本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

ご好評につき、講演部分は2026年02月03日（火）開催セミナーの録画を配信します。

Q＆Aは、ライブにて講演者がご回答いたします。皆様からのご質問お待ちしております。

問題提起：開発スピードが上がるほど、事故のスケールも上がる

近年、システム開発に起因する欠陥が、ビジネス停止や顧客企業に大きく波及するセキュリティ被害事案が増えています。脆弱性悪用による情報漏えい・改ざん・乗っ取りに加え、クラウド設定不備など、「作る」だけでなく「動かす」段階の不備も被害を増幅させています。 生成AIの普及で、開発は“それっぽく”加速しやすくなりました。ところが、スピードが上がっても、セキュリティが自動的に上がるわけではありません。むしろ、指示の出し方や判断基準が曖昧なままAIを使うと、不安全な実装や運用設計が“量産”されるリスクが高まります。

原因への洞察：セキュア開発が回らないのは「仕組み」と「見える化」が足りないから

セキュア開発が難しいのは、スキル不足だけでは説明できません。問題は、仕組みと可視化が不足したまま、個人に負担を押し付けてしまう構造にあります。

• よくある問題構造1.「診断して高リスクだけ対応」で止まってしまう：指摘は“点”で終わり、次の開発に活かす“線”にならない。再発防止が仕組み化されない。
• よくある問題構造2. OSSや委託先を含む開発体制がブラックボックス化する：自社システムの構成や依存関係を正確に把握できず、説明責任を果たしにくくなる。その結果、SBOMの整備や運用に着手しづらい状況に陥いる。
• よくある問題構造3. “リリース中心の文化”が、リスク指摘を遅らせる：不注意に起因する問題ほど言いづらく、例外処理や運用設計の甘さが放置される。

「OWASP Top 10:2025」は、アクセス制御だけでなく、ソフトウェアサプライチェーンや例外条件の扱いなど、より広い範囲で“現実の事故要因”を突いています。この視点を持たずにAI活用を進めると、便利さと引き換えに、見えないリスクを増やしてしまいかねません。

次の一手：「OWASP Top 10:2025」を実践できる力とプロセスに変換する

本講演では、「OWASP Top 10:2025」を単なる知識として“読んで終わり”にせず、開発と運用の現場で実装できる戦略に落とし込むことを考えます。特に、次の3点を“現実解”として提示します。

（1）共通機能要件をつくれるチーム力向上：セキュリティを「できれば」ではなく「仕様」にする （2）検証できるプロセスを組み込む：スプリント（開発サイクル）ごとに改善の示唆が得られる状態をつくる （3）被害影響の最小化と回復を設計する：レジリエントな開発・運用力を高める

さらに、年度末予算100～500万円規模でも着手できる施策例を示し、「どこから始めるか」「何を成果物にするか」「どう測るか」など検討できる経営判断の起点を提供します。

プログラム

09:45～10:00　受付

10:00～10:05　オープニング（マジセミ）

10:05～10:45　AI時代だからこそ必要なセキュア開発の「次の一手」とは？～「OWASP Top 10:2025」を起点に、“作って終わり”から脱却するセキュア開発の現実解～

10:45～11:00　質疑応答

※質疑応答タイムはライブ配信にて行います。

主催

株式会社アスタリスク・リサーチ（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

迫るCRA対応――SBOM時代の脆弱性管理とは

欧州のサイバーセキュリティ規制であるCRA（Cyber Resilience Act）への対応が、いよいよ現実味を帯びてきました。製品ライフサイクル全体にわたるセキュリティ確保と、継続的な脆弱性管理の実施が求められる中、SBOM（Software Bill of Materials）の整備と活用は、もはや“推奨”ではなく“前提条件”となりつつあります。

ソフトウェアサプライチェーンが複雑化し、OSSの利用が拡大する現在、自社製品に含まれるコンポーネントとその脆弱性影響を正確に把握することは、企業の信頼性を左右する重要なテーマです。CRA対応を見据えた実効性のある脆弱性管理体制の構築が急務となっています。

脆弱性の優先的は？パッチ適用までの間まで守る必要性

しかしながら、SBOMを整備し脆弱性情報を収集しても、「何から対応すべきか分からない」という声は少なくありません。日々公開される膨大な脆弱性情報の中から、自社にとって本当にリスクの高いものを見極めることは容易ではありません。

例えば、 ・CVSSスコアは高いが、実際の悪用可能性は低い脆弱性 ・スコアは中程度でも、すでに攻撃コードが出回っている脆弱性 ・重要設備に関わるが、停止できずすぐにパッチを適用できないシステム

