2024年5月6日から9日の4日間、「RSA Conference 2024」が米国サンフランシスコのMoscone Centerで開催されました。本稿では、グローバルで注目されている最新のセキュリティ動向に関する情報提供を目的として、RSAカンファレンス2024の講演を選定し、その概要をセキュリティコンサルタントの視点で紹介します。
※本稿の内容は各講演の内容について筆者の知見を基に見解や解釈を加えたものであり、必ずしも内容の正確性を保証するものではありません。予めご了承ください。
はじめに
弊社から参加したコンサルタントの専門領域を中心に、以下のテーマに関するセッションを聴講しました。
-
セキュリティトレンド解説(テーマ横断)
- リスクマネジメント・ガバナンス
- AI
- サプライチェーンセキュリティ
- サイバーレジリエンス
- データセキュリティ
次頁以降で各セッションの内容について、サマリ(Session Summary)と筆者見解(Key Findings)をまとめています。今回は、サプライチェーンセキュリティ・サイバーレジリエンス・データセキュリティに関するセッションについてまとめていきます。
サプライチェーンセキュリティ編
What Hacking the Planet Taught Us About Defending Supply Chain Attacks
ソフトウェアサプライチェーン攻撃の基礎知識および様々な事例が紹介され、どのような対策を行うことが肝要であるか解説
▼ Session Summary
-
昨今、ソフトウェアサプライチェーン攻撃が頻発し、そのリスクの大きさが認知されつつある
-
ソフトウェアサプライチェーン攻撃はどの企業にも発生しうるものであると認識すべき
-
NISTがサプライチェーンリスクマネジメントのプロセスを定めており、それに従った対応をすべき
-
自社にとって重要なシステムは何かを明確化し、それらに対してセキュリティテストを行っていくことが肝要
-
新たなシステムを導入する際に行うセキュリティテストの計画を
あらかじめ用意しておくべき
▼ Key Findings
適切な資産管理および脆弱性管理を行うことがソフトウェアサプライチェーン攻撃対策の第一歩と言える。
サプライチェーンに関するリスクマネジメントはNIST SP800-171に加え、日本でもサイバーセキュリティ経営ガイドライン(経済産業省)など各種ガイドラインを参考にプロセス化すること、プロセスに従い適切に運用することが重要である。
Lesson Learned from the Summer of Supply Chain Attacks
セキュリティの専門家や法律、コミュニケーションの分野からの専門家が参加し、 2023年のサプライチェーン攻撃を題材としたパネルディスカッションを実施
▼ Session Summary
-
2023年のサプライチェーン攻撃の傾向として、エッジやセキュリティ機器を狙った攻撃、AIを活用した攻撃が活発だった
-
従業員だけでなく従業員の家族に直接接触して恐喝するような事例があり、一種のサプライチェーン攻撃と言える
-
2024年も2023年度と同様の傾向が続き、AIを活用して攻撃のバリエーションが増えるだろう
-
対策として、「データ保護の強化」「セキュリティマネジメントの強化」「従業員に対するトレーニング」が重要である
▼ Key Findings
攻撃者は増加するIoT機器やサプライチェーンなど、多種多様なアタックサーフェス・攻撃経路から攻撃を試みている。
活発かつ多様化しているサプライチェーン攻撃に対し、ゼロトラストの導入のような技術的な対策に加え、セキュリティ教育などの基本的なセキュリティ対策についてあらためて見直すべきである。
Securing Software Supply Chain: Problems, Solutions, and AI/ML Challenges
ソフトウェアやAIのサプライチェーンセキュリティに関する近年の傾向と攻撃を防ぐためのポイントを解説
▼ Session Summary
-
近年攻撃者は製品やサービスの構成要素、データなどの運用環境に加え、開発環境や利用しているOSS、コンテナ、バイナリなど様々なものを標的にするようになり、サプライチェーンの脅威が増加している
-
サプライチェーン攻撃を防ぐためには、開発環境とビルド環境を本番環境と同様に安全にすることが重要であり、「信頼できるコンポーネントの利用」「署名付きコミットの使用」「セキュアな開発ツールの
採用」などが有効 -
AIや機械学習に関するサプライチェーンのリスクの一つとして、オープンソースのAIモデルは攻撃者によって分析・悪用される可能性があるため、独自のモデルを使用することが推奨される
-
