2024年、今年もこの季節がやってまいりました!例年お盆の時期といえば、IT業界、中でも特にセキュリティ業界では非常に熱いお祭りが開催されています。それがラスベガスで開催される「Black Hat」と「DEF CON」です。
今年もNVCから技術者数名が参加をしてきましたので、このブログを通して今年の「Black Hat」の現地の様子をお届けしていきたいと思います。
※参考:過去の参加レポートにご興味がある方は、こちら(2023年の参加レポート)も参照ください。
Black Hatとは
まずは簡単に「Black Hat」について紹介しましょう。
Black Hatは世界最大規模の情報セキュリティカンファレンスの1つです。毎年米国以外にアジアと欧州の3地域での開催がありますが、その中でも最大規模となるのが米国ラスベガス開催のイベントです。
↑会場入り口のイベントロゴ
今年のBlack Hat USA 2024は、例年どおりラスベガスにあるマンダレイ・ベイ・コンベンション・センターで開催されました。イベント期間は8月3日から8日までの6日間であり、前半4日間がトレーニング、残りの後半2日間がカンファレンスです。今年はイベントの4日目にAIサミットや、CISOサミットなども開催され、カンファレンスには400社近いセキュリティベンダーがブースの出展参加をしていました。
↑カンファレンス会場内の様子
カンファレンスでは、最新のセキュリティ情報が発表されるキーノートやブリーフィング、セッションなどに参加することができます。他にも様々な体験会や、情報交流の場が用意されているのがBlack Hatの特徴です。
↑講演会場の様子
2024年のBlack Hatの印象
実際に2日間のカンファレンスに参加して私が感じた今年のイベントのトレンドは、昨年同様に「クラウド」と「AI」、そして「予防」の3つの観点でした。
「クラウド」基盤とそこで構築運用される資産へのセキュリティ意識の高まり
オンプレミス環境と比較し急速に普及しているクラウド環境に対して、基盤そのもの、クラウド上の資産(ワークロード)、アプリケーション、それらの有するAPIや、含まれるデータなど細かな領域に分けて、それぞれ必要なセキュリティ対策を実現するソリューションについての講演や展示が非常に多いと感じました。加えて、AI基盤を持つ組織も増えていることからクラウドセキュリティやデータセキュリティと絡めてAI基盤向けのセキュリティ対策ソリューションも増えているように感じます。
「AI」の活用と基盤へのセキュリティ意識の高まり
昨年はAIへの期待の高まりを感じましたが、今年はAIの活用を前提としたAI基盤へのセキュリティ対策や組み込みソリューションが多く出ている印象でした。特に後者については、多くのベンダーが検知や分析、対応方法の提示、ダッシュボードのフィルターなど様々な箇所でのAI活用を行うようになっています。しかし従来からあるMLベースのマルウェア検知のような「詳細なロジックがブラックボックスであるままAIを信じましょう」という見解で、AIに対するアプローチはまだまだ夢物語状態であるように感じました。それでも今後のセキュリティ対策を検討する中では確実に重要な要素の1つとなっていると感じるほど、街中やイベント会場での広告はAIに関するものが多かったのが今年のBlack Hatの印象です。
↑Black Hat会場施設内の広告
↑ラスベガスの街中の広告
全体的な可視化や管理の強化によるサイバー脅威への「予防」
これまでのセキュリティ対策が防御や検知/分析に対するものが大部分であった状態から、クラウドの可視化をはじめとした可視化の強化や、資産管理や運用を徹底的に行うことでサイバー攻撃への予防の効果を高めていくようなCTEMのようなソリューションが増えてきていることを感じました。この1つの理由にはNIST CSFの更新が想定されますが、効果的なセキュリティ運用のための大前提に可視化があることが改めて強調されていることを感じました。
他にも、個人的に意外と注目されていることを感じたのはモバイル向けのセキュリティ対策です。一方で従来から必要性が広く認知されているエンドポイントセキュリティやメールセキュリティ、SASEなどのネットワークセキュリティへのアピールは少なく感じました。
現地の様子を紹介
今年の「Black Hat」には、弊社(NVC)からは2日間のカンファレンスへ参加しています。ここからは主にカンファレンスの現地の様子を紹介しましょう。
↑会場ロゴ前での記念撮影(左が筆者)
Black Hatの特徴は「技術者向け」に特化したイベントであることです。ビジネスイベントではあるものの、Tシャツに短パン、サンダルといったカジュアルな服装の参加者も多く、イベント会場の端には、地面に寝転がりパソコンの操作をしている技術者も多くみられます。昨年に比べると、RSAカンファレンスほどではありませんが日本人の参加者が増えているのを感じます。
↑イベント中に無料配布されている飲食物ブースの様子
Business Hallでは、様々なセキュリティベンダーがブース出展しており、自社製品の展示やデモを行っています。日本でいうところのInteropやSecurity Daysなどの展示イベントを想像されるとイメージがつきやすいのではないでしょうか?
