筆者は最新のセキュリティ動向の収集を目的に、前回の記事でも紹介したRSAカンファレンス2023に参加した。
RSAカンファレンス2023 現地レポート|テーマは「Stronger Together」
カンファレンスを通して最も注目を浴びていたテーマの一つは(やはり)生成AIであった。
RSAカンファレンスでは情報セキュリティにおける最新動向や重要なテーマを取り上げる特別講演としてKeynoteがプログラムされている。そして、実際のカンファレンスで行われるKeynoteスピーチは、その年のカンファレンスのテーマや重要性に応じて選ばれる著名な専門家や業界リーダーによって行われる。
Keynoteで登壇したセキュリティ業界のリーダーたちは各々の立場から生成AIについて言及し、その脅威や課題、期待について持論を展開していた。登壇者たちのスピーチで一貫していたのは、生成AIはサイバーセキュリティ上の大きな脅威として確立されたものであるという点と、生成AIを活用してセキュリティ強化を実現するための競争は加速しており、将来、セキュリティオペレーションの劇的な効率化といった形で私たちに多くの恩恵をもたらすことが期待されているという点だった。
また、クラウドセキュリティも今回のカンファレンスで筆者が勢いを感じるテーマの一つであった。
RSAカンファレンスでは先に紹介したKeynoteの他に、特定のテーマや関心領域に焦点を当てた講演・パネルディスカッションを聴講できるTrack Sessionがプログラムされている。そのセッション数はカンファレンスの全日程(4日)を通して300を超え、カンファレンスのコンテンツの大半はTrack Sessionでもたらされているといっても過言ではない規模である。
その中でも頻繁に取り上げられていたテーマの一つがクラウドセキュリティであった。クラウドセキュリティを主題としたTrack Sessionは少なくとも40はあり、これは様々なテーマを幅広く取り扱うTrack Sessionの10%以上を占める量であり、また、クラウドの特徴を活かした地政学リスクへの対応事例や、クラウドの利便性を活かした高速なソフトウェア開発サイクルにおけるサプライチェーンセキュリティ等、クラウドセキュリティを主軸としてないものの、その活用を前提とするセッションが多数見られた。
そこで本稿ではRSAカンファレンス2023について、AI、クラウドセキュリティに関連した講演を取り上げ、その概要を述べる。
▶「企業における情報セキュリティ実態調査」をダウンロードする
AI
Threat Response Needs New Thinking. Don't Ignore This Key Resource.
講演者:
Tom Gillis(Senior Vice President and General Manager, Security Business Group, Cisco)
Jeetu Patel(Executive Vice President and General Manager, Security and Collaboration, Cisco)
概要:
CiscoのTom氏とJeetu氏は、組織を支えるセキュリティ運用の複雑性をオーケストラに例え、各楽器の協調(メール, ウェブ, 端末, ネットワークといった組織のセキュリティシステムどうしの連携)を実現することの重要性を説き、その手段としてXDRが有効であること訴求していた。
その上で、複雑な環境に対するセキュリティリスクを迅速に検知・対応する手段として同氏はAIに注目。セキュリティ運用業務の未来像として、セキュリティ担当者がChatGPTのような対話型インターフェースとAIによる高度な要約・説明・自動化で、組織のセキュリティ脅威を最小限の負担でリアルタイムに検知・対応・復旧するコンセプトを紹介していた。
当社コンサルタントの見解:
AIとの対話型インターフェースによるセキュリティ上のイベントの管理は、日々のセキュリティ運用の従事する者たちを泥臭いルーティンワークから解放し、結果、オペレーションコストの劇的な改善と検知したイベントへの対応・復旧にかかるリードタイムの大幅な短縮が期待できる。
一方このようなインターフェースが登場しても、今どこで何が起きているかを適切に“読み解き”、結果としてAIの各種レコメンデーションにどう対応するかという“判断”は人間の手に委ねられる。これはAI前・後で変わらないセキュリティの専門家として求められる資質の一つと言えるだろう。
Security as Part of Responsible AI: At Home or At Odds?
