SEC595: Applied Data Science and AI/Machine Learning for Cybersecurity Professionals

組織がペネトレーションテストの実施を先延ばしにする理由はさまざまです。十分な準備ができていないと感じている、結果を恐れている、あるいはコンプライアンス対応やツールの導入だけで十分に安全だと考えている――こうした思い込みに本講演は真正面から挑みます。
実際の攻撃者の行動パターン、侵害事例、そして現場での経験に基づき、本セッションではペネトレーションテストを「合否を判定する試験」ではなく、レジリエントなセキュリティ体制を構築するために不可欠な、実践的な学習ツールとして捉え直します。また、コンプライアンス主導の戦略や「セキュリティ・ジェンガ」(例外対応、文書化されていない回避策、積み重ねられたその場しのぎの対処)によって生まれる誤った安心感についても解説します。攻撃者は高度で特殊なマルウェアではなく、一般的に利用可能な正規のシステム機能を使い、小さな見落としを巧みに突いて侵入するのです。
「まだ準備ができていない」という理由でテストを見送ることがなぜ正当化できないのかを理解し、ペネトレーションテストが未知のリスクを発見し、投資効果を検証し、チームを教育し、セキュリティを実際のビジネス目標と整合させる手段であることを学びます。
攻撃者は組織の「準備完了」を待ちません。だからこそ、私たちも待つべきではないのです。
Organizations often delay penetration testing because they feel unprepared, fear the results, or believe compliance and tooling alone equal security. This talk challenges those assumptions head-on.
Drawing from real-world attacker behavior, breach patterns, and hands-on experience, the presentation reframes penetration testing not as a pass/fail exam but as a practical learning tool essential to building resilient security programs. It explores how compliance-driven strategies and "Security Jenga" (exceptions, undocumented workarounds, layered shortcuts) create a false sense of confidence, and how attackers exploit small oversights using common, built-in system capabilities rather than exotic malware.
Attendees will learn why "not ready" is never a valid reason to skip testing, and how pen tests uncover unknown risks, validate investments, educate teams, and align security with real business objectives. The core message: attackers don't wait for readiness, and neither should you.