この記事は、Money Forward Engineers Advent Calendar 2025 12月9日分の投稿となります。
こんにちは、Nanryです。普段は京都開発拠点で会計Plusの開発を担当しています。
2025年11月18日(火)〜19日(水)の2日間、日本最大級のセキュリティ国際会議「CODE BLUE 2025」に参加してきました。この記事は、その参加レポートとなります。
CODE BLUEとは
CODE BLUEとは、世界トップクラスの情報セキュリティ専門家による最先端の講演と、国や言語の垣根を越えた情報交換・交流の機会を提供する国際会議です。
欧米の著名な研究者を招へいし、最新の成果を共有するとともに、日本をはじめとするアジア各国の優れた研究者を発掘し、その研究成果を世界へと発信していきます。
今回で13回目の開催となり、日英同時通訳付きで開催されました。
全日程は11月16日(日)〜17日(月)のトレーニング、11月18日(火)〜19日(水)のカンファレンスで構成され、ベルサール高田馬場で開催されました。私はカンファレンスの2日間に参加しました。
なお、今回の参加は弊社のカンファレンス参加支援制度を活用させていただきました。エンジニアの成長を後押ししてくれる環境に感謝しています。
印象に残ったトピック
今回はTrack 2(Open Talks)を中心に参加しました。スポンサー企業による最新のセキュリティ技術や取り組みについての講演が充実しており、実践的な知見を多く得ることができました。
普段、Webアプリケーションの開発を行っている私にとって、CODE BLUEは視野を大きく広げてくれるカンファレンスでした。特に印象に残った3つのトピックについて紹介します。
1. AIエージェントとセキュリティ
CODE BLUE 2025では、AIエージェントに関するセッションが非常に充実していました。概念的な話から実装レベルの具体的な話まで、幅広く学ぶことができました。
Agentic Web Security(三井物産セキュアディレクション株式会社 / 高江洲 勲氏)は、Track 2の初日一本目のセッションであり、Agentic Web(=Multi Agent System:複数のAIエージェントが連携するシステム)時代のセキュリティの全体像を俯瞰する内容でした。従来のWebセキュリティとは異なる攻撃手法として、プロンプトインジェクション、記憶の改ざん、ツール権限の悪用、そしてAIエージェント間の信頼破壊といった複数エージェント環境特有の攻撃について実例を交えた説明がありました。
AIエージェントSaaSを安全に提供するための自社サンドボックス基盤(GMO Flatt Security株式会社 / ぴざきゃっと氏)では、より実装寄りの話が展開されました。このセッションの核心は、「Isolation is critical for AI Agents(AIエージェントには隔離が不可欠)」というメッセージでした。マルチテナント環境でクラウドホスティングされたAIエージェントに対してサンドボックスを提供することの技術的な困難さや、様々な隔離アプローチのトレードオフについて、実例を交えて紹介されていて、AIエージェント作成時に参考となる内容でした。
この2つのセッションを通じて、AIエージェントのセキュリティについて、概念から実装まで体系的に理解することができました。
2. 家電・物理デバイスのセキュリティ
普段はWebアプリケーションの開発に携わっていますが、CODE BLUEでは家電や物理デバイスといった、ソフトウェア以外の領域におけるサイバーセキュリティについて多くの学びがありました。
狙われる脆弱性の特徴とは?:IoTハニーポット×OSINTによる実証的アプローチ(パナソニック ホールディングス株式会社 / 田口 航平氏、中野 学氏)では、パナソニック独自のIoTハニーポットやOSINT、ダークウェブなど様々なデータソースを活用した取り組みが紹介されました。製造業ならではの課題として、製品ライフサイクルが長く様々な事業部門が存在する点があります。その中で製品分野ごとにCIA(機密性・完全性・可用性)の優先度を整理し、脆弱性対応の判断材料として活用する実践的なアプローチを学ぶことができました。
また、Track 2で開催されたTwin-Core CTF: From Soldering Fumes to PLC Pwnは、物理デバイスのセキュリティを体験的に学べる貴重な機会でした。時間の都合で一部しか体験できませんでしたが、基板レベルのファームウェアやチップの解析から通信制御やサービスの仕組み、さらには産業用制御システムへの攻撃まで幅広い課題が用意されていました。ソフトウェアエンジニアとしても知っておくべきハードウェア層の脅威について、新たな視点を得ることができました。
3. 法律・犯罪捜査・保険からの視点
技術的な脆弱性対策だけでなく、法律、犯罪捜査、保険といった異なるジャンルの講演も非常に印象的でした。セキュリティを多角的に捉える重要性を学びました。
OSINTを使った攻撃者の特定(NTTセキュリティ・ジャパン株式会社 / 真鍋 太郎氏)では、公開情報(OSINT)を活用して攻撃者を特定する手法について紹介されました。技術的な脆弱性の修正だけでなく、犯罪捜査的なアプローチでセキュリティインシデントに対応する重要性を学びました。攻撃者の痕跡を追跡し、その背後にある組織や動機を明らかにする過程は、まさに探偵のような推理の連続で非常に興味深かったです。
保険会社グループが考える対策の今と未来(MS&ADインターリスク総研株式会社他)は、サイバーセキュリティを保険の観点から考える、非常にユニークな内容でした。技術的な対策だけでなく、ビジネスリスクとして捉え、保険でインシデントをカバーするという考え方は新鮮でした。普段からセキュリティに携わられている弁護士の方のお話も伺えて、VPNから侵入されることが多いなど実務的な知見を得ることができました。
IoT時代におけるサイバー規制の展開:EUサイバーレジリエンス法の制度分析と私たちへの影響(株式会社NTTデータ先端技術 / 羽生 千亜紀氏)では、法規制の観点からセキュリティを考える視点を得られました。特に印象的だったのは、EUで販売される最終製品の製造者でなくとも、EU販売製品で使用されているコンポーネントを提供している事業者は、製造業者同様の対応を求められる場合があるという点です。グローバル化が進む現代において、地域的な法規制であっても国境を越えて影響が及ぶという現実を実感しました。技術者としても、こうした法律や規制の動向を把握しておくことの重要性を学びました。
おわりに
CODE BLUE 2025への参加を通じて、セキュリティに対する理解を大きく深めることができました。
普段、Webアプリケーション開発に携わっている私にとって、CODE BLUEは自分の専門領域を超えた学びの場となりました。AIエージェントの実装からIoT機器のハードウェアセキュリティ、さらには法規制、保険、犯罪捜査まで、「セキュリティ」という言葉が指す範囲の広さに改めて気づかされました。技術的な脆弱性対策だけでなく、ビジネス、法律、社会といった多角的な視点からセキュリティを考える必要性を実感しています。
また、スポンサー企業による講演では、実際のプロダクトやサービスでどのようにセキュリティ対策を実装しているか、具体的な事例を多く聞くことができました。理論だけでなく、実際の現場での試行錯誤や解決策を知ることで、自社のサービス開発にも活かせる知見を得られました。
さらに、会場では各企業のブースも出展されており、株式会社CyCraft Japanのブースで「Cybercans:情報セキュリティ人生物語」というセキュリティをテーマにしたボードゲームを購入し、京都開発拠点へのお土産にしました。拠点のメンバーと一緒に遊んで、セキュリティを楽しく学べる機会にしたいと思います。
今回学んだ知識を実際の開発現場で活かし、より安全で信頼性の高いサービス提供に努めてまいります。
