2024年度ICT職専門研修（海外派遣研修）報告書 No.5

Transcript

1. クラウドサービスにおけるサイバーセキュリティ最新動向調査報告 デジタルサービス局 総務部情報セキュリティ課 高石 和也 2024年度ICT職専門研修（海外派遣研修）

2. 1 01 研修概要 • 渡航テーマ • 渡航先と日程 02 研修内容 •

   サイバーセキュリ ティの脅威 • re:Invent • Fortinet社 03 まとめ • 都政に還元したい こと

3. 2 03 まとめ • 都政に還元したいこと 02 研修内容 • サイバーセキュリティ の脅威

   • re:Invent • Fortinet社 01 • 渡航テーマ • 渡航先と日程 研修概要

4. 3 01 研修概要 渡航テーマ 渡航テーマ 「クラウドサービスにおけるサイバーセキュリティ最新動向調査」 背景・目的 • 現在全庁を挙げて都政のデジタル化を推進しているなか、クラウドを活用したサービスの増加に伴いサイバー攻 撃のリスクが増大している。特に、私としては、「設定ミスによるセキュリティインシデント」が最優先の対策領域と

   認識している。デジタル化のメリットを最大限に享受するためには、先端技術やデータの活用を進めるだけでな く、クラウドサービスのセキュリティ強化を着実に進める必要がある。 • また、最新のセキュリティ技術を学ぶことで、私が担当するセキュリティクラウドについて、現行の改善点を整理 し、次期に向けた技術の適用可能性を検討する。 • セキュリティ先進技術が集約されている米国において学び、東京都のサイバーセキュリティ向上に貢献したい。 【用語解説】 セキュリティクラウド： 都と62区市町村で共同利用しているセキュリティを守るためのシステム。 HP攻撃対策、メールでの攻撃対策、Web閲覧時の攻撃対策などの機能がある。

5. 4 01 研修概要 渡航先と日程 研修テーマ・目的を踏まえ、クラウドの代表的なプラットフォームであるAWSの世界最大のカンファレンスである re:Inventへ参加。また、サイバーセキュリティ分野における世界最大級の企業の一つであり、国内の自治体をはじめ とする幅広い組織で導入されているFortinet社を訪問した。 ▪FORTINET 日程：12月６日 場所：カリフォルニア州サニーベール

   ２ ▪AWS Re:Invent 日程：12月2日～12月4日 場所：ラスベガス １

6. 5 03 まとめ • 都政に還元したいこと 01 渡航テーマ 渡航先と日程 研修概要 02

   • サイバーセキュリティの脅 威 • re:Invent • Fortinet社 研修内容

7. サイバー セキュリティ の脅威 渡航前の課題認識 6 本画像は文章生成AIにより作成

8. 研修内容 7 02 脅威(1/7) 設定ミス 概要 クラウド環境の設定ミスは、大きなセキュリティリスクである。公開設定やアクセス制御のミスによる情報漏えいが 後を絶たない。些細な設定ミスが大きな被害を招く。 設定ミスの例 ・

   クラウドストレージの誤設定によるパブリックアクセスの許可 ・ 不要に高い権限を付与したアクセス制御ポリシー ・ ネットワーク設定の開放範囲が広すぎる 被害例・影響 ・ 機密データがインターネット上に公開され、不正アクセスを受ける ・ 攻撃の踏み台として悪用され、社内システムや他サービスへの二次攻撃が発生 ・ 事業の信用失墜やサービス停止や、追加対策のためコスト増大 【用語解説】 パブリックアクセス：外部から誰でもアクセスできる状態のこと 踏み台：攻撃者が不正アクセスに利用する中継点

9. 研修内容 8 02 脅威(2/7) 不正アクセス / アカウント乗っ取り 概要 不正ログインや認証情報の漏えいによるアカウント乗っ取りは、クラウド環境における重大な脅威である。特に管理 者アカウントが乗っ取られると、改ざんや削除、マルウェア埋め込みなど組織全体に壊滅的な被害を招く。

   要因・手口 ・ パスワードの流出、使い回し ・ 多要素認証未導入や特権アカウントの乱用 ・ フィッシングやなりすましによる情報窃取 被害例・影響 ・ データベースやアプリケーションの不正操作・破壊 ・ 乗っ取られたアカウントを利用した社内システムへの攻撃 ・ サービス停止や緊急対応によるコスト増 【用語解説】 多要素認証：パスワード＋SMSコードなど複数の認証要素を用いたセキュリティ強化手法 フィッシング：偽のサイトやメールを使い、個人情報を盗む詐欺手法

