RSA Conference 2024に参加しました！
～次の最重要トレンドは？～

今回は、世界最大級のセキュリティー関連イベントであるRSA Conference（以下、RSAC）2024の現地レポートをお届けします。海外出張は2回目で、RSACは今回初参加となります。

世界中のセキュリティー関係者がさまざまな目的を胸にRSAC 2024の会場に集まったと思いますが、筆者は次の目的を持って現地入りしました。

RSACは、ブースの出展数やセッション数が非常に多く、すべて見るのは物理的に不可能なため、目的を持って参加した方がよいのは間違いありません。特に、人気の高いセッションはすぐに予約がいっぱいになりますし、予約不要のセッションは行列に並ぶ時間を計算に入れる必要があります。セッション以外にも見たいものは当然ありますし、適切な言い方ではないかもしれませんが、99%以上のセッションを諦めて、スケジュールを組まざるを得ません。

 

本記事では、多くの皆さまにセキュリティーへ関心を持っていただけるよう、エンジニアではない筆者の言葉でRSAC 2024の現地レポートをお届けします。外部へ情報発信する機会をいただいた際に都度お伝えしていることですが、セキュリティーは難しくて敬遠したいものではなく、働く皆さま一人一人を守る身近なものと感じていただけたら嬉しく思います。

まず、RSACの概要を記載します。

現地で知り合った方から、参加人数はコロナの影響で一時だいぶ少なくなった、というお話を伺いましたが、一方で、現地で知り合った別の方から、日本からの参加人数は例年より多いようだ、というお話も伺いました。私はRSACに初参加のため、昨年との差は実感できませんでしたが、どうやらRSAC 2023の参加者は4万人、RSAC 2024の参加者は前述の通り4.2万人と少し増えたそうです。

日本からの参加人数が多いことを実感したのは、5月7日（火）21:00（現地時間）に開催された「Japan Night @ SF 2024^※」に参加した時でした。会場のMurphy’s Pubに150名もの日本人が集まり、まさに足の踏み場もありませんでした。主催者の方に聞いたお話によると、昨年は80名程度だったのが、今年はおよそ2倍の人数が集まったとのことでした。会場の予約やFacebookでの告知など、Japan Nightを企画されている主催者の方々には、ただただ感謝の言葉しかありません。おかげさまで、たくさんのネットワーキングができました。この場を借りて、主催者の方々に感謝の意を表したいと思います。もちろん、フランクに名刺交換に応じてくださった、たくさんの方々にも感謝しており、この感謝の気持ちが届くことを祈っています。
 

^※Japan Night @ SF 2024は、有志の方々によって企画開催されているイベントで、 RSACの公式イベントではありません。

多くのPassは、購入時期が早ければ早いほど割引されます。例年同じだと思いますが、EARLY BIRD(～2024/1/12)、DISCOUNT(2024/1/13～2024/4/5)、STANDARD(2024/4/6～2024/5/3)、ONSITE PURCHASE(2024/5/4～)の4段階で価格が設定されています。最も高額なFull Conference Pass 1名分あたりのEARLY BIRDとONSITE PURCHASEの金額に800ドルもの差があるため、RSACへの参加が決まったら、なるべく早めにPassを購入した方がお得です。

早めに買うかどうかとは別の観点で、筆者はFull Conference Passだと金額も高く、使い切れない気がしたため、「RSA Conferenceの歩き方」も参考にしつつ、Expo Plus PassとOn Demandの組み合わせで購入しました。同じ時期にFull Conference Passを購入した場合に比べ、1名分あたり1,600ドルほど節約できました。なお、この組み合わせでPassを購入する場合、1名分のExpo Plus Passは選択できず、Expo Plus Group Purchaseを選択して、上司と筆者の2名分をまとめて購入する必要がありました。1名でRSACに参加される場合、組み合わせ購入では1名分の費用が無駄になってしまうため、2名以上の購入時に有効である点にご注意ください。

なお、さまざまなメーカーがExpo Passが無料になるコードを提供してくれました。ただ、Expo Plus 以上のPassが割引されるコードはありませんでした。

あくまで2024年の情報を基にしていますが、2025年以降のRSACに参加される方々に、ご参考になれば幸いです。

次の最重要トレンドの答え合わせの前に、「インクルーシブ」という言葉について、少しだけ語らせてください。

RSAC 2024の公式サイトに「Know Before You Go：RSAC 2024」というページが公開されており、そこにYouTube動画とPDFファイルが置いてあります。その中で、インクルーシブという言葉が使われています。

ただ、この「参加する前に見ておいて欲しい」という意図であろうYouTube動画の再生数が、筆者が日本を出発する前に見た際は900回程度だったため、参加者が約42,000人いたことを考えると、2%程度の人しか視聴していない計算になります。日本から参加した中で、このページを事前に見てから現地入りした人はほぼいないのではないか、と思われます。

RSAC 2024では、インクルーシブセキュリティーについて「人材を引き付けて維持し、組織内のサイロを打破し、セキュリティー文化を構築する。人々を結集するための新しい方法を模索してきたサイバーセキュリティー業界のさまざまな分野の専門家に焦点を当てる。」と説明しています。

