※本稿の内容は各講演の内容について筆者の知見を基に見解や解釈を加えたものであり、必ずしも内容の正確性を保証するものではありません。予めご了承ください。
弊社から参加したコンサルタントの専門領域を中心に、以下のテーマに関するセッションを聴講しました。
セキュリティトレンド解説(テーマ横断)
次頁以降で各セッションの内容について、サマリ(Session Summary)と筆者見解(Key Findings)をまとめています。今回は、サプライチェーンセキュリティ・サイバーレジリエンス・データセキュリティに関するセッションについてまとめていきます。
▼ Session Summary
昨今、ソフトウェアサプライチェーン攻撃が頻発し、そのリスクの大きさが認知されつつある
ソフトウェアサプライチェーン攻撃はどの企業にも発生しうるものであると認識すべき
NISTがサプライチェーンリスクマネジメントのプロセスを定めており、それに従った対応をすべき
自社にとって重要なシステムは何かを明確化し、それらに対してセキュリティテストを行っていくことが肝要
新たなシステムを導入する際に行うセキュリティテストの計画を
あらかじめ用意しておくべき
▼ Key Findings
適切な資産管理および脆弱性管理を行うことがソフトウェアサプライチェーン攻撃対策の第一歩と言える。
サプライチェーンに関するリスクマネジメントはNIST SP800-171に加え、日本でもサイバーセキュリティ経営ガイドライン(経済産業省)など各種ガイドラインを参考にプロセス化すること、プロセスに従い適切に運用することが重要である。
▼ Session Summary
2023年のサプライチェーン攻撃の傾向として、エッジやセキュリティ機器を狙った攻撃、AIを活用した攻撃が活発だった
従業員だけでなく従業員の家族に直接接触して恐喝するような事例があり、一種のサプライチェーン攻撃と言える
2024年も2023年度と同様の傾向が続き、AIを活用して攻撃のバリエーションが増えるだろう
対策として、「データ保護の強化」「セキュリティマネジメントの強化」「従業員に対するトレーニング」が重要である
▼ Key Findings
攻撃者は増加するIoT機器やサプライチェーンなど、多種多様なアタックサーフェス・攻撃経路から攻撃を試みている。
活発かつ多様化しているサプライチェーン攻撃に対し、ゼロトラストの導入のような技術的な対策に加え、セキュリティ教育などの基本的なセキュリティ対策についてあらためて見直すべきである。
▼ Session Summary
近年攻撃者は製品やサービスの構成要素、データなどの運用環境に加え、開発環境や利用しているOSS、コンテナ、バイナリなど様々なものを標的にするようになり、サプライチェーンの脅威が増加している
サプライチェーン攻撃を防ぐためには、開発環境とビルド環境を本番環境と同様に安全にすることが重要であり、「信頼できるコンポーネントの利用」「署名付きコミットの使用」「セキュアな開発ツールの
採用」などが有効
AIや機械学習に関するサプライチェーンのリスクの一つとして、オープンソースのAIモデルは攻撃者によって分析・悪用される可能性があるため、独自のモデルを使用することが推奨される
AIセキュリティに関する複数のフレームワークがあり、適切に選択することが重要である
▼ Key Findings
AIセキュリティは通常のソフトウェアセキュリティに加え、独自の脅威が存在することが述べられていた。
NISTによる「AIリスクマネジメントフレームワーク」やEUにおける「AI規制法案」など、AIセキュリティの最新の動向を取り入れて開発することに加え、AIのリスクや攻撃事例を収集・活用し、AIセキュリティ向上に取り組むことが求められている。
▼ Session Summary
BC (Business Continuity)は、あらかじめ想定された有事に対し用意されたプランを用いて対処するが、レジリエンスはあらゆる状況に対し対処することが求められる
サイバーレジリエンスの確立は以下の7ステップから成る
1.ガバナンス構築
2.ステークホルダーの整理
3.最低限利用可能なサービスレベルの定義
4.サービス提供目標の設定
5.重要なデータセットの保全
6.サービス提供目標を満たすための計画策定
7.計画のテスト
▼ Key Findings
サイバー攻撃等の高まりを受け、あらゆるインシデントの発生を防ぎきることは困難であるという考え方から、近年では様々な脅威に対し柔軟に対応を行うためのサイバーレジリエンスを確立させることがより重要であるといわれている。
サイバーレジリエンスは、“ビジネスを中断させない“ことを1つのゴールとしており、その実現には経営層の深い関与と素早い判断が求められるため、経営層も巻き込んだ準備を全社大で行うことが重要となる。
▼ Session Summary
▼ Key Findings
サイバーレジリエンスの確立はその特性から、経営層にセキュリティ対策を経営戦略や計画の1つ、あるいは課題として認識いただくことが活動の第一歩であり、かつ、大きな障壁になる場合が多いものと考えられるため、セキュリティに関する経営層への啓蒙活動等、地道な活動を重ねることも必要になるといえる。
