日）

川北　将（かわきた　まさる）
セキュリティ技術センターサイバーインテリジェンスグループ

脅威インテリジェンスの分析や技術開発に従事。
SECCON CTF国際大会の決勝戦に参加した過去も。
CISSP、情報処理安全確保支援士（2024年10月現在）、システム監査技術者
人生の楽しみはうまい酒とモツ煮込み。

執筆記事

ランサムウェア被害と暗号資産価値（2024年11月1日）
ChatGPTをはじめとするLLMでサイバー脅威インテリジェンスは作れるのか（2023年5月19日）
メタバースと脅威インテリジェンス共有（2023年1月13日）
偽情報・誤情報とサイバーセキュリティ（2022年4月22日）
スマートフォンにおける個人情報の外部送信を調査する方法（2021年10月8日）
Bluetoothによるファイル送信の解析（2021年5月14日）
JavaScriptで書ける！APIフックによるマルウェア動的解析（2020年12月4日）
New Normal時代のリスクアセスメント（2020年8月21日）

木津　由也（きづ　よしや）
セキュリティ技術センター　リスクハンティンググループ

主にネットワークセキュリティ製品・サービスの開発に従事してきたが、最近はCTFに取り組んできた経験を活かし、ペネトレーションテスト、脆弱性診断などの領域にも仕事の範囲を拡大中。
2013年にnoraneco という社会人CTF チームを立ち上げ、現在は主にPwn/Reversing 問を担当。
SANS - Cyber Defense NetWars 2019.10 1位(Team)
SECCON 2019 国際決勝5位
Hack The Box - Omniscient

執筆記事

Difyで作ったAIチャットアプリでペンテストを一部自動化できるか試してみた（2024年6月28日）
話題のOpen Interpreterを触ってみた（2023年10月27日）
インシデント発生時のフォレンジック効率化とAnsible Playbookによる効率的な堅牢化~サイバーセキュリティシンポジウム道後2023~ （2023年7月28日）
CTF作問での新たな挑戦と得られた気づき（2020年8月28日）
SECCON Final（CTFの攻防戦）について（2020年1月17日）

桐下　拓也（きりした　たくや）
セキュリティ技術センター

大規模国際イベントのサイバーセキュリティ対応業務を経て、現在はインシデント対応、ペネトレーションテスト、NEC CSIRTなどの業務に従事。

2×SANSメダル、5×Splunk Boss of the SOCトロフィー、2×Taniumメダルを保持
CISSP、GCFA、OSDA、OSCP、OSWPを保持

執筆記事

Splunk Boss of the SOCに向けた取り組みの紹介（2024年5月31日）
Tanium CTF参加レポート（2024年3月12日）
HayabusaとSplunkによるファストフォレンジック効率化（2023年9月29日）
Azure Active Directoryのゲストユーザー侵害による情報収集（2023年3月31日）
多要素認証のバイパスが可能な攻撃「Pass-The-Cookie」について（2022年10月7日）

日下部孝太朗（くさかべ　こうたろう）
セキュリティ技術センター　セキュリティ実装技術チーム

2019年にセキュリティ技術センターに着任し、NECグループが提供するシステムやサービスのセキュア開発支援業務に従事。
IPA産業サイバーセキュリティセンターの中核人材育成プログラム(第二期)を修了。
CISSP、情報処理安全確保支援士（RISS)を保持。

執筆記事

NIC二枚挿しによるネットワーク分割はなぜ危ないのか：NIST SP800-82より考察（2021年6月18日）
2038年問題はセキュア開発で防げるのか？（2021年3月12日）
ICSの特性と脅威対策～つながる社会のセキュリティ対策～（2020年5月29日）

郡司　啓（ぐんじ　さとし）
セキュリティ技術センター　サイバーインテリジェンスグループ

おもに脅威情報を収集・分析し、それを必要とする人に届ける、といった事をしています。主な資格はCISSP、情報セキュリティスペシャリストなど。

執筆記事

ビジネスメール詐欺について（2024年9月13日）
QRコードのセキュリティについて（2024年2月16日）
サービス提供者側が行うべきフィッシング対策について（2023年4月28日）
パスワードに代わる認証方式として注目される「パスキー」について（2022年12月16日）
PCやスマートフォン、タブレット端末などのソフトウェアアップデートについて（2022年6月10日）
プログラミング言語のパッケージ管理ツールに潜む危険性（2021年12月17日）

