37th Annual FIRST Conference 現地レポート：グローバル戦略本部林彦博、伊藤公祐が登壇

公開日：2025.07.09　更新日：2025.07.09

はじめに

こんにちは。グローバル戦略本部の卞知賢です。
2025年6月22日から6月27日の間、デンマークのコペンハーゲンで開催されたサイバーセキュリティの国際会議「37th Annual FIRST Conference」（以下、FIRSTCON）に、GMOサイバーセキュリティbyイエラエ（以下、弊社）のグローバル戦略本部が参加しました。そして、世界中からセキュリティ専門家が集うこの舞台に、弊社の林と伊藤が共同で登壇しました。

本ブログでは、弊社林・伊藤の講演内容を中心に、2025年のFIRSTCONの様子を皆さんにお届けします。

FIRSTCONとは？

FIRST (Forum of Incident Response and Security Teams) は、セキュリティインシデント対応とセキュリティチームの世界的なリーダーシップフォーラムです。そして、FIRSTCONは、サイバーセキュリティの脅威動向、セキュリティインシデント対応、脆弱性管理など、多岐にわたるテーマが議論される年次カンファレンスで、世界中のセキュリティ専門家が一堂に会する貴重な情報共有とネットワーキングの機会となっています。

講演の全体像と注目テーマ

今回のFIRSTCONでは、多岐にわたるテーマの講演が同時並行で進行していました。今年は特に、AIや大規模言語モデル（LLM）をセキュリティ運用に応用するテーマ、そして具体的なランサムウェアの事例、その復旧戦略や交渉に関する講演が多いという印象を受けました。

今回のFIRSTCONのプログラムアジェンダ

一方で、弊社のグローバル戦略本部が専門としている製品セキュリティ関連の講演、つまり、製品のセキュリティ設計や、開発ライフサイクルにおけるセキュリティ組み込み（Security by Design）、そして製品セキュリティインシデント対応チーム（PSIRT）に直接焦点を当てた講演は、全体的に非常に少ない印象を受けました。この点については、次項で詳しくご紹介します。

弊社林・伊藤の共同講演レポート

今回のFIRSTCON 2025では、弊社の林と伊藤が、独立系セキュリティアドバイザーのKen Lee氏とともに、「PSIRT 2.0: Revolutionizing Product Security with the Generative AI Strategy – Approach for Empowering Product Cyber Resilience and PSIRT Operation」と題して共同で登壇しました。

講演では、製品セキュリティインシデント対応チーム（PSIRT）が直面する課題と、その進化の方向性、そしてAI技術の統合について解説しました。
まず、従来型のPSIRTが抱える主要な課題について説明しました。今回の講演では、セキュリティ問題の量と複雑さ、多数の関係者（内部・外部問わず）とのコミュニケーションの難しさ、そして人員や人材採用のリソース不足を課題として挙げました。弊社にて行った調査の結果から、多くの組織がリソース不足に苦しんでおり、PSIRTスタッフが限られている実態を浮き彫りにしました。

こうした課題を解決するため、林・伊藤は「PSIRT 2.0」という新しいコンセプトを提案しました。これは、従来の縦割り管理から、プラットフォームを基盤とした横断的なアプローチへの転換を強調するもので、サプライヤーパートナーとの連携深化や、組織間で情報を共有する共通基盤の構築がその中核となります。

さらに、生成AI、特にRetrieval Augmented Generation（RAG）技術がPSIRTの活動にどう役立つかに焦点を当てて解説しました。監視、トリアージ、評価生成、セキュリティアドバイザリーの作成といった、AIの実践的な応用例を紹介した上で、実際のデモンストレーションを通じて、CVE分析や脅威インテリジェンスの要約、脆弱性洞察の生成といったシステムの様々な機能も披露しました。AIの能力を活用しつつも、正確なデータベースクエリを用いたハルシネーション問題への対処や、人間の監督の重要性を強調し、生成AIの効果的な導入のための提言を行いました。
講演の中では、単にAIの活用だけでなく、CVEのような構造化データの処理と、セキュリティ管理におけるフレームワークからプラットフォームへの進化についても議論されました。特に、AIが非構造化データやソーシャルデータの管理に有効であると示唆しつつも、この分野がまだ初期段階にあることが述べられました。その上で、RAG技術をカスタムモデルに適用して精度向上を図る点に言及しながら、AIによる高度な情報処理と、その結果を効率的に活用するためのデータ基盤の両立、つまりデータを構造化された形式に整理することの重要性を強調しました。