10. 研修内容 9 02 脅威(3/7) データ漏えい 概要 クラウド上のデータが流出するリスク。設定ミス、不正アクセス、内部不正など、さまざまな原因で発生する。 要因 ・ データ保存時・転送時の暗号化不足、鍵管理の不備

    ・ アクセス制御の誤設定 ・ 社員や関係者による情報の不正持ち出し ・ ランサムウェア感染によるデータ損失・流出 被害例・影響 ・ 個人情報や顧客情報の大量流出による社会的信用の低下 ・ 法的責任や罰金・訴訟リスクの発生 ・ 闇市場でのデータ売買など、二次被害の発生 【用語解説】 ランサムウェア：データを暗号化し、復号のために身代金を要求するマルウェア

11. 研修内容 10 02 脅威(4/7) ゼロデイ攻撃/サプライチェーン攻撃等 概要 クラウド環境は、広範なアクセス性を持つため、ゼロデイ攻撃やサプライチェーン攻撃の標的となりやすい。また、外 部との連携が多いことから、脆弱なAPIの悪用も深刻な脅威となる。 要因 ・

    ゼロデイ脆弱性の悪用により、既存の対策が機能しない ・ 開発・配布プロセス（サプライチェーン）へのマルウェア混入 ・ 外部サービスやライブラリの改ざん、脆弱なAPIエンドポイント 被害例・影響 ・ 脆弱性を突かれ、情報窃取やデータ改ざんが発生 ・ サービス停止や、追加監査コストの増大 【用語解説】 サプライチェーン攻撃：取引先や関連企業を経由して標的を攻撃する手法 API：システム同士が機能を共有・連携する仕組み ゼロデイ脆弱性：修正パッチが提供される前の未知の脆弱性 ゼロデイ攻撃：ゼロデイ脆弱性を利用した攻撃

12. 研修内容 11 02 脅威(5/7) クラウドネイティブ環境の脆弱性 概要 コンテナやサーバーレスなどのクラウドネイティブ環境の普及に伴い、新たなセキュリティ課題が発生。分散環境で は可視性が低下し、設定不備が攻撃の温床となる。 要因 ・

    コンテナやサーバーレスの設定ミス、権限の過剰付与 ・ オーケストレーション基盤（管理システム）の設定不備 ・ 機密情報のハードコード（コード内に記載） 被害例・影響 ・ コンテナを突破し、システム全体が乗っ取られる ・ クラウドリソースを悪用した暗号資産マイニング ・ オーケストレーション基盤（管理システム）の侵害による大規模サービス停止 【用語解説】 コンテナ：アプリを軽量な仮想環境で動かす技術 サーバーレス：サーバー管理なしでコード実行できる方式

13. 研修内容 12 02 脅威(6/7) DDoS / Webアプリ攻撃 概要 クラウド環境はインターネットに接続されているため、DDoS攻撃やWebアプリの脆弱性を狙った攻撃の標的にな りやすい。

    手口 ・ DDoS攻撃による大量トラフィック送信 ・ SQLインジェクションなどのWebアプリケーション攻撃 ・ ボット（自動化プログラム）による不正アクセス 被害例・影響 ・ サービス停止や遅延による顧客離脱・売上損失 ・ 攻撃対応の負担増によるコスト増大 ・ Webアプリ経由での情報窃取 【用語解説】 DDoS攻撃：大量のアクセスを送りつけ、サービスを停止させる攻撃 SQLインジェクション：データベースを不正に操作する攻撃

14. 研修内容 13 02 脅威(7/7) AI・機械学習を悪用した高度な攻撃 概要 攻撃者はAI・機械学習を活用し、マルウェア生成や攻撃の自動化を進めている。 手口・要因 ・ AIを用いたシグネチャ回避型攻撃の生成

    ・ 脆弱性情報をAIで解析し、大規模なスキャン攻撃を実施 ・ フィッシングやソーシャルエンジニアリングの自動化による成功率向上 被害例・影響 ・ 検知が難しく、侵害の見逃し増加 ・ AIマルウェアの拡散による組織全体への影響 ・ サービス停止や顧客信頼の喪失 【用語解説】 シグネチャ回避型攻撃：シグネチャ（攻撃パターン）による検知をすり抜ける攻撃手法 ソーシャルエンジニアリング：人の心理を利用して情報を盗む手法