小泉　嘉彦（こいずみ　よしひこ）
セキュリティ技術センター

NECサイバーセキュリティ訓練場演習の立ち上げを行った後に大規模国際イベントや官民向けのサイバーセキュリティ対応とし脅威インテリジェンス・フォレンジック・マルウェア解析・ペネトレーションテストに従事。現在はNEC Cyber Security Dashboardの企画・開発・運営に従事し、NECグループ全社員に向けてのセキュリティアウェアネス向上を目指す。

5×Splunk Boss of the SOCトロフィー、3×Taniumメダルを保持
情報処理安全確保支援士（RISS）、CISSPを保持

執筆記事

Splunkにおけるダッシュボードの機能比較（2025年3月7日）
ダッシュボード作成に関するガイドラインやベストプラクティスのご紹介（2024年7月5日）
Splunk Boss of the SOCに向けた取り組みの紹介（2024年5月31日）
Tanium CTF参加レポート（2024年3月12日）
EPSSとCVSSを組み合わせた脆弱性ハンドリング（2023年11月10日）

郡　義弘（こおり　よしひろ）
セキュリティ技術センター　インテリジェンスグループ

脅威情報の収集や展開、活用法の検討とともに、PSIRTとして脆弱性ハンドリングに従事。CISSP、情報処理安全確保支援士(RISS)、GIAC(GCTI)を保持。
山の上からセキュリティを見守りたい。

執筆記事

CVE IDの付与可能範囲が拡大、従来出来なかったクラウドサービスもOKに（2024年11月29日）
セキュリティ・バイ・デザインの取り組み～第4回九州サイバーセキュリティシンポジウム～（2024年4月22日）
攻撃者がサイバー攻撃の成果を主張する事例に着目してみる（2024年4月5日）
濃厚なサイバーセキュリティ最前線：攻撃手法の解析とAnsibleによる堅牢化の自動化～Hardening Designers Conference 2023～（2023年6月12日）
「能動的サイバー防御」を考える、この言葉の指すところは何なのか？（2023年2月10日）
国内におけるインシデント報告傾向を見てみる（2022年7月29日）
アクティブディフェンスとその先行事例について（2022年2月4日）
国家によるサイバー攻撃に対する声明「パブリック・アトリビューション」について（2021年9月24日）

小林昌史（こばやし　まさし）
セキュリティ技術センター　実装技術アーキテクチャグループ

インフラエンジニアを経て、セキュリティコンサルに従事。現在は、NECグループのセキュア開発・運用の推進を統括し、ポリシー策定、体制・プロセス整備をリード。リスクアセスメントやセキュリティ研修講師も努める。CISSP、情報処理安全確保支援士（RISS）を保持。

執筆記事

NECのセキュア開発の取り組み（2024年2月22日）
NECセキュリティスキルチャレンジ2019を開催（2020年3月27日）

榊龍太郎（さかき　りゅうたろう）
セキュリティ技術センター　リスクハンティング・アナリシスグループ

ペネトレーションテスト、脆弱性診断を通じたセキュリティ実装支援、インシデント対応、その他社内外向けのセキュリティ人材育成施策に従事。
2019年6月にIPA 産業サイバーセキュリティセンター中核人材育成プログラムを修了。
CISSP／CCSP／CISA／CISM／ISACA認定トレーナー／情報処理安全確保支援士(RISS) ／GIAC GPEN／CEH／CCSE／AWS CLF・SAA・SOA・DVA・SAP・DOP・SCS・DAS・MLS・DBS・PASを保持。
趣味は家族サービス。

執筆記事

ペネトレーションテスターの視点で見る「AIセーフティに関するレッドチーミング手法ガイド」（2024年12月20日）
トップレベルの高専学生向け演習”2023 堅牢化スキルチャレンジ”開催報告（2024年4月19日）
【合格記】あなたはCCSE(Certified Cloud Security Engineer)を知っていますか…？（2023年8月25日）
Amazon ECRにEvilなコンテナをねじ込んでみた（2023年2月17日）
ここがスゴイぞ！ICSCoE 中核人材育成プログラム（2022年8月5日）
Atlassian Confluenceに見つかったリモートから任意のコードを実行可能な脆弱性（CVE-2022-26134）の検証（2022年6月27日）
Microsoft Wordなどを介して任意コード実行が可能なMSDTの脆弱性（CVE-2022-30190、Follina）の検証（2022年6月20日）

