 本記事は 夏休みクラウド自由研究2025 8/16付の記事です。 |
はじめに
Black Hat USA 2025が2025年8月2日~7日にラスベガスのマンダレイ・ベイ・コンベンションセンターで開催され、私は8月6日~7日の期間で参加してきました。本記事では、Black Hatの説明と講演の概要を共有し、Black Hat USA 2024と比較して、今年注目の技術分野を考察したいと思います。
Black Hat とは
Black Hatとは世界中のセキュリティ専門家が集まり、最新技術や研究成果を共有するサイバーセキュリティのカンファレンスです。
開催場所は毎年、アメリカ、アジア、ヨーロッパ、中東&アフリカの4地域で開催され、初心者から上級者まで楽しめるイベントとなっています。今回参加したBlack Hat USAは例年、ラスベガスのマンダレイ・ベイ・コンベンションセンターで開催されるようで、今年も例年通り同じ会場での開催でした。
ラスベガスもBlack Hatで賑わっている様子でタクシーに乗ると、運転手からBlack Hatに参加予定かを聞かれることが数回あったり、ラスベガスの街中やハリー・リード国際空港の中でBlack Hat出店企業が大きな映像広告を流していたりしました。
ハリー・リード国際空港でのSentinelOneの広告
開催されたイベント
Black Hatで開催されたイベントは以下の通りです。
私はBlack Hatのメインイベントであるブリーフィングと、スポンサーセッションを中心に講演を聞きました。
- トレーニング(8月2日〜5日)
世界中の専門家による実践的な講座が開かれるイベントです。 - ブリーフィング(8月6日〜7日)
Black Hatの審査を通過した研究発表や最新セキュリティ情報が共有される講演イベントで、これがBlack Hatのメインイベントとなります。 - サミットデイ(8月4日〜7日)
特定業界や役職に特化したイベントで、その分野のパイオニアの発表を聞くことができます。
CISO Summit、The AI Summit、Financial Services Summit、Innovators & Investors Summitなどが開催されました。 - アーセナル(8月6日〜7日)
オープンソースツールと製品を紹介するイベントで、デモや実演がメインで参加者はプレゼンターと対話ができます。 - ビジネスホール(8月6日〜7日)
企業がブースを開き、自社製品を展示するイベントでベンダーや技術者同士の交流・情報交換ができます。
- スポンサーセッション(8月6日〜7日)
企業が研究発表や最新セキュリティ情報を共有したり、自社製品の紹介をする講演イベントです。
ブリーフィングと似ていますが商業的な色合いが強く、発表内容はBlack Hatによって審査されず、スポンサーであれば登壇できる講演となります。
ブリーフィングセッションについて
ブリーフィングセッションの内、基調講演の内容を簡単に載せます。
サイバーセキュリティの30年:学んだ教訓と今後の展望
Mikko Hypponen氏の講演で以下内容でした。
特に、エンジニアは努力してもその成果は見えずらいため評価されにくいという話は共感しました。
- 昔のコンピューターウイルスは遊びで作られたウイルスが主流だったが現在は金銭目的でウイルスが作成されるようになってきた。
- 最近ではランサムウェアギャングがAIを活用した攻撃事例を確認した。
- ユーザがリンクを踏んだことでウイルスなどに感染して被害が出るようなケースはユーザ自身の責任であるとする風潮は良くない。我々エンジニアがそうならないように設計するべきであり、エンジニアに責任がある。
- エンジニアはセキュリティインシデントが起きないように努力してもその成果は見えずらく、評価されにくい。
Black Hat USA 2024との比較・考察
比較はブリーフィングセッションをジャンル分けし、ジャンルごとにセッション数を算出し、Black Hat USA 2024と比較したときの各ジャンルのセッション増減数からセキュリティ業界で注目されている技術分野を考察します。なお、ここでのジャンルとはBlack Hatがセッションに割り当てたもので、Black Hat USA 2025、2024の公式サイトで公開されているセッションの一覧から私が数えました。また、1つのセッションが複数ジャンルに割り当てされたセッションもありました。
以下グラフ、表はBlack Hat USA 2025のブリーフィングセッション数が多い順にジャンルを並べました。
セッションの合計数は24年と比べて15セッション減り、全25ジャンルの内15ジャンルでセッション数が減少しました。
その中でもAI, ML & Data Scienceのセッション数が24年と比べて13セッション増え、最もセッション数の多いジャンルとなりました。このジャンルでは、AIモデルやAIエージェントの攻撃・防御技術に関するセッションが多い印象で、AIが普及し、2025年はAI技術そのものの安全性に関して関心が高まっているように思います。
また、Exploit Development & Vulnerability Discoveryのセッション数は24年と比べて6セッション減っています。
このジャンルは24年のBlack Hatで最もセッション数の多いジャンルでしたが、セッション数が減少し、25年は2番目のジャンルとなりました。しかし、未だにセッション数が多いことから、このジャンルが注目されなくなってきているわけではなく、より注目されているAI分野にセッション数が持っていかれただけであり、このジャンルも引き続き注目されていると思います。
| ジャンル | セッション数(2025年) | セッション数(2024年) | 前年比 |
| AI, ML & Data Science | 27 | 14 | 13 |
| Exploit Development & Vulnerability Discovery | 17 | 23 | -6 |
| Enterprise Security | 16 | 12 | 4 |
| Application Security: Offense | 13 | 18 | -5 |
| Hardware/Embedded | 11 | 12 | -1 |
| Network Security | 11 | 9 | 2 |
| Keynote/Main Stage | 10 | 7 | 3 |
| Platform Security | 10 | 8 | 2 |
| Threat Hunting & Incident Response | 10 | 10 | 0 |
| Application Security: Defense | 9 | 7 | 2 |
| Cloud Security | 9 | 11 | -2 |
| Malware | 9 | 6 | 3 |
| Cyber-Physical Systems & IoT | 8 | 7 | 1 |
| Policy | 7 | 6 | 1 |
| Cryptography | 5 | 5 | 0 |
| Defense & Resilience | 5 | 12 | -7 |
| Reverse Engineering | 5 | 7 | -2 |
| Mobile | 4 | 8 | -4 |
| Human Factors | 3 | 7 | -4 |
| Privacy | 3 | 4 | -1 |
| Leadership(※2025年に新たにジャンル追加) | 1 | – | 1 |
| Community & Career(※2025年ではジャンル無し) | – | 4 | -4 |
| Cyber Insurance(※2025年ではジャンル無し) | – | 4 | -4 |
| Forward Focus(※2025年ではジャンル無し) | – | 4 | -4 |
| Industrial Control Systems(※2025年ではジャンル無し) | – | 3 | -3 |
| 合計 | 193 | 208 | -15 |
さいごに(宣伝)
当社ではPrisma Cloud利用して、複数クラウド環境の設定状況を自動でチェックし、
設定ミスやコンプライアンス違反、異常行動などのリスクを診断するCSPMソリューションを販売しております。
興味のある方は是非、お気軽にお問い合わせください。