15. AWS re:Invent 14

16. 研修内容 15 02 AWS re:Invent概要(1/2) 開催地・期間 開催地：ラスベガス 期間：2024年12月2日(月)～5日(木) ※そのうち、12月2日～4日（3日間）に参加 re:Inventの参加目的

    研修テーマ・目的を踏まえ、クラウドの代表的なプラット フォームであるAWSの世界最大のカンファレンスである re:Inventに参加した。 クラウドのサイバーセキュリティの最先端技術や実践事例 を収集し、都政のデジタル化推進におけるリスク低減策を 探る機会とした。

17. 研修内容 16 02 AWS re:Invent概要(2/2) re:Inventの概要 世界中から数万人のクラウドエンジニアやビジネス リーダーがラスベガスに集まり、複数のホテルを会場と して、セッションやワークショップが展開される大規模イ ベント。

    re:Inventの熱気 世界各国からの参加者が集い、街全体が技術カンファ レンスの熱気に包まれる。日中は専門セッションが多数 実施され、夜間には関連イベントが開催されるなど、終 日活気に包まれた。学びの場であると同時に、クラウド 技術者の交流の場でもあった。

18. 研修内容 17 02 対策(1/7) 設定ミス 対策概要 設定ミスを防ぐため、自動チェックとルール強制のサービスを活用 主なAWSサービス・機能 ・ AWS

    Config / Security Hub: 設定違反を検知し、一元管理でアラート ・ IAM Access Analyzer: 外部に公開されたリソースやポリシーを可視化 ・ AWS Organizations / SCP / Resourcebased Policy: 組織全体で禁止行為や権限上限を強制 ・ ブロックパブリックアクセス機能: 誤って外部公開しないよう自動的にブロック re:Inventで新たに発表されたサービス ・ AWS Organizations Resource Control Policies（RCP） リソースベースのアクセス制御を強化し、組織全体のポリシー適用範囲を統制 ・ AWS Config Drift Detection and Remediation 設定のドリフト（意図しない変更）をリアルタイム検知し、元の状態へ修復を支援 【用語解説】 ポリシー：セキュリティの設定のこと

19. 研修内容 18 02 対策(2/7) 不正アクセス / アカウント乗っ取り 対策概要 最小限の権限設定とログ取得が基本。自動検知と、多要素認証による多層防御で乗っ取りを防ぐ。 主なAWSサービス・機能

    ・ AWS IAM: 最小権限の原則、MFAの強制 ・ GuardDuty: 異常なAPIコールを検知 ・ CloudTrail: 全API操作をログ化・追跡 ・ Amazon Cognito: 不正ログイン対策も含む認証基盤 re:Inventで新たに発表されたサービス ・Amazon Cognito Plusティア リスクベース認証や漏洩パスワード検出を強化し、不正ログインを防止 ・ AWS CloudTrail Lake AI Insights AIを活用して異常なAPIアクティビティや操作パターンを分析・検出

20. 研修内容 19 02 対策(3/7) データ漏えい 対策概要 データを暗号化し漏えいを防ぎ、検知し、安全に管理する。 主なAWSサービス・機能 ・ AWS

    KMS: 鍵を安全に管理し、暗号化を一元化 ・ Amazon Macie: 機密データを自動検出し、異常アクセスを警告 ・ AWS Secrets Manager: DBやAPIキーなど秘密情報を安全保管 re:Inventで新たに発表されたサービス ・ AWS Backup Vault Lock（Immutability機能） バックアップデータの改ざん防止で、ランサムウェア対策を強化 ・ Macie Enhanced Classification 機密データの検出精度向上＋コンプライアンス準拠の可視化機能追加

21. 研修内容 20 02 対策(4/7)ゼロデイ攻撃/サプライチェーン攻撃等 対策概要 未知の脆弱性を即時検知し、ソフトウェア署名で改ざんを防ぎ、WAFとAPI認証で不正アクセスを防ぐ。 主なAWSサービス・機能 ・ Amazon Inspector