杉本　元輝（すぎもと　げんき）
セキュリティ技術センター　実装技術レギュレーションチーム

社内SEへのセキュア開発推進・技術支援やセキュリティ研修の講師に従事。
堅牢化コンテスト「Hardening 2020 Business Objectives」グランプリ受賞。
「Hardening 2023 Business Generatives」MVV受賞。
CISSP、情報処理安全確保支援士を所持。

執筆記事

クレジットマスターの特殊な脅威（2024年12月13日）
クレジットカード決済の認証サービス「3-Dセキュア」の思わぬ落とし穴（2024年4月26日）
シェルスクリプトとGrafanaを使用したサーバ監視～Hardening 2023 Generatives～（2023年11月27日）
アルティメットサイバーセキュリティクイズ2023参加記（2023年8月10日）
Azure Security Virtual Training Day参加記（2020年6月26日）
AWS re:Invent2019（Security Jam&新サービス）（2019年12月20日）

鈴木　明日香（すずき　あすか）
セキュリティ技術センター　脆弱性マネジメントチーム
兼タレントマネジメント

NECグループの脆弱性を管理する業務、推進活動に従事。
兼務でセキュリティ教育や人材育成に携わる。

執筆記事

そのURLはそっくりさん？~ミスリードURLに注意~ （2022年1月7日）
【コラム】NECとセキュリティ教育（2021年8月27日）

鈴木雅也（すずき　まさや）
セキュリティ技術センター　リスクハンティング・システムグループ

IT基盤の構築や運用、脆弱性診断などの経験を経てNECへ転職。
現在はペネトレーションテストや脆弱性診断、社内CTFの運営、セキュリティ検査に関する新規サービス・技術の開発に従事。
SEC560、SEC565のSANS Challenge Coinsを保持。
CISSP／CCSP／情報処理安全確保支援士／OSCP／GIAC GPEN, GCFE, GRTP, Advisory Board／Red Team Operator の資格を保持。
趣味はアルコールインジェクション。

執筆記事

Red Team Ops：Cobalt Strikeを用いたレッドチーム演習のトレーニングと資格（2024年12月6日）
CCSP合格体験記：クラウドセキュリティのベンダーニュートラルな資格（2024年4月12日）
OSCP合格体験記：ペネトレーションテストの国際的認定資格へのチャレンジ（2023年8月4日）

高橋　航（たかはし　わたる）
セキュリティ技術センター　インテリジェンスグループ

サイバーインテリジェンスグループにて脅威情報収集・分析・発信を担当。
CISSP Associate

執筆記事

Fargoランサムウェアの解析結果のご紹介（2024年3月22日）
シェルスクリプトとGrafanaを使用したサーバ監視～Hardening 2023 Generatives～（2023年11月27日）

竹内　俊輝（たけうち　としき）
セキュリティ技術センター　リスクハンティング・アナリシスグループ

リスクハンティング・アナリシスグループにて脆弱性診断やペネトレーションテストを担当。趣味はマルウェア解析

SEC560メダル保持
情報処理安全確保支援士(登録番号014728号)
GIAC　GPEN

執筆記事

ChamelDoH インプラント～DNSトンネリング or DNS over HTTPS (DoH) ?～（2024年9月20日）
Andromedaマルウェアの解析（2024年8月23日）
LME × Hayabusa　－　Windowsイベントログの集約と解析の効率化（2024年1月26日）
フォレンジック調査におけるマルウェア解析の活用とMITRE ATT&CKに新しい脅威情報を提供して貢献する方法～CODE BLUE 2023～（2023年12月4日）
シェルスクリプトとGrafanaを使用したサーバ監視～Hardening 2023 Generatives～（2023年11月27日）
濃厚なサイバーセキュリティ最前線：攻撃手法の解析とAnsibleによる堅牢化の自動化～Hardening Designers Conference 2023～（2023年6月12日）
Adversary Emulation × AutomatedLab　－　攻撃エミュレーション環境を自動で作成する（2023年6月2日）
日本の大学を詐称する日本語で書かれたばらまき型メールの解析（2022年11月25日）

