国際カンファレンス「37th Annual FIRST Conference」参加・登壇レポート
― AWS WAFを活用したセキュリティ運用に関する独自技術について紹介してきました ―

1. Annual FIRST Conferenceとは

1-1. FIRSTとは

FIRST（Forum of Incident Response and Security Teams）は、世界各国のCSIRTやセキュリティ専門家が参加する国際組織です。1990年に設立され、現在では110以上の国と地域から800を超える組織が加盟しています。

FIRSTは、世界中のセキュリティ組織がつながることでセキュリティインシデント発生を抑え、安全なインターネット世界を実現することを目的としています。そのためにFIRSTは毎年6月に年次カンファレンスを開催しており、そこでは最新の脅威情報やインシデント事例、先進的なセキュリティ対応策などの幅広いテーマについて、発表や意見交換が行われています。

1-2. 37th Annual FIRST Conferenceの概要

37th Annual FIRST Conferenceは、2025年6月22日から27日にデンマーク・コペンハーゲンで開催されました。今年のカンファレンステーマは、“Fortresses of the Future: Building Bridges, Not Walls” （未来のとりで：壁ではなく、橋を築く）でした。これはデンマークを含む南スカンジナビア半島が、1000を超える島々とそれらを結ぶ数千の橋やトンネルで構成されているという地理的特徴と、カンファレンスの場を介した「協力」と「情報交換」を通じてサイバー攻撃に対抗するといった開催目的とを、掛け合わせて設定されたそうです（素敵なテーマですね！）。

会場となったコペンハーゲン Bella Center

カンファレンスでは、約100のセッションやワークショップ、Lightning Talks、ネットワーキングイベントが行われ、世界各地の専門家が最新技術やインシデント事例について発表していました。会場のあちこちでは国を跨いだ参加者同士の活発な交流が見られ、NTT東日本グループから参加したメンバーもさまざまな国の方々と情報交換を行いました。

開放的な空間でネットワーキングが行われました

またNTT東日本のセキュリティオペレーションセンタ（SOC）にて、お客さま向けセキュリティ運用サービスを担当する菅原と川内がセッションに登壇し、クラウドセキュリティ運用における独自の取組みや技術について発表しました。次章では、採択までの経緯や本番当日の模様など、登壇までの体験を振り返ります！

クラウド情報セキュリティに関するお悩み・課題など、NTT東日本のセキュリティエンジニアへお気軽にご相談ください！

2. 登壇体験記

2-1. 発表内容

カンファレンスでは “Maximizing the Potential of AWS WAF: Fully Automating Threat Detection with Custom Managed Rules and Proprietary Threat Intelligence” と題し、NTT東日本SOCが提供するAWS WAFのセキュリティ運用サービスにおける独自技術について発表しました。

NTT東日本SOCでは、AWS公式のマネージドルールに加え、自社開発のカスタムルールやNTTグループで蓄積してきた脅威インテリジェンスを組み合わせることで、AWS WAFによる高精度な脅威検知と最新の攻撃に対する自動遮断を実現しています。

本発表では、こうした取り組みの中核をなす過検知抑制のための技術的な工夫やカスタムルール設計のアプローチ、自動遮断の具体的な仕組みについて、実際の運用現場で直面した課題や改善のプロセスを交えながら、具体的なデータとともに紹介しました。

発表後の一枚。登壇した菅原と川内

2-2. 経緯

NTT東日本SOCでは、2022年より独自のカスタムルールと脅威インテリジェンスを活用した自動遮断システムを自社開発しサービス提供しています。この取り組みは、多くのお客さまから高く評価いただいており、2024年9月に開催されたAWS公式セミナー^※にてご紹介の機会をいただきました。発表後には、AWSの開発・運用に携わる多くの技術者の皆さまから、現場に即した実用的な仕組みとして好評をいただきました。こうした反響を受け、日本国内に限らず海外においても同様の課題を抱える技術者や運用担当者の皆さまにとって、有益な知見となるのではないかと考えました。そこで、内容を更に充実させたうえで、各国のセキュリティ専門家が集う国際会議 Annual FIRST Conferenceへの登壇にチャレンジすることにしました。

Amazon Web Services ブログ：【開催報告】「高度化するサイバー攻撃へのWeb セキュリティ対策 ～ 強化された機能とプロアクティブな運用サポート」セミナー

2-3. 登壇までの道のり

Annual FIRST Conferenceでの発表には、有識者による厳正な審査を通過する必要があり、登壇の機会は限られたものです。CFP（Call for Proposals）への応募では、発表の概要とあわせて、何を目的とした取り組みか、誰にとってどのような価値があるか、なぜ自分たちが語るべきなのかが問われます。私たちは、アカデミックな研究成果等とは異なる実務現場ならではの視点から、SOCの現場で日々直面しているリアルな課題と、それを乗り越えるための改善の工夫を中心にアピールしました。2024年12月に投稿を行い、その後2025年2月に正式に採択されたという通知をいただきました！