講演者:
Ram Shankar Siva Kumar(Data Cowboy, Microsoft; Harvard)
Vijay Bolina(CISO, Deep Mind)
Dr.Rumman Chowdhury(Founder, Bias Buccaneers)
Daniel Rohrer(VP Software Product Security, NVIDIA)
概要:
Microsoft、Google DeepMind、NVIDIAなどのパネリストが、責任のあるAIの利活用や従来的なセキュリティとの両立に関してパネルディスカッションを行った。
ChatGPTをはじめとしたAI技術は、倫理的かつ安全な使い方について多くの議論を呼んでおり、米国内では生成系AIの業務利用を禁止している会社も多い。パネルディスカッションでは生成系AIは便利なツールではあるものの、セキュリティレビューを行う仕組みやフレームワークが不十分であることや、誤情報・バイアスのかかった情報が生成されるケースもあるためアウトプットを鵜呑みにしないこと、個人情報・医療情報・機密情報等を取扱う場合には殊更に細心の注意を払うべきであることが指摘されていた。
当社コンサルタントの見解:
信頼性、安全性および倫理の観点でAIを適切に活用するための枠組みや解決手段は米国テクノロジー企業の有識者達でさえも互いに議論を求める段階にあり、技術的あるいは規制・組織的な解決も日進月歩の状態にあると改めて認識した。
だからといって一様にAIを使用禁止とするのはリスクを取ってAI活用に踏み切る競合他社に対するディスアドバンテージとなる恐れがある。インプットとアウトプットそれぞれが限定的で、予期しないイベントが起きても大きな問題とならないようなシーンでの活用といった形でスモールスタートをしつつ、AIに関する技術的な理解や世間での動向、他社での活用事例の把握に努めるのが良いのではないかと考える。
ChatGPT: A New Generation of Dynamic Machine Based Attacks?
講演者:
Greg Day(VP & Global Field CISO, Cybereason)
Paul Vann(Student, University of Virginia)
概要:
CybereasonのGreg氏とコンピュータサイエンス専攻の学生Paul氏は、ChatGPTがサイバーセキュリティ上の脅威を増幅するツールとして悪用できることを、デモを交えながら解説した。
一般にChatGPTを始めとした生成系AIはサイバー攻撃への悪用が懸念されるフィッシングメールの文案や攻撃コマンド、コード等を生成しないように制限がかけられている。しかし、特殊な入力(プロンプト)を与えることにより、本来であれば生成されないこれら情報を開示させられることが判明しており、このような形でAIシステムを悪用することは「プロンプトインジェクション」と呼ばれている。
デモではChatGPTに特殊な入力を与えることによって、フィッシングメールの文章を多言語で生成させたり、OSのセキュリティ機能を無効化するコマンドや難読化済みの攻撃コードを生成させたりする様子が紹介されていた。
当社コンサルタントの見解:
サイバー攻撃者の優秀なアシスタントとして働くChatGPTによってサイバー攻撃者の攻撃能力が増幅されていることは明らかであることが伺える。一方、防御面では「今後の技術進展の期待する」に留まるといった具合で、攻撃面に比べて生成系AIの活用が一歩出遅れている印象が読み取れた。AIはサイバー脅威を質・量の両面で高めたといえる。組織はこれらの攻撃を従前の対策で徹底防御しつつ、AIの動向に引き続き注視する必要がある。
AI: Law, Policy and Common Sense Suggestions on How to Stay Out of Trouble
講演者:
Behnam Dayanim(Partner, Global Head, Digital Commerce & Gaming, Orrick Herrington & Sutcliffe LLP)
概要:
米国の法律事務所のパートナーであるBehnam氏はAI技術を取り巻く法規制の方向性や将来的に企業が留意しなければならなくなるポイントを紹介した。
2023年1月に米国ニュージャージー州の大学が米国内の成人を対象に実施した投票調査では、回答者の73%が「AIによる失業や不況」を恐れており、半数以上が「AIは悪影響を及ぼすため規制すべき」と回答していたことが明らかになったことを紹介。また米国ではホワイトハウス科学技術政策局や連邦取引委員会等の関連当局で規制の検討が進んでおり、さらにEU方面でも”European Union AI Act”が提案されている。しかしこれら社会の不安への対応や規制整備の動きはいずれもAI技術の発展・浸透スピードに比してはタイムラグがあるとBehnam氏は指摘していた。
