こんにちは、FutureVulsチームの棚井です。
2026年4月にアメリカ・アリゾナ州スコッツデールで開催されるセキュリティカンファレンス VulnCon 2026 に、Future Corporation として登壇することになりました。本記事では、イベントの紹介と発表内容の概要をまとめます。
VulnCon(Vulnerability Management Ecosystem Collaboration, Ideation, and Action Conference)は、CVE Program と FIRST(Forum of Incident Response and Security Teams)が共催する、脆弱性マネジメント領域に特化した国際カンファレンスです。
脆弱性マネジメントやサイバーセキュリティに携わる実務者・研究者が集まり、脆弱性エコシステム全体をどう強くしていくかを議論する場です。参加者がここで得た知見を、それぞれの組織やプログラムに持ち帰って活かすことが目指されています。
CVE Program や FIRST のメンバーに限定されず、脆弱性エコシステムに関わる人であれば誰でも参加できます。
VulnCon はまだ歴史の浅いカンファレンスで、2024年に始まり、2026年で3回目です。
| 回 | 開催年 | 会場 | 日程 | 公式ページ |
|---|---|---|---|---|
| 第1回 | 2024年 | McKimmon Center, Raleigh, NC, USA | 3/25〜27(3日間) | VulnCon 2024 |
| 第2回 | 2025年 | McKimmon Center, Raleigh, NC, USA | 4/7〜10(4日間) | VulnCon 2025 |
| 第3回 | 2026年 | DoubleTree Resort, Scottsdale, AZ, USA | 4/13〜16(4日間) | VulnCon 2026 |
2024年・2025年はノースカロライナ州ローリーでの開催でしたが、2026年はアリゾナ州スコッツデールに会場が移ります。
Kusari CTO の VulnCon 2025 参加レポート では、参加者は脆弱性スキャナ・SBOM・パッチ管理などに取り組む技術実務者と、ガバナンス・リスク・コンプライアンス(GRC)担当者の両方で構成されていたと紹介されています。筆者は「技術側はリスクアセスメント全体の中での脆弱性の位置づけを理解しきれておらず、リスク管理側は脆弱性対応の技術的な影響を把握しきれていない」と振り返っており、両者の橋渡しが意識されているカンファレンスだと感じます。
One thing that stood out to me is how much the technical folks didn't understand vulnerabilities as a part of a larger risk assessment while the risk management folks didn't understand the technical implications of how to address vulnerabilities.
VulnCon 2026 のプログラムを見ても、CVE / CWE / CVSS / VEX / SBOM / CSAF / EPSS といった標準・フレームワーク周りのセッションから、AI によるトリアージ自動化、サプライチェーンセキュリティ、PSIRT 運用まで、幅広いトピックが並んでいます。
4日間の構成は以下のとおりです。
General Session に加えて3つの Breakout ルームで並行セッションが行われ、80近くのセッションが予定されています。フルアジェンダは FIRST の公式サイト で確認できます。
VulnCon 2026 のプログラムには、日本の組織もいくつか名前が挙がっています。JPCERT/CC は協調脆弱性開示(CVD)のテーブルトップ演習やコーディネーターサミットに参加し、パナソニックホールディングスは CVSS ベーススコアメトリクスの探索的分析について発表を行います。我々 Future Corporation も最終日に登壇します。
| 項目 | 内容 |
|---|---|
| タイトル | The CVE Blind Spot: Defeating "Hidden EOLs" and Repo Jacking with Engineering Triage & Code Diet |
| 日時 | 2026年4月16日(木)13:15〜14:15(MST) |
| 会場 | Breakout 3(South Ballroom) |
| 登壇者 | Kota Kanbe, Ryunosuke Tanai(Future Corporation, JP) |
| TLP | TLP:CLEAR |
脆弱性管理の現場では、CVE を軸にしたトリアージが広く行われています。ただ、この仕組みには見落としやすい死角があります。
たとえば、End-of-Life(EOL) を迎えた OSS コンポーネントには、深刻な脆弱性があっても CVE が採番されないケースがあります。加えて、メンテナンスが放棄されたコンポーネントはリポジトリジャッキング(Repo Jacking)やサプライチェーン攻撃のターゲットになりやすい状況です。