本番までの約4か月間、チームで力を合わせて準備を進めてきました。今回は、日本人として英語を母国語としない立場で発表するため、ネイティブっぽさよりも、分かりやすさを大切にしました。難しい言い回しは避けて、世界中の参加者にも伝わるよう、シンプルな言葉選びや構成を工夫しています。またPowerPointの読上げ機能を活用しシャドーイングするなど練習を繰り返しました。さらに、発表直前まで技術内容の見直しやリハーサル、質疑応答の想定なども含めて、チームみんなで準備を重ねました。

発表スライド：独自の脅威情報を活用したサイバー攻撃の自動遮断システムについて

2-4. 発表本番

発表当日は、想定を上回る多くの方にご聴講いただき、チームで重ねてきた事前の準備や練習の成果もあって、無事に発表を終えることができました。質疑応答では、IPアドレスを変更しながら繰り返される執拗な攻撃への対応方法は？この技術をマルウェア対策にも活用しているか？といった、実務に即した質問をいただき、関心の高さを実感しました。また懇親会などの場面でも、国内外の参加者の方々からとても参考になったとの声をいただいたほか、脅威インテリジェンスの収集・活用の工夫や、過検知対策におけるルールチューニングのコツなど、現場での運用に直結するような意見交換も行うことができました。セキュリティ運用に携わる方々からの反応を通じて、NTT東日本SOCが持つ運用技術の実力を改めて認識できた貴重な機会となりました。

なお、講演の様子はFIRST公式YouTubeチャンネルで公開されています。ご興味のある方はぜひご覧ください！

登壇中の様子

クラウド情報セキュリティに関するお悩み・課題など、NTT東日本のセキュリティエンジニアへお気軽にご相談ください！

3. 聴講セッションの紹介

Annual FIRST Conferenceでは他にもたくさんの発表セッションがありました。その中でも曽我が気になったセッション「Case: City of Helsinki Data Breach 2024」についてご紹介します！なおカンファレンスでは「TLPラベル」と呼ばれる情報開示制限があり、このセッションは全世界公開が認められている「TLP：CLEAR」です。

このセッションはフィンランド国家サイバーセキュリティセンター（NCSC-FI）のMatias Mesiä氏が、2024年4月に発生したフィンランドで過去最大のデータ漏えい事件、ヘルシンキ市の事例について報告しました。この事例では、2014年に導入した後2016年以降管理されなかったVPN機器に対して脆弱性を突かれ、攻撃者に侵入されて大量の情報が漏えいしました。攻撃によってVPN機器のクラッシュやICTサービスプロバイダ（筆者注釈：恐らく保守ベンダと思われます）のシステム障害が発生し、ヘルシンキ市が攻撃を確認した時には既に4日が経過していました。この時点で市民や職員の情報を含む約2TBのデータが漏えいし、約50万人に影響する状況となっていました。

ヘルシンキ市はNCSC-FIへサイバー攻撃事案として通報し、関係各所が密に連携して被害拡大の抑止を図りました。特に市民への情報公開やメディアコントロールには力を入れたそうで、記者会見では「影響数・根本原因・再発防止策」が必ず聞かれるため、市担当者には万全な回答を持たせて記者会見に臨んでもらったとのことでした。またNCSCが専門家としてメディア露出を積極的に行い、インシデントの解説や誹謗中傷の鎮静化、他組織への再点検の呼びかけを行ったそうです。

本事例を経てMatias Mesiä氏は、ステークフォルダ同士のコミュニケーションに難が生じたと振り返っていました。セキュリティ製品の利用や脆弱性対応といった技術的な対策にも言及しつつ、緊急時の体制や適切なコミュニケーションツールの利用といった人的な対策が重要だと語り、非常に印象的でした。

Matias Mesiä氏の登壇

クラウド情報セキュリティに関するお悩み・課題など、NTT東日本のセキュリティエンジニアへお気軽にご相談ください！

4. まとめ

Annual FIRST Conferenceは、サイバーセキュリティ分野の最前線を担うプロフェッショナルが、国境を越えて知識を交換し、人的ネットワークを広げる素敵な機会でした。世界のサイバー攻撃事例や地政学リスクへの対応、グローバル標準の最新技術を肌で学ぶと共に、NTT東日本が現場運用を通じて積み重ねてきた技術と対応力が、国際的な場においても一定の評価をいただけたことは、大変励みになりました。世界中の専門家と意見を交わす中で、私たちの取り組みに対して関心を持っていただけたことからも、今後さらに磨きをかけていく価値があると感じました。

NTT東日本では、お客さまに安心・安全な電気通信サービスをご利用いただくために、さまざまなセキュリティ対策に取り組んでいます。また、SOCを中心とした高度な監視体制と技術力を活かし、セキュリティ運用サービス、診断サービス、コンサルティングなど、多様なソリューションを通じて、多くのお客さまの安心を支えています。今後も、より一層技術力と対応力を磨きながら、未来の通信インフラの安心・安全をリードしてまいります。

クラウド情報セキュリティに関するお悩み・課題など、NTT東日本のセキュリティエンジニアへお気軽にご相談ください！