そのうえでBehnam氏は、企業がAI技術のガバナンスを実現する仕組みを検討する際には「公平性」「透明性」「説明責任」「統制能力」の4本の柱が重要であるとの見解を示した。さらに、検討におけるフレームワークの一例として、NISTの発行する「AI Risk Management Framework」を取り上げていた。
当社コンサルタントの見解:
当社がご支援をさせていただくお客様の中には、AIに関する動向への対応として、ルールの整備や従業員への教育等の活動を検討されているお客様も見受けられるが、活動の拠り所となるAIに対する権威機関の規制や基準をどこに求めるか迷われるケースが多いと伺える。Behnam氏が提唱する4つの柱や、Behnam氏が紹介するNISTのフレームワークを参照するのは一つのアプローチになりえると考える。
クラウド
How Corporate Governance Transformed Cyber Resilience of a Ukrainian Bank
講演者:
Dimitri Chichlo(Vice Chairman, Ukreximbank)
概要:
ウクライナで3番目の規模を誇る銀行(Ukreximbank)に関して、どのような方法で地政学リスクを乗り越え、事業継続を行ったかについてDimitri氏が解説した。
Ukreximbankは、1992年に設立された銀行であり、2019年にポートフォリオ分析結果を受け、コーポレートガバナンスの見直しを実施し、ITの活用やサイバーセキュリティへの対処に関して考慮した内容を検討し、業績を伸ばしていた。そのような活動の中で、2022年のロシアとの軍事衝突が開始し、Ukreximbankは、物理セキュリティの考慮を最優先事項とし、事業継続を行うための検討を余儀なくされた。
軍事衝突の影響により、Ukreximbankの国内拠点を西側に移動させる方針となったが、その際にデータ移行やアクセス性の考慮が必須事項となった。Dimitri氏は、その課題に対処するため、O365やAWSのクラウドを活用し、事業継続性を維持したことを紹介した。
当社コンサルタントの見解:
本講演では、物理セキュリティの考慮に対して、クラウドをどのように有効活用したかという点をUkreximbankという実例をもとに示されていた。また、Dimitri氏は事業継続性を確保するためには、自国だけでなく国外の拠点も考慮し、リスクシナリオの検討と危機管理の見直しをすべきだと発言していた。
Ukreximbankのような地政学リスクがある国の企業や、国内外の全ての拠点で高い事業継続性を維持する必要のある企業などは、Dimitri氏が述べるようにクラウドの活用が解決策の一つであると考えられる。一方で、クラウドを活用する際は、組織内での推進(CCoEの設置など)や規程の策定などの組織面での考慮、セキュアな設定やセキュリティ対策検討などの技術面での考慮が必要となる。そのような考慮を事業性継続性の維持の検討と並行して行うことで、より効果的な活動となると考えられる。
The Megatrends Driving Cloud Adoption – and Improving Security – for All
講演者:
Phil Venables (Chief Information Security Officer, Google Cloud)
概要:
クラウドの利用が促進されることで、セキュリティレベルが向上する理由についてPhil氏が解説した。本講演の内容は、2022年1月頃にGoogleが公開したブログで掲載されており、今回の講演ではブログ内容の詳細が説明された。
クラウドとオンプレのセキュリティレベルを比較した場合、オンプレよりもクラウドのセキュリティレベルが高いことを主張し、その理由として以下の8つのキーワードを挙げていた。
- Economy of Scale
- Shared Fate
- Healthy Competition
- Cloud as the Digital Immune System
- Software-Defined Infrastructure
- Increasing Deployment Velocity
- Simplicity
- Sovereignty Meets Sustainability
それぞれのキーワードの詳細は割愛するが、クラウドをたくさんの人が利用することで、クラウドベンダーのセキュリティ投資額が積極的に実施され、セキュリティレベルや対応力の向上につながることが述べられた。また、その他にも利用者側にもハードウェアの考慮が必要となるメリットや環境にも良い影響を及ぼすことも述べられた。
当社コンサルタントの見解:
本講演では、クラウドの積極的な活用が終始協調されていたが、Phil氏は最後にクラウドで対応できない事業特性も考慮し、クラウド移行の際にその点を熟慮すべきであることを指摘していた。