田中　大樹（たなか　だいき）
セキュリティ技術センター　リスクハンティング・アナリシスグループ

ソフトウェアの不正機能検査システムの研究開発業務を経て、現在はペネトレーションテスト、脆弱性診断、ソフトウェア検査などに従事。

執筆記事

XZ Utilsに対するサプライチェーン攻撃から考えるバックドアの検知（2024年8月9日）

谷口太郎（たにぐちたろう）
セキュリティ技術センター　実装技術アーキテクチャチーム

主にリスクアセスメントやクラウドセキュリティなどを担当し、NECグループのセキュア開発・運用を推進。

執筆記事

AWS向けセキュリティ診断:Amazon Inspectorの性能を検証（2024年10月25日）
MobSFを用いたAndroidアプリの動的解析手法（2024年3月29日）
ペネトレーションツールの紹介 ~Ninja C2~ （2021年2月12日）

外山拓（とやま　たく）
セキュリティ技術センター　リスクハンティング・アナリシスグループ

脆弱性診断やペネトレーションテストを主な業務としつつ、セキュリティ研修講師や社内CTF運営として得られた知見を社内に還元している。
社会貢献と診断の勉強を兼ねた脆弱性報告活動を趣味としており、政府や大企業を対象とした報告実績を持つ。
情報処理安全確保支援士/CISSP Associate/CEH MASTER/エンベデッドシステムスペシャリスト/2級鍵師/甲種火薬類取扱保安責任者/危険物乙種3,4,5,6類などを保持。

執筆記事

本当は怖いXML ～XML外部実体参照(XXE)に関する脆弱性について～（2024年1月19日）

中島　佳奈（なかしま　かな）
セキュリティ技術センター　リスクハンティングチーム

セキュリティ製品の開発を経て、現在はペネトレーションテスト、脆弱性診断などの業務に従事。
NECグループのセキュア開発・運用を推進。最近はプライバシーリスク関連について勉強中。
趣味は旅行や人との会話を通して、新しいことや知らないことを発見すること。

執筆記事

ゼロトラストの実現とSASE（Secure Access Service Edge）について（2020年11月6日）

中島健児（なかしま　けんじ）
セキュリティ技術センター　リスクハンティング・アナリシスグループ

NECがお客様へ納品するシステム・製品へのリスクアセスメント/脆弱性検査/ペネトレーションテストを通じて、安全・安心なシステム構築を支援する業務に従事
CISSP Associate、情報処理安全確保支援士(RISS) 、GCPN保持

執筆記事

トレーニングコンテンツ：脆弱なウェブアプリケーション「VulnerableAPP」のご紹介（2022年5月20日）
トレーニングコンテンツ：脆弱なAPIサーバー「Tiredful API」のご紹介（2021年11月5日）
トレーニングコンテンツ：脆弱なAndroidアプリ「InsecureBankv2」の紹介 ~動的解析~ （2021年6月25日）
トレーニングコンテンツ：脆弱なAndroidアプリ「InsecureBankv2」の紹介（2021年2月19日）
Columbus Cybersecurity Conference 参加記（2020年2月14日）

中島春香（なかしま　はるか）
セキュリティ技術センター　リスクハンティング・システムチーム

ペネトレーションテスト、脆弱性診断を通じたセキュア開発支援、セキュリティ人材育成に従事。
CTF for GIRLS 代表としてワークショップ・イベントの企画設計や講師を担当。
CISSP、CCSP、GCPN、認定Webアプリケーション脆弱性診断士を保持。
SANS SEC504, FOR508メダルを保持。
「Hardening II SU」 MVV(Most Valuable vendor)賞受賞。

執筆記事

「PortSwigger Web Security Academy」でWeb LLM の脆弱性を学ぶ（2024年8月30日）
セキュリティ・バイ・デザインの取り組み～第4回九州サイバーセキュリティシンポジウム～（2024年4月22日）
Splunk Boss of the SOC参加レポート（2023年12月22日）
シェルスクリプトとGrafanaを使用したサーバ監視～Hardening 2023 Generatives～（2023年11月27日）
「OWASP Wrong Secrets」でシークレットの管理を学ぶ（2023年7月7日）
NECセキュリティスキルチャレンジ2022開催報告（2022年12月23日）
トレーニングコンテンツ：脆弱なAPIラボ環境「vAPI」の紹介（2022年4月15日）
脆弱なAWS環境構築ツール「CloudGoat」で学ぶクラウド環境におけるSSRF （2021年10月1日）