多くの方に林・伊藤の講演をご聴講いただき、弊社の技術力と専門性を世界にアピールする非常に貴重な機会となりました。カンファレンスの最終日に開催されたにも関わらず、予想を上回る非常に多くの方にご参加いただきました。最終日は参加者が減少する傾向にある中で、これほど多くの方に足を運んでいただけたことは、製品セキュリティとAIの融合というテーマが、世界のセキュリティコミュニティにおいていかに高い関心を集め、その重要性が認識されているかを示すものだと感じています。

FIRSTCONにおける製品セキュリティ関連講演

今年のFIRSTCONでは、前述の通り、製品のセキュリティ設計やPSIRTに特化した講演が全体的に少ない印象でした。そうした中でも、特に注目すべき製品セキュリティ関連の講演が少数ながら存在しました。

一つは、先述した弊社の林と伊藤による「PSIRT 2.0: Revolutionizing Product Security with the Generative AI Strategy – Approach for Empowering Product Cyber Resilience and PSIRT Operation」でした。
そしてもう一つは、自由に参加できる「Lightning Talks」のセッションで行われた、Expat XMLライブラリの脆弱性の発見と、当時の各ベンターの対応に関する発表でした。
「Lightning Talks」は、エントランスの受付に設置された大きな紙に発表したいテーマを自分で手書きしてエントリーするというユニークな当日参加形式で、一人当たり5分間の自由な発言が許される場です。

この発表では、2022年7月にGoogle Project ZeroのJann Horn氏によって発見された、Expat XMLライブラリにおける再帰処理に起因するサービス拒否（DoS）脆弱性（CVE-2024-8176）に関する当時のストーリーが紹介されました。
Expatのメンテナがこの脆弱性の修正をリリースするため、ライブラリを使用する約40のベンダーに連絡を取り、協力を求めたものの、実際にパッチ開発に協力したのはわずか1社であったという現実が示されました。これは、多くの企業が脆弱性報告への準備不足やリソース不足を理由に支援できない状況を浮き彫りにしました。

このセッションの発表者は、ドイツ連邦情報セキュリティ庁（BSI）の担当者であり、この事例に対して、参加者に以下のような問いを投げかけました。

・脆弱性報告のためのセキュリティチームを持ち、/.well-known/security.txtのような統一された連絡先を公開し、アクセス可能な状態にしているか？
・上流（アップストリーム）のオープンソースプロジェクトとの関係を維持しているか？
・脆弱性へのパッチ作成や調整を支援する能力があるか？

特に、脆弱性報告の連絡先としてのsecurity.txtの重要性は、欧州サイバーレジリエンス法（CRA）における技術要件の事前提供を目的としてBSIが策定した技術ガイドライン「TR-03183: Cyber Resilience Requirements for Manufacturers and Products – Part 3: Vulnerability Reports and Notifications」でも、その作成と構成要素を要件として指定していることからも伺えます。このことから、BSIがsecurity.txtの普及を強く推進していることが推察されます。

これらの限られた講演は、現在の国際的なセキュリティコミュニティにおいて、製品ライフサイクル全体でのセキュリティ強化、特にPSIRTの取り組みへの注目度が、他のセキュリティインシデント対応テーマに比べてまだ十分ではない現状を浮き彫りにしたと言えるでしょう。

参加者交流とエンターテインメント

FIRSTCONは、単に講演を聴くだけの場ではありません。参加者同士の活発なコミュニケーションを促すための様々な工夫が凝らされていました。

まず、カンファレンス期間中は毎日会場にて朝食と昼食が提供されるため、わざわざ会場外へ食事に出る必要がなく、その時間をネットワーキングに充てることができました。また、毎日設けられた休憩時間にはパンとコーヒーが提供され、自然と他の参加者との交流が生まれていました。もし知らない人と積極的に交流したい場合は、あえて一人、または少人数で食事や休憩を取ることをお勧めします。様々な国や組織の人が気軽に声をかけてくれるため、幅広い人脈を築く絶好の機会となります。

さらに、パーティーも開催されました。お酒やおつまみ、アイスクリームなどの軽食が提供され、DJブースや輪投げなどのゲームコーナー、さらにはデンマークをテーマにしたバイキングのコスプレ道具と写真ブースが設置されるなど、エンターテインメント要素も満載でした。中には音楽に合わせてダンスを楽しむ人もいて、終了時間を過ぎてまで会場は大いに盛り上がっていました。

講演以外の交流の機会としては、散歩会やラグビー会なども開かれていました。こうした多様なプログラムが、参加者間の絆を深め、より実り多いカンファレンス体験を提供していました。

最終日には、恒例の豪華プレゼント抽選会も行われました。企業ブースからスタンプを全て集め、名前を書いて受付に提出すれば抽選に参加できます。景品はワイヤレスイヤホンやApple TVなど豪華なものが用意されており、一等賞は例年通り来年のFIRSTCON無料参加券でした。こうしたエンターテインメント性も、イベント全体を盛り上げる大きな要因となっていました。