AIセキュリティに関する複数のフレームワークがあり、適切に選択することが重要である
▼ Key Findings
AIセキュリティは通常のソフトウェアセキュリティに加え、独自の脅威が存在することが述べられていた。
NISTによる「AIリスクマネジメントフレームワーク」やEUにおける「AI規制法案」など、AIセキュリティの最新の動向を取り入れて開発することに加え、AIのリスクや攻撃事例を収集・活用し、AIセキュリティ向上に取り組むことが求められている。
ホテルロビーもセキュリティ 一色に!SFの街にも広告が複数出されるなど、街全体がRSACに染まっていました
サイバーレジリエンス編
Building Your Roadmap to Cyber Resilience . Five Things You Can Do Today
サイバーレジリエンスとは何か、BCPとの違いも含め解説されたのち、サイバーレジリエンスを確立するための手順が7ステップで紹介
▼ Session Summary
-
BC (Business Continuity)は、あらかじめ想定された有事に対し用意されたプランを用いて対処するが、レジリエンスはあらゆる状況に対し対処することが求められる
-
サイバーレジリエンスの確立は以下の7ステップから成る
1.ガバナンス構築
2.ステークホルダーの整理
3.最低限利用可能なサービスレベルの定義
4.サービス提供目標の設定
5.重要なデータセットの保全
6.サービス提供目標を満たすための計画策定
7.計画のテスト
▼ Key Findings
サイバー攻撃等の高まりを受け、あらゆるインシデントの発生を防ぎきることは困難であるという考え方から、近年では様々な脅威に対し柔軟に対応を行うためのサイバーレジリエンスを確立させることがより重要であるといわれている。
サイバーレジリエンスは、“ビジネスを中断させない“ことを1つのゴールとしており、その実現には経営層の深い関与と素早い判断が求められるため、経営層も巻き込んだ準備を全社大で行うことが重要となる。
New Research Reveals Five New Trends for Cyber Resilience
LevelBlue社が経営層クラス1000名に実施したサイバーレジリエンスに関する調査レポートの内容について紹介
▼ Session Summary
- サイバーレジリエンスとサイバーセキュリティレジリエンスを定義
前者:サイバー関連や災害等も含めた有事からビジネスおよびIT資産を回復させる能力
後者:特にサイバー関連の有事から回復させる能力 - 「経営がサイバーレジリエンスについて理解していない」と72%が回答
- サイバーセキュリティがビジネス上の戦略や計画に含まれていない場合が未だに多い
- サイバーセキュリティチームは形式的な業務をこなすことで精いっぱいであり、それがサイバーセキュリティレジリエンスの確立を阻んでいる
- 「インシデント対応計画が定まっていない」と65%が回答
▼ Key Findings
サイバーレジリエンスの確立はその特性から、経営層にセキュリティ対策を経営戦略や計画の1つ、あるいは課題として認識いただくことが活動の第一歩であり、かつ、大きな障壁になる場合が多いものと考えられるため、セキュリティに関する経営層への啓蒙活動等、地道な活動を重ねることも必要になるといえる。
サイバーレジリエンスに限らず、セキュリティインシデント対応全般に係る準備が不足している企業も多く見受けられるため、まずは一般的なインシデント対応に関する方針や手順を整備することが望ましいと考える。
カンファレンス初参加者向けのイベント「First-timer Reception」の会場は卓球バー
データセキュリティ編
Data Backup and Recovery: An Unexplored Corner of Zero Trust
データバックアップやシステムリカバリの観点から、レジリエンスを向上するためにゼロトラスト成熟度モデル(CISA)を拡張したゼロトラスト・データレジリエンス(ZTDR)が提言
▼ Session Summary
-
ゼロトラスト・データレジリエンス(ZTDR)の原則
・最小特権アクセス
・完全性
・システムレジリエンス
・リストア作業や復旧プロセスの検証
・シンプルな運用
-
ゼロトラスト成熟度モデルに以下を追加すべきと提言
・企業のデータやシステムへのアクセス
・バックアップストレージやデータへのアクセス
・システムレジリエンス
・システムの監視と検証
▼ Key Findings
組織が保有するデータの種類や量は年々増加しており、かつデータの重要性も増しているため、データバックアップやリカバリプロセスの構築は多くの企業が考慮すべき事項である。
