※本稿の内容は各講演の内容について筆者の知見を基に見解や解釈を加えたものであり、必ずしも内容の正確性を保証するものではありません。予めご了承ください。
弊社から参加したコンサルタントの専門領域を中心に、以下のテーマに関するセッションを聴講しました。
セキュリティトレンド解説(テーマ横断)
次頁以降で各セッションの内容について、サマリ(Session Summary)と筆者見解(Key Findings)をまとめています。今回は、リスクマネジメント/ガバナンス・AIに関するセッションについてまとめていきます。
▼ Session Summary
NSAはサイバーセキュリティ情報の迅速な共有と運用化を目指し、信頼、敏捷性、創造性を重視して防衛産業基盤(DIB)や小中規模ビジネス(SMB)を含む1000以上のパートナーとの協力関係を築いている
防衛産業基盤や小中規模ビジネスに対するサイバーセキュリティ支援として、DNS保護、攻撃表面管理、サイバー脅威インテリジェンスなどのサービスが提供されている
製造業で使用されるPLCの脆弱性が悪用されるのを防ぐため、事前にパートナーから情報を入手し、他のネットワークベンダーやOTセキュリティの専門知識を持つパートナーと協力して、迅速な対応を実現した事例が紹介された
▼ Key Findings
サイバーセキュリティにおいて迅速な対応を行うためには新鮮な脅威情報を流通させること、つまり情報の共有スピードを可能な限り速めることが肝要であり、脅威情報共有の仕組み実現に向けて官民一体となって取り組む必要がある。
背景として米国は政治的な側面からもサイバー攻撃を受けることが多いため、政府だけではなく産業界とも連携した大規模な取り組みが必要となったと推測する。
▼ Session Summary
Trellix社の調査によると、96%のCISOが組織のセキュリティ戦略を打ち出し、企業のサイバーセキュリティにおけるすべての責任を負っていると回答
・一方で、それは責任と権限の大きさのバランスが取れていない状態だと考えざるを得ない
CISOには2つの視点が求められていくことになる
・“戦場”の理解
・“敵”は誰で、どのような攻撃を仕掛けてくるのか
・必要なスキルの整理(以下3つのスキルを重視)
・深い知見をもってセキュリティを推進する“設計者”であること
・自社のビジネスや時勢をよく理解した“管理者”であること
・社内外のステークホルダとの“コネクタ”であること
▼ Key Findings
近年の攻撃の高まりや複雑化を鑑みると、CISO等が他社と情報交換を積極的に行うことにより、業界全体でよりよいセキュリティ対策の実施を目指すことが望ましい旨が述べられていた。
確かにあるべき姿としては正しいと考えられるものの、セキュリティ対策が経営課題や戦略の1つとして捉えられてきているなかで、日本においては他社との情報交換を積極的に行おうとする企業は決して多くはないものと推察する。
▼ Session Summary
社員の属性を理解し、それに応じたアクセス権限の付与を行うこと、守るべき情報資産の明確化を行うことが最も基礎的な対策となる
内部不正と企業全体のリスクマネジメントプロセスを統合していく必要がある
・それぞれのプロセス自体に大きな差はない
“GQIM Process”がリスクマネジメントにおいて有用
・Goal(何を達成したいか)の設定
・Question(ゴールに到達したかどうか確かめるための質問)の検討
・lIndicator(質問に回答するための指標は何か)の明確化
・Metrics(指標から得られるデータの定量化)の明確化
▼ Key Findings
まずは社内、委託先両方に対する内部不正観点でのリスクアセスメントの実施や、内部不正発生時の対応の検証等、通常のリスクマネジメントのプロセスに内部不正観点を盛り込んでいくことから始めることが望ましい。
「誰が」「会社のどの資産に」「どのような方法で悪事を働き(故意性を問わない)」「会社にどのような影響があるか」という軸で自社に潜む内部不正のリスクシナリオを想定し、それらをリスクマネジメントしていくことが重要である。