といった状況に直面しているのではないでしょうか。

単なるスコア依存ではなく、「自社環境における実質的なリスク」に基づいた優先順位付けと、パッチ適用が困難な環境に対する実効性ある防御策が求められています。

いま始めるべき、実効性ある脆弱性管理とリスク対策

本セミナーでは、CRA対応における脆弱性管理や優先順位付けに課題を抱える方に向けて、実践的な解決策をご紹介します。

まず、クラウド型脆弱性管理サービス「FutureVuls」を活用し、SBOMと最新の脆弱性情報を組み合わせながら、自社にとって真に対応すべき高リスクを見極める方法を解説します。

さらに、自社製品が顧客環境で長期間稼働することを前提とし、「すぐにパッチを適用できない設備」をどのように守るのかについても取り上げます。TXOne Edgeシリーズを活用したネットワーク防御およびエンドポイント保護の実践手法を、用途・リスクレベル別のセキュリティバンドル構成例や導入パターンとともにご紹介します。

こんな方におすすめ

・CRA対応を見据え、SBOMの活用方法を具体化したい方 ・脆弱性の優先順位付けに課題を感じているセキュリティ担当者の方 ・パッチ困難環境でのリスク対策を強化したいIT／OT部門の方 ・製品開発や品質保証の立場で脆弱性管理体制を整備したい方

プログラム

14:45～15:00　受付

15:00～15:05　オープニング（マジセミ）

15:05～15:50　

・CRA対応における本セミナーの位置づけとアジェンダのご説明（岡谷エレクトロニクス）

・製造業のCRA対応 SBOMと脆弱性管理の『次の一歩』 （フューチャー 小野田 裕様）

・TXOneによるCRA支援策（TXOne Networks Japan 渡辺 太造様）

15:50～16:00　質疑応答

主催・共催

岡谷エレクトロニクス株式会社（プライバシーポリシー）

TXOne Networks Japan 合同会社（プライバシーポリシー）

フューチャー株式会社（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。

本セミナーはWebセミナーです

ツールはZoomを使います。URLは直前にメールにてご連絡いたします。 なお、「osslabo.com」「majisemi.com」からのメールが迷惑メールとならないよう、メールの設定をご確認ください。

少人数・兼務で回すインフラ運用の現実

事業を支えるサーバーやクラウド基盤は「止められない」一方で、運用体制は少人数・兼務で回している企業が少なくありません。監視ツールの導入やアラート通知までは整備していても、構築・運用・改善を継続的に担える専任体制を確保できず、アプリ開発者がインフラも兼務しているケースも多いのが実情です。 その結果、日々の運用が“回っているように見える”状態のまま、業務過多・属人化・運用品質のばらつきといった課題を抱え続けてしまいます。

アラートは鳴るが初動は人次第の危うさ

夜間・休日に障害通知が来ても、「詳しい人が気づけるか」「起きて対応できるか」「何をすべきか判断できるか」に依存していないでしょうか。 アラートは受け取れていても、切り分けや一次対応の手順が整っていなければ、対応が遅れ、復旧までの時間が伸びるリスクは高まります。 また、インフラの知識や過去経緯が一部の担当者に偏っていると、問い合わせ先の判断やベンダー調整も含めて“その人次第”になり、体制の継続性にも不安が残ります。運用の不安は感じているのに、どこから手を付ければよいか分からず、改善が先送りになる――こうした状況は多くの現場で起きています。

検知から一次対応までを止めない体制設計

本セミナーでは、「監視が必要」という前提を踏まえつつ、単なる通知で止まらず、検知から一次対応までを24時間365日で担保する体制をどう設計するかを整理します。 具体的には、監視項目の設計、一次対応の範囲、エスカレーション設計、クラウド／オンプレ混在環境での役割分担など、運用を外部活用する際に詰まりやすいポイントを解説します。 「丸っと任せたいが、どこまで任せられるのか」「今の体制のまま続けてよいのか」を判断できる状態にすることがゴールです。夜間・休日を含めた運用品質を担保し、属人化を解消しながら運用を継続できる体制づくりのヒントを持ち帰っていただけます。

こんな人におすすめ

・夜間・休日の監視・一次対応を自社で担保できず、不安を感じている方 ・アプリ開発者がインフラも兼務しており、業務過多・属人化が進んでいる方 ・サーバー／クラウドの運用を「どこまで外部に任せるべきか」判断に迷っている方 ・クラウド導入・運用改善を進めたいが、何から着手すべきか整理できていない方 ・現在のインフラコストやセキュリティ対策が適切か、客観的に見直したい方

プログラム

10:45～11:00　受付

11:00～11:05　オープニング（マジセミ）

11:05～11:45　夜間・休日の障害対応、“あの人頼み”になっていませんか？

　　　　　　　　～24時間365日止まらない一次対応体制の設計～

11:45～12:00　質疑応答

登壇者

株式会社ハートビーツ マーケティングチームマネージャー 谷川 隼人

主催

株式会社ハートビーツ（プライバシーポリシー）

協力

株式会社オープンソース活用研究所（プライバシーポリシー）

マジセミ株式会社（プライバシーポリシー）

※共催、協賛、協力、講演企業は将来的に追加、削除される可能性があります。