中野　智晴（なかの　ともはる）
セキュリティ技術センター　実装技術レギュレーショングループ

NECグループのセキュア開発・運用を推進。
CISSP Associate、情報処理安全確保支援士(RISS)を保持。

執筆記事

クラウドサービス利用における責任共有モデルの実情について（2024年3月15日）
AWSのセキュリティイベントシミュレーションツール「AWS CloudSaga」のご紹介（2023年7月21日）
無料で利用できるセキュリティ学習アナログゲームを5つご紹介（2023年1月20日）
新しいクラウド認定制度ISMAP-LIUが発表されました（2022年7月8日）
AWSエクスプロイトフレームワーク「Pacu」のご紹介（2022年1月14日）
クラウドサービスを利用する際の責任範囲の明確化とクラウド事業者の信頼性の確認について（2021年8月20日）

長濱拓季（ながはま　ひろき）
セキュリティ技術センター　サイバーインテリジェンスグループ

インテリジェンスグループで脅威情報の収集・発信・分析やデータ分析業務を担当
CISSP Associate、GIAC (GCTI, GOSI)を保持

執筆記事

MITRE ATT&CK 頻出手口トップ10（2022年4月～9月）（2022年11月11日）
MITRE ATT&CK 頻出手口トップ10 Vol.3（2022年5月版）（2022年5月27日）
MITRE ATT&CK v10のアップデートについて（2021年11月12日）
Best Practices for MITRE ATT&CK Mappingの紹介（2021年7月2日）
ランサムウェアによる第三の脅迫手法（2021年2月26日）

長浜佑介（ながはま　ゆうすけ）
セキュリティ技術センター　リスクハンティング・アナリシスチーム

主にペネトレーションテスト、脆弱性診断などを担当しNECグループのセキュア開発・運用を推進。
2020年6月にIPA 産業サイバーセキュリティセンター中核人材育成プログラムを修了。
CISSP、GIAC（GXPN）、情報処理安全確保支援士(RISS)を保持。

執筆記事

SSHの公開鍵認証のオプション設定で機能制限の実現について（2025年3月14日）
Hardening 2024 Convolutions参加記（2024年11月15日）
OWASP IoT Security Testing Guideを読んでみた（2024年7月12日）
シェルスクリプトとGrafanaを使用したサーバ監視～Hardening 2023 Generatives～（2023年11月27日）
RSA Conference 2023参加記（2023年5月26日）
「発生してほしくない事象」を基点としたセキュリティ対策手法の紹介　～Consequence-Driven Cyber-informed Engineering(CCE) ～（2022年11月18日）
ディレクトリスキャンツール「feroxbuster」のご紹介（2022年5月13日）
ペネトレーションツールの紹介　～nuclei～（2021年10月29日）

長谷川　奨（はせがわ　しょう）
セキュリティ技術センター　リスクハンティング・システムチーム

ペネトレーションテストや脆弱性診断、社内CTFの運営などに従事。
2024年6月にIPA産業サイバーセキュリティセンター第7期中核人材育成プログラムを修了。
情報処理安全確保支援士（RISS）/CEHを保持。

執筆記事

LLMのテストプラットフォーム「Giskard」を触ってみた（2025年1月10日）
Hardening 2024 Convolutions参加記（2024年11月15日）
NEC Security Skills Challenge for Students 2024開催報告（2024年10月8日）
Androidアプリの静的解析ツール「APKHunt」のご紹介（2023年3月24日）
ポートスキャンツールRustScanのご紹介（2022年9月30日）

平田　純（ひらた　じゅん）
セキュリティ技術センター　脆弱性管理チーム

金融系SEからNECに転職し、現在はNECグループ向けの脆弱性管理業務に従事。
社内の製品・システムの脆弱性管理のため、構成管理情報の抽出やシステムへの入力支援を実施。

