🔐
Fusic Tech Live 〜社内セキュリティのベースアップ戦略〜 レポート
2025年5月7日、「Fusic Tech Live 〜社内セキュリティのベースアップ戦略〜」がオンラインで開催されました。近年、企業へのサイバー攻撃は多様化・巧妙化し、セキュリティ対策は経営上の優先度がますます高まっています。本イベントでは、Fusicのエンジニアが「実際にどのように社内のセキュリティを強化し、ベースアップを実現しているのか」を事例を交えて詳しく紹介しました。本レポートでは、当日の発表とQ&Aを振り返りながら、印象的だったトピックをまとめます。
オープニング
まず、司会進行を担当したFusicの砂本氏より、イベントの趣旨とタイムテーブルが案内されました。Fusicではエンジニア同士の知見共有を目的として定期的にTech Liveを開催しており、今回は「社内セキュリティのベースアップ」がテーマです。単なるシステム面だけでなく、組織全体を巻き込むセキュリティ意識の改革や、実際の攻撃を知ることで守りを強化する手法など、様々な切り口からの知見が披露されることが予告されました。
それでは、各登壇者の内容を見ていきます。
多田 信洋「資格取得の先にあるもの 〜実務で使えるセキュリティ知識とは〜」
セキュリティの重要性と資格の位置づけ
最初に登壇した多田氏は、「日々増大するサイバーリスク」を具体的な被害額や企業の人材不足の統計を用いて紹介しました。今後も攻撃の巧妙化が見込まれる中、個々のエンジニアや社員がセキュリティを学ぶことが不可欠だと強調しました。
一方で、完全な防御は難しく、どれだけ知識があっても「未知の攻撃」を完全に封じるのは困難だといいます。そのため、 「一人ひとりが危険性を知り、被害を最小限に抑える取り組みが大切」 だと述べました。
多田氏はセキュリティ資格についても言及し、「資格取得そのものが実務に直結するわけではないが、勉強を通じて基礎知識の地盤が整う」点を挙げました。例えば、次のような資格があるそうです。
情報処理安全確保支援士
クラウドベンダーのセキュリティ系資格
CISSP などの国際資格
資格取得をゴールにするのではなく、あくまでも「脆弱性や攻撃手法を体系的に知るための入り口」と位置づけ、資格勉強後も実践的に知識を更新していくことが重要だと語りました。
実務で活きる知識とは
多田氏が挙げた「実務で役立つシーン」は3つあります。
新規開発・回収時の実装
フレームワークのベストプラクティスに従うだけでなく、想定外のコードが出てきた際にも脆弱性を指摘できる力
インシデント発生時の初動
影響範囲の特定や証拠保全を素早く実行し、被害拡大を防止する能力
継続的な強化
アップデートやライブラリの最新化を後回しにせず、常に最新状態を保つための説得・調整スキル
資格で広く基本的なセキュリティ概念を習得し、さらにCTFなどの実践的な演習を通じて「リアルな攻撃」を理解することが、強固なセキュリティ意識を育む鍵になるとまとめました。
Q&A:勉強法や時間の確保
Q: 「資格取得のコツはありますか?」 A:(多田氏) 「自分の取れる勉強時間をまず把握するのが大切です。10分単位しか確保できないのか、1〜3時間連続でとれるのかで勉強法も変わります。短時間ならスマホで疑問点を調べる、長時間なら図書館やホテルなど集中できる環境で過去問演習といった具合に、自分の生活パターンに合わせて無理なく習慣化するのがコツです」
早﨑 司「攻撃を知り、守りを強くする 〜CTFを活用した開発者のセキュリティ学習〜」
CTFを取り入れた学習の背景
続いて登壇した早﨑氏は、主にPHPやAWSを使ったシステム開発に携わっているエンジニアです。セキュリティ分野は専門ではないものの、近年の脅威増大を受けて自主的に社内で学習コミュニティを立ち上げました。
Fusic社内ではフレームワークが備える基本的な対策(CSRFやSQLインジェクション防止など)を日々利用しているものの、「フレームワーク外の盲点を知る機会が少ない」ことを課題と感じていたとのこと。そこで、CTF(Capture The Flag)を通じて、実際の攻撃を手を動かして体験しながら学ぶ取り組みを始めました。
CTFの実践と初感
早﨑氏が紹介したCTFの例としては、以下のようなものが挙げられました。
TryHackMe
サーバーに仕込まれた脆弱性を突き、旗(フラッグ)を探し出す演習
Juice Shop
Web脆弱性に特化した模擬ショップサイト。XSS、SQLインジェクションなど多彩な攻撃ベクトルが用意されている