本セッションでは、こうした 「Hidden EOLs」 とサプライチェーンリスクに対して、エンジニアリングトリアージと 「コードダイエット」 というアプローチで対処する方法を紹介します。当社独自で分析した 16,000以上のプロダクションコンポーネント のデータ(日本経済新聞企業利用の公開ソフト、半数にサイバー攻撃転用リスク 民間調査)をもとに、CVE ベースのトリアージから Reachability Analysis や SSVC を活用したリスクベースの優先順位付けの移行、さらに「サイバー攻撃を受けるリスク自体を減らす手法」について、具体的にお話しする予定です。
我々フューチャーは、OSS 脆弱性スキャナ「Vuls」と、そのクラウド版 SaaS「FutureVuls」を開発・運用しています。お客様のシステムの脆弱性管理に日々携わるで、CVE だけでは捉えきれないリスク ── メンテナンスが止まったコンポーネントの「見えない EOL」や、放棄されたリポジトリの乗っ取り ── に向き合ってきました。
直近では、2026年2月から発生した「著名なCI/CDツールを狙ったサイバー攻撃」に際して、FutureVuls が配布するバイナリの安全性を検証し、そのレポートを公開しています。
こうした実務の経験と実データに基づいて、脆弱性管理の死角にどう対処していくかを、具体的な手法とあわせてお伝えします。
フューチャー株式会社 CSIG シニアアーキテクト。FutureVuls チームリーダー。
立命館大学大学院理工学研究科情報システム学専攻修士課程を修了後、2004年にフューチャー株式会社に入社しました。100台以上のサーバー運用で脆弱性管理の負荷に悩んだ経験から、2016年にオープンソースの脆弱性スキャナ Vuls(GitHub Stars 11,800+)を公開。公開直後に GitHub Trending で全言語1位を獲得し、国内外のセキュリティ実務者に広く使われるツールに成長しました。
この功績から 2019年度ソフトウエアジャパンアワード(一般社団法人情報処理学会)を受賞。2022年には Google OSS Peer Bonus も受賞しています。国際的には BlackHat Asia Arsenal や HITCON での発表経験があります。
現在は、CVSS ベースのトリアージから Reachability Analysis や SSVC を活用したリスクベースの優先順位付けへの転換を進めており、16,000以上のプロダクションコンポーネントの分析を通じて、EOL マネジメントやサプライチェーンの肥大化に対するエンジニアリングトリアージの自動化に取り組んでいます。
IT 系技術情報交換コミュニティ「モヒカンSlack」の酋長(参加者1万人超)でもあり、日本のセキュリティコミュニティでもおなじみの存在です。
神戸のコメント
VulnConは、私にとってずっと憧れのカンファレンスでした。企業のCSIRTに向けた最新動向から、脆弱性管理やサプライチェーンセキュリティの実践的な知見まで、とにかく現場でダイレクトに役立つ情報が飛び交う場であり、これまではYouTubeのアーカイブ動画を食い入るように見て勉強していました。そんな憧れの舞台で、今度は自分が講演できるなんてまさに夢のようです。
昨今、OSSのサプライチェーンセキュリティは業界全体で深刻な問題となっています。今回のセッションでの知見共有を通じて、少しでも業界のセキュリティ意識が向上し、世の中がよりセキュアになればと願っています。
また、私たちが普段使っているOSSの健全性をチェックできるツールを新たに公開しました。
■uzomuzo-ossのリンク
https://github.com/future-architect/uzomuzo-oss
まずはこのツールを無料で試していただき、プロジェクト内に潜む「隠れたEOL」をあぶり出してみてください。これによって、世の中のサプライチェーンセキュリティの被害を少しでも減らすことができればと考えています。
ずっと背中を追いかけてきた最高の場所で、思い切りぶちかましてきます!
フューチャー株式会社 CSIG エンジニア。
2019年にフューチャー株式会社に新卒入社。Technology Innovation Group(TIG)を経て、現在は CSIG で脆弱性管理クラウド「FutureVuls」の SRE・セキュリティ領域を担当しています。インフラ、クラウドサービス、セキュリティが主な守備範囲です。
自身の英語力に課題を感じ休職留学に踏み切り、帰国後には情報処理安全確保支援士を取得。Datadog ユーザ会での登壇や Future Tech Blog での技術記事の発信など、社外のコミュニティへの発信にも取り組んでいます。直近では、Trivy サプライチェーン攻撃に対する FutureVuls 配布バイナリの安全性検証レポートを執筆・公開しました。
棚井のコメント
入社以来、インフラ・SRE 領域を軸にキャリアを歩んできましたが、CSIG での業務と FutureVuls の運用を通じて、脆弱性管理というテーマに正面から向き合うようになりました。日々のお客様環境の脆弱性対応やインシデントレスポンスに取り組む中で、CVE だけでは捉えきれないリスク ── メンテナンスが止まったコンポーネントや、サプライチェーンの肥大化 ── を肌で感じてきました。
そうした現場の経験と実データをもとに、エンジニアリングトリアージとコードダイエットという具体的なアプローチを発信できることを楽しみにしています。SRE とセキュリティの両方を見てきた立場から、現場のエンジニアに届く発表にします。
VulnCon 2026 は、脆弱性管理に関わる世界中の実務者・研究者が集まるカンファレンスです。日々の業務から得た知見を、この場で発信できることをありがたく思っています。
本カンファレンスは オンライン参加(Virtual) も可能で、参加費は $100 です。現地参加・オンラインを問わず、脆弱性マネジメントに関心のある方はぜひチェックしてみてください。
登壇後のレポート記事も公開予定です。