インクルーシブという言葉から筆者は「誰もが参加できる」というイメージを想起しますが、インクルーシブセキュリティーは、CISOやシステム部門だけでなく、あらゆる人が全員参加するセキュリティーであって欲しいという願いが込められているのだろうと感じます。

日本と海外では根本的に経営層のセキュリティーの捉え方が異なると筆者は感じています。もちろん日本にも海外志向の組織は存在し、海外にも日本志向の組織は存在するため、日本と海外で大きく括るのはよくないでしょう。さまざまなご意見があるとは思いますが、セキュリティーをコストと捉える傾向の日本と、投資と捉える傾向の海外の差は結構大きいと筆者は考えています。RSACは海外のイベントのため、セキュリティーを組織が成長するための投資と捉えたうえで、インクルーシブセキュリティーを解釈すると、次の通りになります。

特に1つ目のセキュリティー人材については、日本人の感覚ではストレートな表現になってしまいましたが、それだけ海外では優秀なセキュリティー人材を継続的に確保することに一生懸命なのだと思います。そして、2つ目の組織の一体感については、セキュリティーに携わるようになってから、その重要性を強く感じています。例えば、CSMA（サイバーセキュリティー・メッシュ・アーキテクチャー）のように、セクショナリズムを超えるセキュリティー戦略の大きな青写真を描けるリーダーが必要ではないかと思います。最後に、3つ目のセキュリティー文化については、形式的に啓蒙や教育の機会を提供するだけでなく、あらゆる人がセキュリティー意識は誰かに指示されて向上させるのではなく自らの意志で向上させるのが当たり前になるよう、セキュリティーの学習コストを下げる努力の必要性を感じております。

皆さまの組織は、インクルーシブセキュリティーを実現できているでしょうか。

筆者は、これがRSACの目玉だと思っています。

選ばれたスタートアップ企業のTop10社が3分間のピッチコンテストを行い、WINNERの座を競います。特に皆さまにお伝えしたいのは、後述のデータセキュリティーを広義の意味で「AI」関連に含めると、 Top10社のうち5社がAIに関係していた点です。ただ、残りの5社も、バックエンドの仕組みはAIを取り入れているかもしれません。

RSAC 2024のWINNERは、ディープフェイクの発見と保護、つまり最重要トレンドのAIを象徴するスタートアップ企業の「Reality Defender」社でした。ディープフェイクはソーシャルエンジニアリングによって人を欺くのに用いられ、これらの脅威に対抗する高度なソリューションが近い将来必要になるはずです。特に、アメリカは選挙がデジタル化していて、ディープフェイクの活躍の場は多いと感じます。最近は日本でも、著名人の動画を合成して、金銭をだまし取る被害が広がっています。

次に、カンファレンス開催前の事前調査段階で筆者が個人的に関心を持っていたのは、AI SOC アナリストを提供するスタートアップ企業の「Dropzone AI」社です。ディープフェイクだけでなく、AIを活用した攻撃が今後ますます増えていくと、今までにない攻撃手法で情報を窃取できるようになると考えられます。そのため、防御側もAIを活用しなければ、超ハイスピード化する攻撃側のAI爆撃に勝てなくなるはずです。

AI SOC アナリストは、サイバーセキュリティー運用の効率化や人による意思決定の迅速化をサポートする役割を担います。防御側にAIがなければ、攻撃側のAIに太刀打ちできなくなるということです。なお、筆者の推しである「Dropzone AI」社のピッチコンテストの結果は、残念ながら3分間をオーバーするミスもあり、順位は振るわなかったものと思われます。

次にデータセキュリティーです。

AIを少しでも勉強したことがあるなら周知のことと思いますが、AIと密接な関係にあるのがデータです。筆者はAIの専門家ではありませんが、セキュリティーの世界にもAIが入りつつあるため、少し勉強しています。少し前まではAIモデルに注目が集まっていましたが、最近はデータに注目が集まっていると感じます。

「AIモデルの違い以上にAIに与えるデータの違いがAIのパフォーマンスに影響する」や、「実はAIにとっての良質なデータが世の中で圧倒的に足りていない」など、AI界隈でデータのことがたくさん語られています。AIはモデルと同じくらいデータが重要であると理解しています。

RSAC 2024のExpo会場で、「Data Security」、「DSPM（Data Security Posture Management）」、「Data Breach」をアピールする出展企業を多数見かけました。

今後は「Security for AI」や「AI for Security」という言葉が発展して、よりデータに焦点を当てた「Data Security for AI」や「AI for Data Security」という言葉を見かけるようになるかもしれません。

「Cloud Security」、「Zero-Trust」、「CNAPP」という言葉は見かけましたが、「SASE」はほとんど見かけませんでした。これは、「SASE」が多くの企業に採用され、一般化した証かもしれません。

ユニアデックスは、できる限り無駄なく隙間なく、商材を取り揃える取り組みを続けており、最新トレンドを掴むための海外出張や海外駐在員との情報交換を適宜行っております。

 

ユニアデックスはインフラだけの会社ではありません。「ユニアデックスに任せれば、セキュリティーは安心だ」と皆さまからご評価いただけるよう、日々取り組んでいますので、クラウドでもセキュリティーでも組み合わせに迷ったらユニアデックスまでご相談ください！