Phil氏が最後に述べられていた点は、非常に重要であると考えている。当社では、毎年数多くのお客様からクラウド利用に関するご相談を受け、支援を行っている。例えば、昨今では、ゼロトラストモデルを意識したクラウド利用の促進に関するご相談を受ける機会が多くなっているが、業務内容や既存環境をクラウドに移行した際の影響などを考慮しないと、膨大なコストを要したにも関わらず、利用者からは不満が多発する事態に陥る可能性がある。
そのため、クラウドの活用については積極的に考慮すべきではあるが、手段を目的とすることは将来的に大きな課題が生じる可能性がある。本件に不安を感じる場合は当社にご相談をいただきたい。
Zero Effort Zero Trust K8s Security for Blocking Zero Day Attacks
講演者:
Tracy Walker (Sr Security Engineer, SUSE)
概要:
コンテナのライフサイクルに関して、セキュリティを確保する方法として、Tracy氏は「NeuVector」というツールを紹介した。
「NeuVector」は、OSSであり、無償で提供されているツールである。「NeuVector」を利用することで、コンテナ上のプロセス監視や通信制御などを実施でき、講演ではデモを交えて解説した。デモを実施する際、デモ環境が正常に動作せずに、様々な聴講者からアドバイスが飛び交い、全員参加型で講演を進めようという姿勢は、海外ならではの光景であった。
「NeuVector」では、保護モード機能というものがあり、当該機能を利用することで、CVEで掲載されている脆弱性に関して、ゼロデイ攻撃を対処することができる点も強調していた。
当社コンサルタントの見解:
クラウド環境の利用促進により、アプリケーションをコンテナ化し、Kubernetesによりコンテナの管理をしているケースが多い。コンテナを活用している方は、コンテナセキュリティについて考慮が必要であり、Kubernetesなどのオーケストレーションツールの保護、コンテナネットワークの保護、コンテナホストの保護などに関して、対策を検討していると推察する。
このような対策を検討する際に、コンテナ環境全体のセキュリティを考慮するのは大規模になるほど困難となるため、「NeuVector」などの無償のツールを利用して、コンテナ全体のセキュリティを管理することは非常に有用であると考えている。
おわりに
ChatGPTをはじめとした生成AIとセキュリティに関する動向は、セキュリティ業界の経営者や技術者、法律の専門家など、さまざまな視点から注目されていた。そして、生成AIをサイバー攻撃へ悪用する方法は既に実用の段階にあり、攻撃者は生成AIをアシスタントとして利用することで攻撃準備のコスト削減や高度な攻撃手法の獲得を通じ、攻撃力を増幅させていることが伺えた。
一方、防御側では、生成AIをセキュリティ運用に応用し、検知・対応・復旧の感度を向上させ、さらに運用負荷を劇的に減らす未来像が描かれていたが、まだコンセプトの段階にとどまっており、実装や利活用には至っていない現状が明らかになった。
さらに、生成AIに関する規制整備の必要性への認識が高まっており、米国や欧州では実際に整備を検討する動きも見られているが、技術革新に対してはまだ遅れを取っており、組織が生成AIを倫理的かつ安全に利活用するためのノウハウは大枠としては見え始めているものの、まだまだ手探りの状態であることも伺えた。
以上を踏まえると、生成AIはサイバー攻撃を激化させた一方で、生成AIでセキュリティを高めるための技術や生成AIを安全に利活用するための枠組みはまだ発展途上にあるといえる。組織は生成AIで増幅したセキュリティ上の脅威を生成AI頼らない従来の対策で対応しつつ、今後の生成AIの動向に注意を向ける必要があるといえるだろう。
クラウドに関する動向は、昨今の地政学リスクの影響もあり、注目度が高い状況であった。本稿で紹介したクラウドの講演は一部の内容であり、クラウド利用時のセキュリティフレームワークの考え方の講演などもあり、組織面と技術面の観点で様々なテーマが存在していた状況である。
クラウドの採用には、システムの柔軟性・拡張性の向上、コスト・運用負荷の削減、環境への配慮など、従来のオンプレミス環境では得られないさまざまな利点があり、クラウドを利用しないという選択肢は取り得ないと考えている。
一方で、クラウドは機能追加が早く、クラウドベンダー毎に機能や設定値の違いがあり、セキュリティ確保しながら、利用する難しさという点も年々無視できなくなっている。このような背景が多くのRSAカンファレンスの参加者の悩みとして存在しており、クラウドの利便性を享受しながらシステム開発やサービス提供を実現する過程でセキュリティやコンプライアンスのバランスを保つためのヒントを求めさせたのではないだろうか。