データレジリエンスを高めるにはセキュリティ部門だけでなくIT部門やインフラ部門の協力が不可欠なため、CISOを中心とした組織マネジメントが重要であるといえる。
The Importance of Identity-Centric Security in 2024
リモートワークやマルチクラウドの導入が進んだことでIDのセキュリティの重要性が高まっている。その中でも特にAD基盤を守ることの重要性や防御のポイントを解説
▼ Session Summary
-
アイデンティティはデジタルインフラストラクチャ内のオブジェクトを識別するあらゆるものを指すが、その中でもユーザアイデンティティが重要である
-
特にオンプレミスADとAzure ADの併用が主流な昨今、ADの防御が非常に重要である
-
AD基盤の防御のため以下5つがポイントとなる
・少なくとも半年に1回はAD基盤のリスク評価を実施すること
・定期的にアカウントの棚卸をすること
・HCM(人材管理)アプリケーションと従業員データベースを統合し、オンボーディング/オフボーディングを自動化すること
・RBAC(ロールベースアクセスコントロール)を実装すること
・パスワード認証に加えてMFAを実装すること
▼ Key Findings
近年ID連携するシステムが多く存在するため、認証・認可の根幹であるAD環境のセキュリティ対策の重要性が増している。IDのセキュリティ強化のため、ツールを活用した脅威の早期検知に加え、棚卸などの適切な運用を行う仕組みづくりが重要である。
Secure Modern Data Lakes - A Primer
近年膨大なデータを保存・管理・分析するためにデータレイクへの依存度が上がっているため、データレイク保護のベストプラクティスを紹介
▼ Session Summary
-
古くはオンプレミスが、近年はクラウドサービスが活用されている
-
DLPは近年のデータレイクを保護する仕組みとしては不十分
-
データレイクの保護のために実行すべきことは以下であり、DSPMの活用も視野に入れることが望ましい
・機密データの分類を明らかにする
・コンプライアンス要件を明確にする
・セキュリティ設定を定期的に監視する
・アクセス権限を監視する
・最小権限を強制する
・不正な権限の変更やデータへのアクセスを監視する
・データレイクセキュリティを全体のデータセキュリティと統合する
・オーナーシップを明確にする(データチームorコンプライアンスチーム)
▼ Key Findings
様々な業界データ駆動のビジネス創出を目指す企業が増えており、多種多様なデータが保存されるデータレイクのセキュリティは多くの企業にとって重要性が高まっているといえる。
データレイク保護の第一ステップであるデータの棚卸に時間がかかる可能性があるが、今後データレイクがますます利活用されることを考慮し、早急に仕組みを構築すべきである。
おわりに
本稿では、グローバルで注目されている最新のセキュリティ動向に関する情報提供を目的として、RSAカンファレンス2024の講演を選定し、その概要をセキュリティコンサルタントの視点で紹介しました。本稿が、少しでも皆さまのお役に立てば幸いです。
筆者所感
セキュリティアーキテクチャコンサルティング部 篠原隆
会場だけでなく、ホテルのロビーや周辺の飲食店などにも多数の参加者がおり、街全体がRSAカンファレンス一色という雰囲気で主催者や参加者の熱意を感じました。
セッションは多種多様なテーマが用意されており、かつ会場も広いため、参加の目的を定め参加セッションの絞りこみや会場の確認など参加に向けた事前の準備が重要だと感じました。
展示ブースでは集客のために各社工夫を凝らした展示やノベルティを用意しており、お祭りのような雰囲気でした。一方、ミーティングスペースも埋まっている時間帯が多く、単なる情報収集だけでなく、セキュリティのビジネスが動く場であることを実感しました。
リスクマネジメントコンサルティング部 岸潤一郎
まず、サンフランシスコ空港から中心地まで通りの雰囲気に少し驚きました。事前に多少は聞いていたものの、日本がいかに安全な場所であるか、再認識させられました。一方で開催場所であるMoscone Centerの周りは、世界中から集まった(130か国!)カンファレンス参加者でごった返しており、かつ期間中は晴天に恵まれたこともあって、大変明るい雰囲気で活気にあふれていました。
ベンダ等が展示を行っているブースエリアにも何度か足を運びましたが、まっすぐ歩けないほど盛況で、各社工夫を凝らした展示を行っており、目を惹かれるものが大変多かった印象です。
個人的にはセッションの隙間時間で訪れたという事情もあり、満足行くほどブースを回ったり、担当者の話を聞けなかったことが心残りです。
カンファレンスパス受取会場のモニュメント