月に1回、2時間ほどの社内勉強会を開き、メンバーが画面を共有しながら協力して問題を解く形式を採用。「1人では歯が立たない問題も、ワイワイ相談しながら取り組むことで理解が深まる」とのことでした。
Q&A:悪用防止や学習の続け方
Q: 「CTFで得た攻撃手法の悪用を防ぐ方法は?」 A:(早﨑氏) 「現時点では特別な研修プログラムはないですが、車内ルールとして“サーバーへ意図せぬリクエストを大量に投げ込む”ような行為は厳禁と周知しています。今後はCTF参加者に対しても、一層ルール徹底を促す予定です」
Q: 「初心者だけでCTFを始めるのは難しいでしょうか?」 A:(早﨑氏) 「最初はハードルが高いと思います。答えを見ても理解できないこともあるくらい。なのでコミュニティを活用したり、詳しい人の助言をもらいながら進める方がいいです。社外とも連携できたら楽しそうですね」
櫻川 幸三「組織で取り組むセキュリティ対策 〜仕組みで守るセキュリティ〜」
車内デバイス管理と脆弱性への即応
最後に録画で登壇した櫻川氏は、Fusicでセキュリティを統括する役割を担っています。セキュリティリスクには「最新の攻撃が猛威を振るうクラウド環境」と「社内のPCや端末が狙われる環境」の二面があり、今回は主に後者をどう守るかにフォーカスしました。
近年の事例としては、社員の1台のPCがマルウェアに感染し、そこから管理者権限を奪われて組織全体へ被害が波及するパターンが増えています。そのため「脆弱性を早期発見し、速やかにアップデートする仕組み」を全社的に整えることが重要だと説きました。
スピードが命の脆弱性対応
脆弱性は「リスクレベル」ごとに、対策すべき優先度やタイミングが世界的に示されています。特に緊急レベルの脆弱性は数日以内に悪用される可能性が高いため、Fusicでは 「自動通知」と「手動のフォローアップ」の二段階構え で対処しているそうです。
自動通知
管理ツールから脆弱性情報をメールとして取得
AWSのサービスを使い、メール本文から必要情報を抽出
各PCのソフトウェア名・脆弱性スコアなどをSlackチャンネルにリアルタイム投稿
手動のフォローアップ
自動通知を見落とした、あるいは対応が遅れている社員を個別チャンネルに招待
アップデートする必要のあるソフトウェアを明示
完了報告を得て確認するまではチャンネル退出不可
「強制アップデートですべてを制御する手もあるが、社内の自由度を考慮し、あえて“社員が自らアップデートする”方式を取り入れている」と櫻川氏は述べました。最終的に強制力が働くステップも設けつつ、まずは各自が能動的にセキュリティを意識してもらう文化づくりが狙いとのことです。
全体を踏まえた感想 〜次なるステップへの可能性〜
3名の発表を通じて、Fusicがどのように「社内セキュリティ意識を高めつつ、実際の防御力を底上げしているか」が明確に伝わってきました。特に印象的だったのは、以下の2点です。
一人ひとりの知識レベル向上と文化づくり
資格勉強やCTFにより、攻撃の手口を知ることで「守り方」を自然に学べる
「攻撃は完全に防げない」という前提を共有することで、万が一の初動対応や継続的なアップデートが徹底される
仕組みで漏れを最小化するアプローチ
自動通知で脆弱性を可視化し、見逃しを減らす
対応が遅れた場合の手動フォローで最終的に全端末をカバー
社員個々の裁量と組織的な強制力をバランスよく両立する
セキュリティはシステムの導入だけではなく、「どんな社内文化や学習の場をつくるか」も含めて総合的に取り組むべき領域であると再認識できる内容でした。エンジニアはもちろん、全社員がセキュリティに関心を持ち、日々学習と改善を続けること。その基盤として、知識共有・仕組み・ルールの三位一体化が重要なのだと感じます。
Fusicのように、まずは小さなところからCTF勉強会や資格学習の輪を広げ、次に組織全体で取り組む対策を整えていく──そうした段階的なアプローチは、多くの企業にとって参考になるはずです。今回のTech Liveは「社内セキュリティをどう底上げするか」を考えるうえで、実践的かつ示唆に富むセッションだったといえるでしょう。
Yardでは、テック領域に特化したスポット相談サービスを提供しています。
興味がある方は、初回の無料スポット相談をお申し込みください。
また、資料請求やお問い合わせもお待ちしております。テック領域の知見を獲得し、事業成長を一緒に実現していきましょう。
Read next
Loading recommendations...