    + Systems Manager: 新たな脆弱性の発生時に自動スキャン＆パッチ適用 ・ AWS WAF: 未知の攻撃もレート制限・ルールでブロック ・ CodeArtifact + AWS Signer: リポジトリ管理＋電子署名で改ざん防止 ・ API Gateway + Amazon Cognito: API認証とリクエスト数制限 re:Inventで新たに発表されたサービス ・ Amazon Inspector Realtime CVE Detection ゼロデイ脆弱性の公開直後に即時スキャンを実行し、影響を評価 ・ AWS WAF Threat Intelligence グローバル脅威情報を基に自動でブロックリストを更新 【用語解説】 電子署名：データの改ざんを防ぐために付与されるデジタル証明

22. 研修内容 21 02 対策(5/7) クラウドネイティブ環境の脆弱性 対策概要 クラウドネイティブ環境の脆弱性を継続的にスキャンし、電子署名と監視で改ざんや不正アクセスを防ぐ。 主なAWSサービス・機能 ・ Amazon

    Inspector: コンテナやサーバレスのコードを自動スキャン ・ GuardDuty EKS Protection: K8sコントロールプレーン（管理を行う部分）への不正アクセスを検知 ・ AWS Signer: 電子署名で正当性を確認 re:Inventで新たに発表されたサービス ・ GuardDuty EKS Deep Protection 不正挙動をAI分析 ・ AWS Signer Enhanced デプロイパイプライン全体を対象に署名の一括管理と自動更新

23. 研修内容 22 02 対策(6/7) DDoS / Webアプリ攻撃 対策概要 DDoSやWebアプリ攻撃には多層防御 主なAWSサービス・機能

    ・ AWS Shield (Standard/Advanced): L3/L4 DDoS攻撃を常時緩和 ・ AWS WAF: レイヤ7攻撃防御、Bot対策 ・ AWS Network Firewall: VPC内部をステートフルに検査し、異常通信をブロック re:Inventで新たに発表されたサービス ・ AWS Shield Ultra DDoS応答速度を向上し、高度なボット攻撃にも即時対応 ・ AWS WAF Advanced Captcha & Ratebased Rules 高度なボット対策と適応型レート制限を強化し、スクレイピングを抑制 【用語解説】 スクレイピング：Webサイトのデータを自動収集すること

24. 研修内容 23 02 対策(7/7) AI・機械学習を悪用した高度な攻撃 対策概要 攻撃者のAIに対抗し、AIで異常を検知し、自動化と生成AI制御でリスクを抑える。 主なAWSサービス・機能 ・ GuardDuty

    / Macie（ML活用）: 不審通信や機密データ異常アクセスを自動検知 ・ Security Hubでの自動化: 警告の一元管理、優先度判定、自動防御処理 ・ Amazon Bedrock Guardrails: 生成AIの誤情報や機密漏えいを抑止 re:Inventで新たに発表されたサービス ・ Security Hub ML Orchestration 全社のログをAI分析し、攻撃の連鎖パターンを早期検知 ・ Amazon Bedrock Secure AI プロンプト攻撃の防止 & 機密情報漏洩リスクを低減する出力制御を強化 【用語解説】 プロンプト攻撃：AIへの指示により、本来意図しない動作をさせる攻撃

25. Fortinet社 24

26. 研修内容 25 02 Fortinet社概要(1/3) 訪問概要 場所：Fortinet社本社（カリフォルニア州サニーベール） 訪問日：2024年12月6日 Fortinet訪問の目的 Fortinetは、サイバーセキュリティ分野における世界最 大級の企業の一つであり、国内の自治体をはじめとする

    幅広い組織で導入されている。 今回の訪問では、Fortinetの統合的なセキュリティア プローチの考え方を学び、実際の運用の特徴を理解する ことで、今後の実務に活かせる知見を得ることを目的と した。

27. 研修内容 26 02 Fortinet社概要(2/3) Fortinet社概要 設立：2000年 本社：アメリカ・カリフォルニア州サニーベール 従業員数：12,595名（2022年12月時点） 日本法人：フォーティネットジャパン合同会社 売上：約50億ドル（2023年）

    主な特徴 ・世界最大級のセキュリティベンダー ・企業・政府機関を含む幅広い組織に導入 ・ネットワーク・クラウド・端末・アプリケーションなど、包 括的なセキュリティを提供

28. 研修内容 27 02 Fortinet社概要(3/3) 訪問時の印象とエピソード ・ シリコンバレーの空気感 Fortinet本社のあるサニーベールは、シリコンバレーの 一角に位置する静かな地域で、落ち着いた雰囲気だった。 オフィスは開放的なデザインで、派手な装飾はないが、セ

