Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
自作セキュリティツールの世界
Search
yuasa
November 16, 2025
0
51
自作セキュリティツールの世界
第4回 セキュリティ若手の会(LT&交流会)で発表した「自作セキュリティツールの世界」のスライド資料です。
https://sec-wakate.connpass.com/event/369404/
yuasa
November 16, 2025
Tweet
Share
More Decks by yuasa
See All by yuasa
Prompt Hardener - Automatically Evaluating and Securing LLM System Prompts
melonattacker
1
360
プロンプトインジェクション2.0 : 進化する防御機構とその回避手法
melonattacker
6
3.9k
Prompt Hardener
melonattacker
0
780
LLM活用システムの脆弱性診断内製化の取り組み
melonattacker
0
340
OpenID Connect活用時のなりすまし攻撃対策の検討 - OpenID Summit Tokyo 2024
melonattacker
0
770
OSBT: OpenID Connect Scenario-Based Tester – CODE BLUE 2023
melonattacker
0
790
JWTセキュリティ入門
melonattacker
17
13k
OIDC Scenario Based Tester (OSBT)
melonattacker
0
400
Terraformのノリを理解する
melonattacker
1
280
Featured
See All Featured
What’s in a name? Adding method to the madness
productmarketing
PRO
24
3.8k
The World Runs on Bad Software
bkeepers
PRO
72
12k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
46
2.6k
How GitHub (no longer) Works
holman
315
140k
Building Better People: How to give real-time feedback that sticks.
wjessup
370
20k
How to Create Impact in a Changing Tech Landscape [PerfNow 2023]
tammyeverts
55
3.1k
Why You Should Never Use an ORM
jnunemaker
PRO
60
9.6k
Agile that works and the tools we love
rasmusluckow
331
21k
How to Think Like a Performance Engineer
csswizardry
28
2.3k
Context Engineering - Making Every Token Count
addyosmani
10
380
Design and Strategy: How to Deal with People Who Don’t "Get" Design
morganepeng
132
19k
What's in a price? How to price your products and services
michaelherold
246
12k
Transcript
自作セキュリティツールの世界 2025.11.16 @第4回 セキュリティ若手の会 サイボウズ株式会社 PSIRT 湯浅 潤樹 1
自作セキュリティツールの世界 ©️ Cybozu, Inc. 2 • 湯浅 潤樹(Junki Yuasa) •
X: melonattacker • サイボウズ株式会社 PSIRT • 主な業務は脆弱性診断、脅威分析 • 趣味は釣り、ランニング、銭湯 • SECCON Beginners運営メンバー • 徳島県に住んでいます 自己紹介 ハゼが好きです
自作セキュリティツールの世界 ©️ Cybozu, Inc. 3 • Red Team(攻撃視点) • 例
: Burp Suite拡張機能、ファジングツール • Blue Team(防御視点) • 例 : ログ解析ツール、脅威モデリングツール • DevSecOps(開発視点) • 例 : 静的解析ツール、脆弱ライブラリ検知ツール • ツールの形式はスクリプトでも拡張機能でもなんでもOK セキュリティツールとは セキュリティに関する課題を解決するためのあらゆる道具
自作セキュリティツールの世界 ©️ Cybozu, Inc. 4 セキュリティ分野におけるツール開発の立ち位置 ツール開発はセキュリティのあらゆる分野を横断する活動 ペネトレーション テスト インシデント
レスポンス マルウェア解析 脆弱性診断 脅威 モデリング デジタル フォレンジック ツール開発
自作セキュリティツールの世界 ©️ Cybozu, Inc. 5 1. 困りごとを見つける 2. 自動化することで解決できるのでは?と考える 3.
