Abstract Security advice is often generic, disconnected, or overly idealistic — especially when applied to real-world systems made of tangled cloud setups, developer toolchains, fragile CI/CD pipelines, and unpredictable AI interfaces. In this workshop, we focus on doing security the way it actually works: fixing what’s broken, one config line at a time. 概要 セキュリティに関するアドバイスは、往々にして現実離れした理想論に終始しがちです。特に、複雑なクラウド設定、開発ツールチェーン、脆弱なCI/CDパイプライン、予測不能なAIインターフェースで構成された現実のシステムでは、その傾向は顕著です。このワークショップでは、本当に機能するセキュリティ対策に焦点を当てます。設定ファイルを1行ずつ修正することで、不具合のある箇所を直していくという実践的なアプローチです。 Guided by the NIST Cybersecurity Framework (Identify → Protect → Detect → Respond → Recover, with a dash of Governance), we walk through: NISTサイバーセキュリティ・フレームワーク（特定→保護→検知→対応→復旧）に基づき、ガバナンスの要素も踏まえ、以下の内容を学びます。 - Inventorying your environment using tools you already have - Detecting dangerous misconfigurations in software and infrastructure - Applying sustainable, code-driven protections to your pipelines and environments - Responding to threats without overreaction - Recovering with automation, not panic - 手持ちのツールを使用した環境のインベントリ作成 - ソフトウェアとインフラにおける危険な設定ミスの検出 - パイプラインと環境への持続可能なコード駆動型保護の適用 - 過剰反応することなく脅威に対応する - パニックに陥らず、自動化によって回復する Whether you're dealing with cloud drift, CI/CD chaos, or prompt-injected hallucinations, this workshop will give you a holistic and practical defensive roadmap — ready to implement in real enterprise environments. このワークショップでは、クラウドドリフト、CI/CDの混乱、プロンプト注入によるハルシネーションなど、どのような課題に直面していても、実際のエンタープライズ環境ですぐに実行できる、全体的かつ実践的な防御ロードマップを提供します。 Learning Outcomes: - Build actionable inventories across software, infrastructure, and AI systems - Identify and detect high-risk misconfigurations using SBOMs, IaC scans, and cloud tooling - Apply secure-by-default configurations in CI/CD pipelines and cloud IAM - Implement mitigation strategies for prompt injection and insecure AI behavior - Map improvements to NIST CSF and defend security decisions to stakeholders 学習の成果 - ソフトウェア、インフラストラクチャ、AIシステムにわたる実用的なインベントリの構築 - SBOM、IaCスキャン、クラウドツールを使用した、リスクの高い誤設定の特定と検出 - CI/CDパイプラインとクラウドIAMでセキュア・バイ・デフォルトの設定を適用する - プロンプトインジェクションや安全でないAIの動作に対する緩和策を実施する - 改善策を NIST CSF にマッピングし、ステークホルダーに対してセキュリティに関する決定を説明する