    キュリティ企業らしい堅実さが感じられた。 ・Fortinetで働く日本人エンジニアとの対話 アメリカでは、新しい技術を積極的に試し、失敗を許容し ながら最適な解を模索する文化がある。一方、日本は慎 重な姿勢が重視され、確実性の高い方法が優先される。 この違いは、セキュリティ技術の開発や導入スピードにも 影響を与えているという。

29. 研修内容 28 02 対策(1/7) 設定ミス 対策概要 Fortinetの設定ミス・リスク管理機能により、設定のミスを自動的に検出・修正し、セキュリティ基準に準拠した環 境を維持する。 Fortinetのソリューション ・

    FortiCNP（Cloud Native Protection Platform） クラウド環境のセキュリティリスクを可視化し、権限管理（CIEM）やコンプライアンスリスクを分析・低減 ・ FortiCWP（Cloud Workload Protection） クラウドの監視、脅威検知、コンプライアンス評価。不適切な設定が見つかった場合、管理者にアラートを送信 ・ FortiGate（次世代ファイアウォール） 仮想ファイアウォールとしてクラウド内の通信を制御し、意図しない外部公開を防止

30. 研修内容 29 02 対策(2/7) 不正アクセス / アカウント乗っ取り 対策概要 Fortinetはゼロトラストと多要素認証を組み合わせた防御 により、不正アクセスを防止する。

    Fortinetのソリューション ・Fortinet ZTNA（ゼロトラストネットワークアクセス） ユーザーのID、デバイスの状態、セッションコンテキストを評価し、最小特権アクセスを実現 ・FortiSASE（Secure Access Service Edge） クラウドベースのセキュリティ対策を適用し、リモートワークやSaaS利用時にもゼロトラストポリシーを適用 ・FortiAuthenticator（認証サーバー） 多要素認証による認証強化。シングルサインオン（SSO）でクラウドサービスのログインを一元管理 【用語解説】 ゼロトラスト：すべてのアクセスを疑い、都度認証を行うセキュリティモデル

31. 研修内容 30 02 対策(3/7) データ漏えい 対策概要 Fortinetのデータ可視化・分類・暗号化 の仕組みを活用し、機密情報を保護する。 Fortinetのソリューション ・FortiCNP

    / FortiCWP（クラウドワークロード保護） クラウドストレージ（S3やBlobなど）のデータをスキャンし、機密情報を検出 ・FortiCASB（Cloud Access Security Broker） SaaSアプリ（Google Drive、Microsoft 365など）のデータアクセスを監視し、異常なアップロード等を制御 ・FortiGate / FortiMail（DLP機能） ネットワークやメールを通じた機密情報の送信を監視・ブロック

32. 研修内容 31 02 対策(4/7)ゼロデイ攻撃/サプライチェーン攻撃等 対策概要 FortinetのAIを活用した脅威インテリジェンスとWAFによるAPI保護 により、ゼロデイ攻撃やサプライチェーン リスクを低減する。 Fortinetのソリューション ・FortiGuard

    AI（脅威インテリジェンス） 機械学習を活用し、新たな脅威をリアルタイムで分析・防御 ・FortiCNAPP（クラウドネイティブアプリ保護） コンテナ・Kubernetesのセキュリティ強化、CI/CDパイプラインのリスク管理と保護を提供 ・FortiWeb（Webアプリケーションファイアウォール） OWASP Top 10のリスクに対応し、WebアプリケーションやAPIのセキュリティ強化を提供

33. 研修内容 32 02 対策(5/7) クラウドネイティブ環境の脆弱性 対策概要 Fortinetは脆弱性スキャンと処理の監視を組み合わせ、セキュアなクラウド環境を構築する。 Fortinetのソリューション ・ FortiCNP

    / FortiCWP コンテナの脆弱性スキャンとポリシー管理 ・ FortiCNAPP Kubernetes環境のランタイムセキュリティ強化 ・ FortiGuard Container Security コンテナイメージの脆弱性分析とセキュリティ評価

34. 研修内容 33 02 対策(6/7) DDoS / Webアプリ攻撃 対策概要 Fortinetは複数の防御を組み合わせて対応。 Fortinetのソリューション

    ・FortiDDoS 複数の防御を組み合わせて、DDoS攻撃をリアルタイムで検出・軽減 ・FortiWeb L7のDDoS対策とボット対策 ・FortiGate（次世代ファイアウォール） DoS攻撃から防御