作ってみたら意外と使えて色んなところで使えそう 4. OSSとして公開する 5. 外部で発表する ツール開発の流れ セキュリティで困ったことを解決するためにツールを作る
自作セキュリティツールの世界 ©️ Cybozu, Inc. 6 • プロンプトインジェクションは完全な対策がない • システムプロンプトの記述方法を工夫することでプロンプトインジ ェクションの難易度を高められるらしい
• しかし、堅牢化のテクニックがいろいろあって難しい • そもそも開発チームは開発やらQA試験やらで忙しい ツール開発の流れ(例: Prompt Hardener1) [1] https://github.com/cybozu-private/prompt-hardener 1. 困りごとを見つける
自作セキュリティツールの世界 ©️ Cybozu, Inc. 7 • 自動でシステムプロンプトを改善できれば開発者が使えるのでは • 適用する堅牢化テクニックも選択できるようにしたい •
開発者が手動で適用する場合も想定してシステムプロンプトの評価 もできれば良さそう ツール開発の流れ(例: Prompt Hardener) 2. 自動化することで解決できるのでは?と考える
自作セキュリティツールの世界 ©️ Cybozu, Inc. 8 • 最小限動く程度でPoCを作ったけれど割と使えそう • LLMを用いたサービスならプロンプトインジェクション対策は必要 •
機能ごとにシステムプロンプトはあるはず • 色んなところで使えるのではないか ツール開発の流れ(例: Prompt Hardener) 3. 作ってみたら意外と使えて色んなところで使えそう
自作セキュリティツールの世界 ©️ Cybozu, Inc. 9 • 同じ困りごとを抱えている人も使えるように公開しよう • 社外の人から改善のためのプルリクエストも来て一石二鳥 ツール開発の流れ(例:
Prompt Hardener) 4. OSSとして公開する
自作セキュリティツールの世界 ©️ Cybozu, Inc. 10 • PoC段階だけど一旦外部で発表2してフィードバックをもらおう • 結構使えるレベルになったのでカンファレンスで発表3して認知度 を高めよう
ツール開発の流れ(例: Prompt Hardener) 5. 外部で発表する [2] https://speakerdeck.com/melonattacker/prompt-hardener [3] https://speakerdeck.com/melonattacker/prompt-hardener-automatically-evaluating-and- securing-llm-system-prompts
自作セキュリティツールの世界 ©️ Cybozu, Inc. 11 • Hayabusa4 : Windowsイベントログのファストフォレンジックタイムライン生 成および脅威ハンティングツール
• ShinoBOT5 : 標的型攻撃で利用されるRATと同等の機能を持つ擬似マルウェア • ZANSIN6 : 実際のサイバー攻撃を想定したインシデント・レスポンスを体験す るためのトレーニングツール • shisakulint7 : GitHub Actionsワークフローを対象とした静的解析・SAST・自 動修正機能を備えたツール 日本発セキュリティツールを一部紹介 [4] https://github.com/Yamato-Security/hayabusa [5] https://shinobot.com/top.php [6] https://github.com/ZANSIN-sec/ZANSIN [7] https://github.com/ultra-supara/sisakulint
自作セキュリティツールの世界 ©️ Cybozu, Inc. 12 • 作る場所 • SecHack3658 :
セキュリティに関するものづくりをする1年間のハッカソン • 発表する場所 • CyberTAMAGO9 : 初めてのツール発表に最適 • CODE BLUE10 - BlueBox : 国内有数の国際会議におけるツール発表の場 • AVTokyo11 – HIVE : ハッカー色の強い国内のツール発表の場 • BlackHat – Arsenal12 : 世界のツール開発者が集うツール発表の登竜門 ツールを作る場所、発表する場所 [8] https://sechack365.nict.go.jp/ [9] https://cybertamago.org/ [10] https://codeblue.jp/ [11] https://www.avtokyo.org/ [12] https://blackhat.com/html/arsenal.html
©️ Cybozu, Inc. ようこそ、自作セキュリティツールの世界へ 13 https://github.com/melonattacker/threat-thinker ↓最近作っている脅威モデリングツール (スターをいただけると泣いて喜びます )
.png){kind=small}
.png){kind=avatar}
.png){kind=avatar}
melonattacker
productmarketing
bkeepers
bcantrill
holman
wjessup
tammyeverts
jnunemaker
rasmusluckow
csswizardry
addyosmani
morganepeng
michaelherold