執筆記事

脆弱性管理におけるCVEと修正パッチについて（2022年9月20日）

平塚　尚人（ひらつか　なおと）
セキュリティ技術センター　セキュア技術開発グループ

NECグループ社内向けのセキュリティ関連サービスの開発に従事。
情報処理安全確保支援士(RISS)を保持。

執筆記事

2024年改訂「情報セキュリティ早期警戒パートナーシップガイドライン」について解説（2024年8月16日）

廣瀬　昂大（ひろせ　こうた）
セキュリティ技術センター　セキュア技術開発グループ

NECグループ社内向けのセキュリティ関連サービスの開発、セキュア開発の推進活動に従事。CISSP、情報処理安全確保支援士(RISS)、RSM、RPOを保持。

執筆記事

国内で検討が加速しているeシールの紹介（2023年12月15日）

本間　可楠（ほんま　かなん）
セキュリティ技術センター　セキュリティ実装技術グループ

社内のセキュア開発推進・技術支援、社内CTFの運営に従事。

執筆記事

NEC Security Skills Challenge for Students 2023開催報告（2023年10月4日）

松井祐輔（まつい　ゆうすけ）
セキュリティ技術センター

脅威インテリジェンス、内部侵入攻撃対策を専門とする。
大規模国際イベントや官民向けのサイバーセキュリティ対応業務を経て、現在はNEC CSIRT Cyber Threat Intelligenceなどの業務に従事。

CISSP、CISA、2×SANSメダル、5×Splunk Botsトロフィー、Offensive Securityメダル、3×Taniumメダルを保持。
YamatoSEC上忍、AD Hack WGリード、Hardening Project Kuromame6 メンバー、Offensive Security Lab Japan実行委員

執筆記事

Active DirectoryにおけるAttack Path（攻撃パス）SPN編（2025年3月28日）
Active Directory Certificate Services (ADCS) におけるAttack Path （2024年7月19日）
Splunk Boss of the SOCに向けた取り組みの紹介（2024年5月31日）
Tanium CTF参加レポート（2024年3月12日）
Active DirectoryにおけるAttack Path（攻撃パス）（2023年11月17日）
Living off the land というサイバー攻撃の方法論（2022年9月16日）

松本隆志（まつもと　たかし）
セキュリティ技術センター　リスクハンティング・アナリシスグループ

マルウェア解析や攻撃者の行動分析などの業務を経て、現在はペネトレーションテスト、脆弱性診断などに従事。
これまでに Botconf、JSAC、CODE BLUEで講演。
CISSP、情報処理安全確保支援士(RISS)、SANS FOR710 メダルを保持。
趣味は、CTFとコーヒーを飲むこと。

執筆記事

FOGとCAPEv2を用いた物理マシンでのマルウェア解析環境構築（2025年4月4日）
MWDBとKartonを用いたマルウェア管理システムの構築方法のご紹介（2024年7月26日）
シェルスクリプトとGrafanaを使用したサーバ監視～Hardening 2023 Generatives～（2023年11月27日）
オープンソースの自動マルウェア解析システム「CAPEv2」のご紹介（2023年11月24日）
インシデント発生時のフォレンジック効率化とAnsible Playbookによる効率的な堅牢化~サイバーセキュリティシンポジウム道後2023~ （2023年7月28日）
Windowsの権限昇格の脆弱性（CVE-2023-21746、LocalPotato）の検証（2023年4月7日）
Atlassian Confluenceに見つかったリモートから任意のコードを実行可能な脆弱性（CVE-2022-26134）の検証（2022年6月27日）
Microsoft Wordなどを介して任意コード実行が可能なMSDTの脆弱性（CVE-2022-30190、Follina）の検証（2022年6月20日）

水田　辰也（みずた　しんや）
セキュリティ技術センター　実装技術アーキテクチャグループ

元SE。現在は社内のセキュリティ提案・実装の推進活動に従事。CISSP、情報処理安全確保支援士(RISS)を保持。

執筆記事

AIエージェントを活用したサイバー脅威インテリジェンス生成とAWS Config・Ansibleを用いたセキュリティ実装の効率化、体験CTF～CODE BLUE 2024～（2024年12月10日）

宮口　侑己（みやぐち　ゆうき）
セキュリティ技術センター　セキュア技術開発グループ

NECグループ社内向けのセキュリティ関連サービスの開発に従事。趣味は釣りとお酒。

執筆記事

CRYPTREC暗号リストの改定について（2023年9月15日）

宮崎　駿（みやざき　しゅん）
セキュリティ技術センター　サイバーインテリジェンスグループ

脅威情報の収集やデータ分析業務を担当。
システムを堅牢化し“衛る”実践力を競う「Hardening II SecurEach」グランプリ。
「Hardening II SU」 MVV(Most Valuable vendor)賞受賞。
CISSP、情報処理安全確保支援士(RISS)を保持。