35. 研修内容 34 02 対策(7/7) AI・機械学習を悪用した高度な攻撃 対策概要 FortinetはAIを活用した脅威の分析や、ネットワーク異常検知により、未知の攻撃をリアルタイムで検知・防御す る。 Fortinetのソリューション ・FortiGuard

    AI（脅威インテリジェンス） AIが毎日数十億のセキュリティイベントを分析し、新種のマルウェアや攻撃手法を自動検出 ・FortiNDR（ネットワーク異常検知） 機械学習とビヘイビア分析を組み合わせ、不審な通信の検出や内部脅威のリアルタイム監視を提供 ・FortiAI（オンプレミス向けAI脅威分析） 企業内のログやトラフィックデータをAIで自動解析し、異常検知やインシデント対応を迅速化 【用語解説】 脅威インテリジェンス：サイバー脅威情報の収集・分析・対策を行うこと ビヘイビア分析：通常と異なる処理の分析

36. 35 01 • 渡航テーマ • 渡航先と日程 研修概要 02 研修内容 •

    サイバーセキュリティ の脅威 • re:Invent • Fortinet社 03 • 都政に還元したいこと まとめ

37. 36 03 まとめ セキュリティクラウドへの活用 本研修は、クラウド環境における最新のセキュリティ技術を学び、セキュリティクラウドの実践的な強化策を検討す ることを目的とした。 現行のセキュリティクラウド 現在のセキュリティクラウドは、既に運用が開始しているため、新たな技術をすぐに導入することは難しい。しかし、 研修で得た最新の知見を踏まえ、改善可能なポイントを整理することは有益である。整理した内容を基に、サービス 事業者との意見交換を行い、実現可能な改善策を検討する。

    次期のセキュリティクラウド 次期セキュリティクラウドの設計は、令和7年度から要件定義を開始する予定である。その準備として、本研修で得 た知見を体系的に整理し、要件定義のインプット材料として活用する。具体的には、最新のセキュリティ技術の適用 可能性、他自治体や民間の先進事例、現行システムの改善点を踏まえ、最適なクラウド設計の方向性を検討する。

38. 37 03 まとめ ICT職員向けセキュリティ勉強会(1/2) 概要 セキュリティは専門部署だけではなく、ICTに関わるすべての職員が意識し、適切に対応できることが求められる。 今回の研修で得た知見を共有し、実務に役立てるための勉強会を開催する。また、セキュリティの脅威は日々進化す るため、一度学んで終わりではなく、継続的に知識をアップデートし、最新のリスクと対策を把握できる場を設ける。 研修の知見を職員向けに共有 まずは、今回の研修で得た知識を整理し、現場の業務に関係しそうなポイントを中心に共有する。技術的な話だけ

    でなく、業務でどのようにリスクが発生し得るのか、何を意識すればよいのかにフォーカスする。 定期的なセキュリティ勉強会の実施 セキュリティは進化が早く、一度学んで終わりではないため、定期的に最新情報をキャッチアップする場を設ける。 技術に詳しい職員だけでなく、都政のICTに関わる幅広い職員が参加しやすい形を考える。実務で直面した課題や 気づきを持ち寄り、相互に学び合う場とする。 職員同士の知見共有を促進し、セキュリティに関する情報の横のつながりを強化する。

39. 38 03 まとめ ICT職員向けセキュリティ勉強会(2/2) GovTech東京との情報交換 都政全体のセキュリティ課題について、GovTech東京とも意見交換し、最新の動向を把握する。他の自治体や関 連機関の取り組みも参考にしながら、都政のセキュリティ強化につなげる。 事業者を交えた最新動向のキャッチアップ セキュリティの最新トレンドや新たな脅威の動向を把握するため、事業者とも情報交換を行う。特定の製品の紹介 ではなく、都政のICT環境にどう活かせるのかを議論する場とする。

    フィードバックと継続的な改善 勉強会の実施後、6ヶ月ごとに参加者からフィードバックを収集し、「実務での適用事例」や「今後必要な知識」を整 理する。最新の脅威や事例を学ぶだけでなく、都政のICT環境に適した具体的な対策を議論し、勉強会の内容に反 映する。

40. EoF 公開 2025年６月 連絡先 デジタルサービス局総務部デジタル人材戦略課 [email protected]