サイバーレジリエンスに限らず、セキュリティインシデント対応全般に係る準備が不足している企業も多く見受けられるため、まずは一般的なインシデント対応に関する方針や手順を整備することが望ましいと考える。
▼ Session Summary
ゼロトラスト・データレジリエンス(ZTDR)の原則
・最小特権アクセス
・完全性
・システムレジリエンス
・リストア作業や復旧プロセスの検証
・シンプルな運用
ゼロトラスト成熟度モデルに以下を追加すべきと提言
・企業のデータやシステムへのアクセス
・バックアップストレージやデータへのアクセス
・システムレジリエンス
・システムの監視と検証
▼ Key Findings
組織が保有するデータの種類や量は年々増加しており、かつデータの重要性も増しているため、データバックアップやリカバリプロセスの構築は多くの企業が考慮すべき事項である。
データレジリエンスを高めるにはセキュリティ部門だけでなくIT部門やインフラ部門の協力が不可欠なため、CISOを中心とした組織マネジメントが重要であるといえる。
▼ Session Summary
アイデンティティはデジタルインフラストラクチャ内のオブジェクトを識別するあらゆるものを指すが、その中でもユーザアイデンティティが重要である
特にオンプレミスADとAzure ADの併用が主流な昨今、ADの防御が非常に重要である
AD基盤の防御のため以下5つがポイントとなる
・少なくとも半年に1回はAD基盤のリスク評価を実施すること
・定期的にアカウントの棚卸をすること
・HCM(人材管理)アプリケーションと従業員データベースを統合し、オンボーディング/オフボーディングを自動化すること
・RBAC(ロールベースアクセスコントロール)を実装すること
・パスワード認証に加えてMFAを実装すること
▼ Key Findings
近年ID連携するシステムが多く存在するため、認証・認可の根幹であるAD環境のセキュリティ対策の重要性が増している。IDのセキュリティ強化のため、ツールを活用した脅威の早期検知に加え、棚卸などの適切な運用を行う仕組みづくりが重要である。
▼ Session Summary
古くはオンプレミスが、近年はクラウドサービスが活用されている
DLPは近年のデータレイクを保護する仕組みとしては不十分
データレイクの保護のために実行すべきことは以下であり、DSPMの活用も視野に入れることが望ましい
・機密データの分類を明らかにする
・コンプライアンス要件を明確にする
・セキュリティ設定を定期的に監視する
・アクセス権限を監視する
・最小権限を強制する
・不正な権限の変更やデータへのアクセスを監視する
・データレイクセキュリティを全体のデータセキュリティと統合する
・オーナーシップを明確にする(データチームorコンプライアンスチーム)
▼ Key Findings
様々な業界データ駆動のビジネス創出を目指す企業が増えており、多種多様なデータが保存されるデータレイクのセキュリティは多くの企業にとって重要性が高まっているといえる。
データレイク保護の第一ステップであるデータの棚卸に時間がかかる可能性があるが、今後データレイクがますます利活用されることを考慮し、早急に仕組みを構築すべきである。
本稿では、グローバルで注目されている最新のセキュリティ動向に関する情報提供を目的として、RSAカンファレンス2024の講演を選定し、その概要をセキュリティコンサルタントの視点で紹介しました。本稿が、少しでも皆さまのお役に立てば幸いです。
セキュリティアーキテクチャコンサルティング部 篠原隆
会場だけでなく、ホテルのロビーや周辺の飲食店などにも多数の参加者がおり、街全体がRSAカンファレンス一色という雰囲気で主催者や参加者の熱意を感じました。
セッションは多種多様なテーマが用意されており、かつ会場も広いため、参加の目的を定め参加セッションの絞りこみや会場の確認など参加に向けた事前の準備が重要だと感じました。
展示ブースでは集客のために各社工夫を凝らした展示やノベルティを用意しており、お祭りのような雰囲気でした。一方、ミーティングスペースも埋まっている時間帯が多く、単なる情報収集だけでなく、セキュリティのビジネスが動く場であることを実感しました。
リスクマネジメントコンサルティング部 岸潤一郎
まず、サンフランシスコ空港から中心地まで通りの雰囲気に少し驚きました。事前に多少は聞いていたものの、日本がいかに安全な場所であるか、再認識させられました。一方で開催場所であるMoscone Centerの周りは、世界中から集まった(130か国!)カンファレンス参加者でごった返しており、かつ期間中は晴天に恵まれたこともあって、大変明るい雰囲気で活気にあふれていました。
ベンダ等が展示を行っているブースエリアにも何度か足を運びましたが、まっすぐ歩けないほど盛況で、各社工夫を凝らした展示を行っており、目を惹かれるものが大変多かった印象です。
個人的にはセッションの隙間時間で訪れたという事情もあり、満足行くほどブースを回ったり、担当者の話を聞けなかったことが心残りです。