2024年5月6日から9日の4日間、「RSA Conference 2024」が米国サンフランシスコのMoscone Centerで開催されました。本稿では、グローバルで注目されている最新のセキュリティ動向に関する情報提供を目的として、RSAカンファレンス2024の講演を選定し、その概要をセキュリティコンサルタントの視点で紹介します。
※本稿の内容は各講演の内容について筆者の知見を基に見解や解釈を加えたものであり、必ずしも内容の正確性を保証するものではありません。予めご了承ください。
RSAカンファレンスとは?
サイバーセキュリティ分野の最大イベントの1つ。米国を中心としたセキュリティ企業のリーダーや 実務者・ベンダ・研究者等が数多く参加し、参加者は講演・展示会・ハンズオントレーニング・討論会等の各プログラムを通じて、セキュリティ業界の最新トレンド・技術・製品・サービス・規制整備等に触れることができます。
また、今後のビジネスやキャリア、ひいてはセキュリティ業界の発展に寄与するネットワークを形成する機会を提供しています。
PwC社主催のイベントで訪れたSF Giantsの本拠地オラクルパーク
今年のカンファレンステーマは”The Art of Possible”
進化し続ける脅威に対し、防御を強化しながら、画期的なイノベーションによって技術革新を起こす、という
かつては不可能だと思われていたことに対し、努力する勇気を与えるテーマであるといわれています。
RSAカンファレンスのエグゼクティブ・チェアマンであるヒュー・トンプソン氏は、「希望を思い起こさせるテーマであると同時に、我々への警告でもある。敵の“可能性”を甘く見積もってはいけない」と述べています。
33の基調講演が行われ、その中でもヒュー・トンプソン氏が行った”The Power of Community”では、以下のメッセージが強調されていました。
- 数々の困難を我々は経験してきたが、セキュリティにかかわる人々の“コミュニティ”が不可能を可能に変えてきた
- 個人の力を結集すれば、“コミュニティ”の力は絶大なほど大きくなる
- セキュリティ担当者の「燃え尽き症候群」が大きな問題になっている
- AIの利用を進めたい一方で、どのようにリスクをコントロールすべきか議論が必要
- 年々新たな脅威に対する対策の考え方(例:ソフトウェアサプライチェーンリスクに対するSBOM)が
リスクマネジメントの一部として組み込まれていくが、言葉だけが先行している現状がある
RSAカンファレンス2024の各セッションで特に多く扱われたテーマ
- AIの進化や、倫理的な問題とそれへの対処
- プライバシー保護に関する規制の動向と対応
- 急速に拡大する技術に関する政策面への影響
RSAカンファレンス2023でもAI関連のテーマが多く扱われていましたが、今年はAI関連プレゼンテーション数が昨年の2倍近くに増えており、よりAIの注目度が上がっていることがわかるほか、どのようにセキュリティ面で活用していくか(AI for Security)という側面でより多くの講演・課題提起がなされていました。
また、サイバーレジリエンスやサプライチェーンセキュリティもキーワードとして挙げられており、関連する
セッションがいくつか開催されていました。
弊社から参加したコンサルタントの専門領域を中心に、以下のテーマに関するセッションを聴講しました。
-
セキュリティトレンド解説(テーマ横断)
- リスクマネジメント・ガバナンス
- AI
- サプライチェーンセキュリティ
- サイバーレジリエンス
- データセキュリティ
次頁以降で各セッションの内容について、サマリ(Session Summary)と筆者見解(Key Findings)をまとめています。今回は、セキュリティトレンド解説(テーマ横断)について紹介します。
セキュリティトレンド解説(テーマ横断)
Gartner's Top Predictions for Cybersecurity 2023-2024
ガートナー社のLeigh C. McMullen氏が、2024年から2027年までのセキュリティに関するトレンドの予見を紹介
▼ Session Summary
- 2024年までに
プライバシーの保護に関する規制が進む一方、プライバシーの保護を“売りにできる”企業は10%にも満たない - 2025年までに
・おおよそ半数のCISOたちは職を変えてしまい、そのうち25%はストレスが原因で全く異なる役割の職に就く
・50%のCISOは、経営判断に活用するためにサイバーリスクの定量化を試みるものの、失敗に終わる - 2026年までに
・10%の企業がゼロトラストを成熟させる
・脅威検知・調査・対応に関する機能の60%以上が検証や優先順位付けに“exposure management data”を活用する
・70%の企業は取締役会にセキュリティの専門家を1名含む - 2027年までに
・75%の従業員がシャドーITを利用する
・大企業の50%が人的リスクを念頭に置いたセキュリティ対策を行う
▼ Key Findings
空席が見られないほど、参加した中でも特に注目度の高いセッションであった。CISOをはじめとしたセキュリティの専門職・担当者にかかる負荷が今後より高まることが想定されており、負荷軽減のための自動化やアウトソースも見据えた対策および運用の抜本的な見直しが必要となる可能性がある。
年々注目度を増している標的型攻撃や内部不正を念頭に置いた対策として、セキュリティ教育等の“人間”に焦点を当てた対策の重要度がより一層高まると想定される。
State of the Hack 2024 - NSA’s Perspectives
NSA(米国国家安全保障局)のサイバーセキュリティ局 新旧局長による対談で、様々なテーマ・脅威に関して意見交換
▼ Session Summary
- エッジデバイス(社内外のネットワーク境界に配置された機器)への攻撃に対する対策
・パッチが発布された場合は速やかに適用すること
・多要素認証を導入すること
・ゼロトラストモデルの導入 - クラウド環境への攻撃に対する対策
・多要素認証を導入すること
・脆弱性管理やログ管理等の基本的な対策を怠らないこと - ランサムウェア
・Change Healthcareがランサムウェア被害を受け、全米に多大な影響をもたらした
・身代金を払ったが、攻撃者はシステムを復旧させることはなかった
・予防と回復(レジリエンス)策を十分に整備して、被害を起こさないこと・起こっても自力で復旧できる状態にしておくことが重要
▼ Key Findings
こちらも前頁同様に大変多くの参加者が聴講しており、NSAの動向や発言の注目度の高さがうかがわれた。
The Five Most Dangerous New Attack Techniques You Need to Know About
SANSのメンバ5名が登壇し、現在取りざたされているセキュリティ上の懸念や新たな脅威、攻撃手法について紹介
▼ Session Summary
- “技術的負債”
・「その場しのぎのコーディング」や「レガシーコード」が蓄積された結果、コードのメンテナンスが十分に実施できなかったり、それらの内容を理解できる人材が残っていなかったりするために、脆弱性が取り残されやすくなっている - AIを悪用した攻撃
・AIを悪用したなりすましが登場したことでデジタルアイデンティティの真正性が脅かされている
・大統領選を控えた米国においては、AIを悪用したフェイクニュースの流布等による世論の操作が、民主主義を脅かすと懸念される
・AIの登場によりコードの分析が簡単かつ正確に行えるようになったがために、脆弱性が発見・悪用されるスピードも著しく早くなっている
▼ Key Findings
AIを悪用した攻撃手法が多く取りざたされており、社会問題化している現状である。特に、AIの登場によって情報の信頼性が低下していると考えられ、情報の受け手のリテラシ向上に関する教育が企業においても必要だと考えられる。
より安全なITサービスの開発にあたっては、“セキュア・バイ・デザイン“や”DevSecOps”等といったセキュリティを確保するための考え方を、開発の一連の流れに積極的に取り込んでいくことが重要であるといえる。
次回、リスクマネジメント・ガバナンス、AIについてまとめていきます。