↑カンファレンス初日のイベント開始時点の様子
ブース内では担当エンジニアからの詳細なソリューション紹介やデモを見ることができますがそれだけではありません。
ラスベガスのイベントであることや、セキュリティイベントということからもビジネスイベントらしからぬ遊び心のある催し物が各ブースでは展開されています。飲食物の提供やカジノに因んだ抽選ゲーム、モノづくり体験などがありました。
↑ノベルティをルーレットで配るブースの様子
↑レーシングゲームで遊べるブースの様子
↑ノベルティをクレーンゲーム形式で配るブースの様子
ブース内にはオリジナルゲームやクレーンゲームを設置しているブースや、DJブースを用意して音楽をガンガンかき鳴らすものもあり、お祭り感の強いイベントです。ただ昨年と比べると、ピッキングやCTFなどの体験ブースが大幅に減っているなど落ち着いてしまった印象がありました。
↑アーケードゲームで遊べるブースの様子
↑半田付け体験ができるブースの様子
↑ギターでの音ゲームができるブースの様子
↑レゴブロックブースでレゴで作られたイベントロゴ
2023年の参加レポートにも記載をしましたが、業界的にもマニアックな部類の海外イベントであるため、日本語でのBlack Hat参加レポートが少ないのも特徴の1つです。今後このブログを通してBlack Hatへの初参加をする読者の方がもしいらっしゃれば、私からは動きやすい服装と防寒着の用意を推奨します。
8月のラスベガスも非常に暑いです。しかし、実際にイベントに参加しても隣接するホテル同士は地下道や連絡橋で繋がっているために屋外に出ることはほとんどありません。トラムやモノレールもあり、移動も非常にスムーズです。しかしながら会場内が広大なので、会場内やホテルから会場までは徒歩での移動がメインとなります。そのため動きやすい服装、特に靴はスニーカーなど疲れにくいものがおすすめです。
↑ラスベガス出張中の筆者の歩数記録で、水曜と木曜がBlack Hatイベント中の歩数
また、屋内の空調は日本の公共設備ではまず考えられないほど強力に冷房が効いています。長袖のパーカーなどの上着を着ていなければ寒いくらいの体感です。日焼け止めやサングラスの用意も重要ですが、それ以上にイベントに参加する以上は防寒着の用意を推奨します。ちなみにですが、Black Hatにはオフィシャルのグッズ販売コーナーがあり、そこで上着を現地調達(購入)することもできます。
↑イベント公式物販の様子
まとめ
「Black Hat」はIT業界の中でもセキュリティに携わるお仕事をされている方であれば、刺激になるような新しい情報や体験に溢れているイベントです。無料のイベントではないですし、物理的な距離や言語的な問題などいくつかのハードルはありますが、ぜひ一度は現地で参加、体験してみてはいかがでしょうか。
NVCでは最新情報の収集のため、今後もこうしたIT/セキュリティイベントに参加していく予定です。ぜひ次のイベント参加レポートを楽しみにしていただければと思います。
なお今回は「Black Hat」のみではなく「BSides」と「DEF CON」にも参加しています。興味がある方はぜひ以下の参加レポートご一読ください!
【参加レポ】BSides Las Vegas 2024に行ってきました!【参加レポ】DEFCON32に行ってきました!