COLUMN

2024.10.02 ｜ Writer：ひろ

国際カンファレンスSecurity BSides Las Vegasにて登壇！

はじめまして、NTT東日本のセキュリティエンジニアのひろです。2024年8月6日～7日に米国ラスベガスで開催されたサイバーセキュリティ分野の国際カンファレンスSecurity BSides Las Vegas 2024にて登壇してきました。今回のコラムでは、登壇までの経緯や発表の体験記について紹介します。

1. Security BSides Las Vegasとは
2. 講演内容や経緯: 2-1. 講演内容; 2-2. 投稿に至った経緯; 2-3. CFP投稿と採用通知
3. 講演当日: 3-1. 会場について; 3-2. 発表！
4. まとめ

1. Security BSides Las Vegasとは

Security BSides Las Vegasとは、毎年8月にラスベガスで開催されるサイバーセキュリティ分野の大規模イベントBlack Hat USA, DEFCONと同時期に行わる国際カンファレンスです。BSidesは2009年に発足し、当初はBlack Hatでは採択されなかったが質の高いプレゼンテーションを発表する場としてコミュニティ主導で始まりました。年を追うごとに成熟し、発足から15年間で1,000回を超えるイベントが世界各地で開催され、参加者によるディスカッション、デモ、交流が行われています。

BSides Las Vegas 2024では、Breaking Ground, Common Ground, PasswordCon, Ground Floor, Ground Truth, Hire Ground, I Am The Cavalry, Proving Groundといったトラックごとに会場が分けられ複数のプレゼンテーションが同時並行で行われました。

脆弱性に関するセキュリティのお悩みや課題などNTT東日本のセキュリティエンジニアにて無料でご相談をおうけしております。ぜひお気軽にお問い合わせください。

2. 講演内容や経緯

2-1. 講演内容

NTT東日本が提供する電気通信サービスの脆弱性管理に関する手法について発表しました。NTT東日本では1,300万を超えるお客さまに対して電気通信サービスを安心・安全に使っていただくために非常に厳しく脆弱性管理を行っています。日々公開される脆弱性の数は年々増加していますが、膨大な脆弱性にしっかりと対応するためには適切に優先度付けを行うことが重要です。

講演内容では、SSVCという手法を実運用に適用し、脆弱性に優先度付けを行うために考案した具体的な評価基準、本手法を約50,000件の脆弱性に適用した際の検証結果と考察について説明し、実践的な脆弱性管理に役立つ知見として共有しました。

2-2. 投稿に至った経緯

NTTグループ内のイベントで、この取り組みについてナレッジ共有する機会がありました。もともとは実運用の中で膨大な脆弱性に対応するために苦悩し試行錯誤した経緯についてまとめたものでしたが、聴講者からは思いのほか好評であり、カンファレンスで発表したみたら？論文を書いてみたら？といった意見をいただきました。そこで、せっかくなら海外で発表してみたいと思っていたところ、Black HatやDEFCONと同時期に開催されるBSidesがテーマ的にも合っているということを伺い、挑戦することにしました。

2-3. CFP投稿と採用通知

BSides Las Vegasでは、事前にCFP(Call for Paper)というものを書いて投稿し内容を審査され、採用となった場合に発表することができます。CFPでは、概要（200単語以内）、詳細内容（8,000単語以内）やプレゼンテーションのアウトライン等を記述します。

CFP投稿の際、概要では端的に要点をまとめ数値を交えて説得力を持たせながら、聴講者がこの発表から何が得られるか伝わるように意識して書きました。詳細内容については、やった事やその成果だけでなく、苦労した点や取り組みに至った経緯なども併せて記述するようにしました。そして、題名についてはレビュアーにインパクトが残るようにした方が良い、というアドバイスを受け当初予定のものから変更しました。題名に合わせて追加の考察や根拠となるデータを加えたりなどの工夫をしました。

4月末頃にCFPを提出し、6月中旬頃に採用されたという通知が来ました！

投稿内容が公開されているので参考までに共有します。

https://pretalx.com/bsideslv24/talk/HUYQPV/

3. 講演当日

3-1. 会場について

BSides Las Vegas 2024は、Tuscany Suites & Casinoというホテルで開催され、ホテル内の会議室にて各トラックの講演が行われました。また、メインホールでは、複数のテーブルが並べられ、合間時間の休憩や食事、ネットワーキングができるようになっていました。外は真夏で40度を超えていますが、各部屋にある送風機が強力で寒いエリアもあるので参加される方は長袖の持参をお勧めします。

登壇者として参加すると、朝食、昼食、ドリンクが提供される他、Presenterと書かれているTシャツやバスタオル、ステッカー等がもらえて記念になります。せっかくなので、もらったTシャツを着て発表することにしました。

3-2. 発表！

今回の発表はGround Truthというトラックにて発表時間20分で行いましたが、無事に終えることができました。が、とてもありがたいことに聞いていただいた方々から大変興味を持ってもらい、息つく間もなく次々と質問をいただきました。新しい手法の導入にあたって課題はなかったか、実際に導入してみてどうか、どのようなツールを使っているか等、内容に関する具体的な質問をいただきテーマに関する関心の高さが感じられました。

また、とても参考になったので自社への導入も検討したい、といった嬉しいコメントもいただきました。

IT資産を持ち企業を運営している以上は、サイバーセキュリティは共通の課題であり、その解決に向けた試行錯誤と得られた知見を共有することは、国を超えて役に立てるということを改めて実感しました。

一方で、少し音が小さく聞き取りづらかったこともありますが、いただいた質問を一度で聞き取れず何度も聞き直してしまったことに悔いが残りました。真の英語力を身に着けなければと固く誓いました。

なお、講演内容は以下のYouTubeにて掲載されているので気になった方はご覧いただければと思います。

4. まとめ

今回のコラムでは、国際カンファレンスSecurity BSides Las Vegas 2024登壇の体験記についてご紹介させていただきました。

NTT東日本では、電気通信サービスをお客さまに安心・安全にご利用いただくための強固なセキュリティ対策を実施しているとともに、多くの企業や自治体に向けてセキュリティ運用サービス、セキュリティ診断サービス及びセキュリティソリューションを提供しております。今後も自社の取り組みについて社外に向け発信し業界全体のセキュリティ向上に貢献してまいります。