▼ Session Summary
AIガバナンスにおけるCISOの役割
・複数部門を横断した統括チームの設立・リード
・AI利活用のユースケース策定の補助
・原理原則に基づくAI利用ポリシー策定
・AI利用のトレーニング環境の構築
・AI利用のリスク管理
・機密データ保護のためのDLPを用いたポリシー順守
LLMを組み込んだSaaSアプリケーションの増加に伴うサードパーティリスク、プライバシーや法的な観点など、Generative AIを利用するには多様なリスクを考慮したガバナンスが重要である
▼ Key Findings
AI関連の法規制を理解し、それに則ったAIの利活用や開発を行うことは必須である。AIガバナンス構築の第一歩として、自社の状況に応じたAI利用に関するルールを定めて規程類に反映し、AIに対する姿勢を従業員に示していくことが肝要であるといえる。
▼ Session Summary
AISIRTの主な活動としては以下の通りで、基本的にはCSIRTを拡張してAI関連の対応を行うイメージとなる
・AI関連インシデント対応
・AIの脆弱性検出
・AIの脆弱性管理
・AI関連の動向認識
・ベストプラクティス、基準、ガイドラインの更新と共有
・AI実用化に関する産学官および立法機関との連携
AISIRTが得た知見(抜粋)
・AIの脆弱性はサイバー関連の脆弱性と同質と言える
・AI開発者向けのセキュアな開発トレーニングが必要(DevSecOpsなど)
▼ Key Findings
ナショナルサートのような位置づけとしてAISIRTが紹介されたものの、AIの進歩や利活用の促進に伴って、将来的には企業においても下記のうちの一部機能をCSIRTや関連組織が担う必要性が生じる可能性があると考えられる。
一方で、それらを運用できる企業は限定されると想定されるため、リスクを見極めたうえでAI利用ルールを明確に定め、リスクを低減する対策を導入して活用する等、基本的なAIガバナンスの構築が相対的に重要になると推察する。
▼ Session Summary
社員の属性を理解し、それに応じたアクセス権限の付与を行うこと、守るべき情報資産の明確化を行うことが最も基礎的な対策となる
内部不正と企業全体のリスクマネジメントプロセスを統合していく必要がある
・それぞれのプロセス自体に大きな差はない
“GQIM Process”がリスクマネジメントにおいて有用
・Goal(何を達成したいか)の設定
・Question(ゴールに到達したかどうか確かめるための質問)の検討
・lIndicator(質問に回答するための指標は何か)の明確化
・Metrics(指標から得られるデータの定量化)の明確化
▼ Key Findings
CISOには生成AIを利用するリスクを理解し、適切な対応を組織レベルで推進する役割が求められている。今後多くの企業にとって生成AIを活用した業務効率化や事業拡大が課題となるため、CISOへの早期教育や外部からの招へいが活発になると推察する。
▼ Session Summary
現在手作業で行われている設計フェーズの脅威モデリングは設計者のスキルに依存しているが、生成AIによって自動化されるようになる
SBOMと生成AIを活用することで、脆弱性が公開された際に速やかに漏れなく修正することができる
その他にも、生成AIとSBOMを利用したレポート生成が紹介
・CVEのデータとSBOMのデータから残存する脆弱性を可視化
・対策の優先度や対策にかかるコストを算出
・技術要素を排除し、経営層が判断できるレポートを生成
▼ Key Findings
「開発スピードの向上」と「セキュア開発の実施」という両立が難しい課題に対し、SBOMと生成AIを活用することで活路を見いだせる可能性があると述べられていた。
一方、SBOMを活用するプロセスを定義しなければ単なるソフトウェアインベントリ情報となってしまうため、開発プロセスを整備し、開発者がSBOMを活用できるよう組織的に取り組むことが重要である。
次回は、サプライチェーンセキュリティ・サイバーレジリエンス・データセキュリティに関するセッションについてまとめていきます。