執筆記事

MITRE ATT&CK 頻出手口トップ10 Vol.6 （2024年10月18日）
フォレンジック調査におけるマルウェア解析の活用とMITRE ATT&CKに新しい脅威情報を提供して貢献する方法～CODE BLUE 2023～（2023年12月4日）
情報セキュリティとは何のためにあり、どう向き合えばよいか（2023年9月22日）
濃厚なサイバーセキュリティ最前線：攻撃手法の解析とAnsibleによる堅牢化の自動化～Hardening Designers Conference 2023～（2023年6月12日）
クラウドで使えるセキュアなマシンイメージ CIS Hardened Images （2023年3月17日）
経験から考えたインシデント対応のポイント（2022年9月2日）
セキュア開発の取り組み方について考える（2022年3月11日）
セキュリティアウェアネスとは何か（2021年2月5日）

宮澤　智輝（みやざわ　ともき）
セキュリティ技術センター　セキュア技術開発グループ

NECグループ社内向けのセキュリティ関連サービスの開発、社内CTFの運営に従事。CISSP Associate、情報処理安全確保支援士(RISS)、RSM、RPOを保持。趣味は将棋。

執筆記事

AIエージェントを活用したサイバー脅威インテリジェンス生成とAWS Config・Ansibleを用いたセキュリティ実装の効率化、体験CTF～CODE BLUE 2024～（2024年12月10日）

森本康太（もりもと　こうた）
セキュリティ技術センター　実装技術アーキテクチャグループ

NECグループのセキュア開発・運用を推進。

執筆記事

Microsoft Power Automateのセキュリティ（2024年9月6日）
セキュリティ・バイ・デザインの取り組み～第4回九州サイバーセキュリティシンポジウム～（2024年4月22日）
セキュリティ対策ソリューションの選び方（2024年2月9日）
安全なコンテナイメージレジストリIron Bankの紹介（2023年6月23日）
KubernetesのPod Security Policy非推奨化と今後（2022年12月9日）
ソフトウェアサプライチェーン対策の紹介（2022年6月3日）
Hardening 2021 Active Fault参加記（2021年12月10日）
特権コンテナの脅威から学ぶコンテナセキュリティ（2021年7月30日）

山﨑　泉樹（やまざき　せんじゅ）
セキュリティ技術センター　リスクハンティング・システムグループ

ペネトレーションテスト、インシデント対応に関する業務に従事。
CISSP、CCSP、RISS、GPEN、GCPN、GCFA、SANS FOR508メダルを保持。

執筆記事

USBデバイスの接続痕跡について（2024年10月11日）
セキュリティ・バイ・デザインの取り組み～第4回九州サイバーセキュリティシンポジウム～（2024年4月22日）
RDPビットマップキャッシュについて（2023年10月6日）
資格情報の窃取　～Cached Domain Credentials編～（2023年2月3日）
フォレンジックにおけるSRUMの活用（2022年7月22日）
コンテナイメージのセキュリティ（2022年1月28日）
本当は怖いワイルドカード（「*」）（2021年9月3日）
NECセキュリティスキルチャレンジ2020開催報告（2021年4月9日）

山田　英史（やまだ　ひでふみ）
セキュリティ技術センター　セキュア技術開発グループ

ネットワーク設計やメインフレーム開発を経て、現在はNECグループ社内向けのセキュリティ関連サービスの開発、セキュリティインシデント対応などの業務に従事。

執筆記事

電子メール誤送信の発生原因と対策（2023年6月30日）

山田　道洋（やまだ　みちひろ）
セキュリティ技術センター　実装技術レギュレーションチーム

NECグループのセキュア開発・運用を推進。主にクラウドのセキュアアーキテクチャ検討、リスクアセスメントに従事。
JNSA調査研究部会インシデント被害調査ワーキンググループメンバーとして活動し、2021年度JNSA賞受賞。
CISSPを保持。

執筆記事

IoT製品のセキュリティラベリング制度（JC-STAR）のご紹介とユーザとしての認証制度活用について（2025年4月11日）
サイバー攻撃によって生じる損害額（2024年10月4日）
認証方式の整理とNIST SP800-63での認証方法決定（2021年5月21日）
AWS環境での疑似インシデントレスポンス（2020年12月18日）
個人情報漏洩インシデント発生時の損害額算出モデル（2020年9月11日）
Microsoft Azureでのディスクフォレンジック（2020年7月3日）
AWS re:Invent2019（Security Jam&新サービス）（2019年12月20日）

山根　進也（やまね　しんや）
セキュリティ技術センター　セキュア技術開発グループ

セキュリティ製品の開発やお客様システムの開発業務を経て、現在はスクラムマスターとしてNECグループ社内向けのセキュリティ関連サービス・ツールの開発やセキュア開発推進業務に従事。

執筆記事

ローコード開発におけるセキュリティ検討ポイント（2022年10月28日）

山本　和也（やまもと　かずや）
セキュリティ技術センター　脆弱性管理グループ

NEC内外にてアジャイル開発やセキュア開発運用・脆弱性管理の推進、セキュリティインシデント対応などの業務に従事。CISSP、CISA、A-CSM、RSM/RPO、個人情報保護士等を保持。書籍「セキュリティエンジニアの知識地図」共著者。NEC全社将棋部幹事。

執筆記事

指標を用いた脆弱性管理業務の改善（2025年4月18日）
簡単！Excelからはじめる脆弱性管理～トリアージ～（2024年11月8日）
情報セキュリティインシデント対応におけるガイドラインの紹介と活用例（2023年3月10日）
OWASP Top10 Low-Code/No-Code Security RisksとOWASP Top10の比較（2022年8月26日）
アジャイル開発におけるセキュリティテストとIAST （2022年3月4日）

油布　翔平（ゆふ　しょうへい）
セキュリティ技術センター　リスクハンティング・アナリシスグループ

監視サービスの導入・EDR製品の検証・インシデントレスポンス対応に従事。

執筆記事

Hardening 2024 Convolutions参加記（2024年11月15日）
SIEMシステム用シグネチャフォーマット「Sigma」とSigmaルールの変換ツール「Uncoder.io」のご紹介（2022年10月14日）
トレーニングプラットフォーム「BLUE TEAM LABS ONLINE」のご紹介（2022年2月10日）

横田　健悟（よこた　けんご）
セキュリティ技術センター　セキュリティ実装技術チーム

NECグループが提供するシステムやサービスのセキュア開発支援業務に従事。
2020年6月にIPA 産業サイバーセキュリティセンター中核人材育成プログラムを修了。
情報処理安全確保支援士（RISS）を保持。

執筆記事

産業制御システムのセキュリティについて：A SANS 2021 Survey: OT/ICS Cybersecurityより考察（2022年3月25日）

吉田　樹弥（よしだ　みきや）
セキュリティ技術センター　セキュア技術開発グループ

セキュリティSaaS開発やセキュリティSaaSログ分析用のツール開発・AI技術の活用検証の業務を経て、現在はNECグループ社内向けのセキュリティ関連サービスの開発に従事。CISSP、RPO、RSM保持。

執筆記事

CRYPTREC暗号リストの改定について（2023年9月15日）

A藤（えーとう）※ハンドルネーム
セキュリティ技術センター　サイバーインテリジェンスチーム

脅威情報の収集やデータ分析業務を担当
情報処理安全確保支援士(RISS)、CISSP Associateを保持

執筆記事

S田（えすだ）※ハンドルネーム
セキュリティ技術センター　リスクハンティング・アナリシスグループ

ソフトウェアの不正機能検査技術の研究開発業務を経て、現在はペネトレーションテスト、脆弱性診断、ソフトウェア検査などに従事。

執筆記事

XZ Utilsに対するサプライチェーン攻撃から考えるバックドアの検知（2024年8月9日）

Kた（けーた）※ハンドルネーム
セキュリティ技術センター　戦略デザイングループ

文系学部出身で2024年に新卒入社。
大学時代の専攻からサイバー犯罪対策に興味を持つ。
現在はNECのサイバーセキュリティに関する戦略策定や政策渉外活動に従事。
堅牢化コンテスト「Hardening 2024 Convolutions」にてGSX賞を受賞。

執筆記事

Hardening 2024 Convolutions参加記（2024年11月15日）

冬瓜（とうがん）※ハンドルネーム
セキュリティ技術センター　セキュリティ実装技術チーム

入社以来、ネットワークの提案・設計・構築業務に従事。2017年より、セキュリティ技術センターに着任し、各事業部のリスクアセスメントの支援に従事。情報処理安全確保支援士（RISS）。趣味は、農作業。今回のブログでは、「農業におけるリスクアセスメント」か「多層防御でメロンを栽培してみた」で寄稿しようとしたが不採用となる。ブログを見ている皆様から「載せて欲しい」というお声が出ることを切実に願っている。

執筆記事