Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
権威ドキュメントで振り返る2024 #年忘れセキュリティ2024
Search
田口 大智 / ぐっち
December 13, 2024
Technology
2
1.1k
権威ドキュメントで振り返る2024 #年忘れセキュリティ2024
田口 大智 / ぐっち
December 13, 2024
Tweet
Share
More Decks by 田口 大智 / ぐっち
See All by 田口 大智 / ぐっち
Microsoft 365 Copilot ユーザー向け研修資料_v2.0
hirotomotaguchi
34
44k
Azure で作ったサポートシステム
hirotomotaguchi
1
6
業務に組み込む生成AI〜失敗と改善の1年半〜
hirotomotaguchi
4
220
リーグオブ情シス登壇資料_議事録AIの導入について
hirotomotaguchi
4
660
On Your Data を超えていく!
hirotomotaguchi
2
1.5k
LLM活用を加速させる Prompt Flow 実践
hirotomotaguchi
0
830
Copilot for Microsoft 365 の実際のユーザー体験
hirotomotaguchi
4
660
セキュリティチェックシート記入AIを Azure OpenAI Studio Prompt Flow で作る
hirotomotaguchi
1
660
Copilot for Microsoft 365 ぶっちゃけどうなの?_生成AI新年会@GMO Yours・フクラス
hirotomotaguchi
2
1.8k
Other Decks in Technology
See All in Technology
I could be Wrong!! - Learning from Agile Experts
kawaguti
PRO
8
3.1k
Visual StudioとかIDE関連小ネタ話
kosmosebi
1
350
深層学習と3Dキャプチャ・3Dモデル生成(土木学会応用力学委員会 応用数理・AIセミナー)
pfn
PRO
0
450
30分でわかるデータ分析者のためのディメンショナルモデリング #datatechjp / 20250120
kazaneya
PRO
18
4.4k
「隙間家具OSS」に至る道/Fujiwara Tech Conference 2025
fujiwara3
6
4.9k
実践! ソフトウェアエンジニアリングの価値の計測 ── Effort、Output、Outcome、Impact
nomuson
0
1.8k
いま現場PMのあなたが、 経営と向き合うPMになるために 必要なこと、腹をくくること
hiro93n
7
5.2k
PaaSの歴史と、 アプリケーションプラットフォームのこれから
jacopen
5
410
AWSサービスアップデート 2024/12 Part3
nrinetcom
PRO
0
100
チームが毎日小さな変化と適応を続けたら1年間でスケール可能なアジャイルチームができた話 / Building a Scalable Agile Team
kakehashi
1
200
🌏丸い地球を効率的に平たくする 〜🗺️地図の幾何学とWeb地図技術〜
syotasasaki593876
0
130
Copilotの力を実感!3ヶ月間の生成AI研修の試行錯誤&成功事例をご紹介。果たして得たものとは・・?
ktc_shiori
0
300
Featured
See All Featured
[RailsConf 2023] Rails as a piece of cake
palkan
53
5.1k
A better future with KSS
kneath
238
17k
The Web Performance Landscape in 2024 [PerfNow 2024]
tammyeverts
3
350
We Have a Design System, Now What?
morganepeng
51
7.3k
Bash Introduction
62gerente
610
210k
Build your cross-platform service in a week with App Engine
jlugia
229
18k
Building an army of robots
kneath
302
44k
Writing Fast Ruby
sferik
628
61k
The Language of Interfaces
destraynor
155
24k
A Modern Web Designer's Workflow
chriscoyier
693
190k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
10
860
It's Worth the Effort
3n
183
28k
Transcript
権威ドキュメントで振り返る2024 行く年、来る年、年忘れセキュリティ 2024 2024年12月13日(金) 田口 大智 @HirotomoTaguchi #年忘れセキュリティ2024
田口 大智( @HirotomoTaguchi) 2019.10 デジタルアーツコンサルティング株式会社 • ISO 27001, 27017, NIST
SP800-171, ISMAPのコンサルや監査 2021.8 株式会社クラウドネイティブ • ゼロトラストの概念に基づく業務インフラ刷新 • 製品導入・運用サポート(Netskope、Defender、Sentinel、Box 等々) • AIを使った業務改善(Azure OpenAI、AI Search、Copilot 等々) 2024.11 日系メーカー ※個人参加のため企業名非公表 • セキュリティ担当(グループ会社も含む) 趣味:ダンス、野球、ゴルフ、飲み会 2
免責事項 • 私の独断と偏見に基づいてピックアップした権威ドキュメントを紹介します。 • 権威ドキュメントが発行されるまで数年かかる場合があり、必ずしも2024 年の状況をリアルタイムに表すものではありません。とはいえ、権威ドキュメン トに触れることは、時代の文脈に触れることができるかと思います。 • 各権威ドキュメントへのコメントは個人の見解であり所属組織を代表するもの ではりません。
• 本LTは2024年12月5日時点の情報を元に作成しています。 • 本LTに関して、情報の正確性は保証いたしかねます。 • 10分ではおさまらないのでスキップして話します。資料は公開しますので、そち らをチェックしてください。 3
4 ISO/IEC 42001 AIマネジメントシステム(2023/12) 内容: • AIを利用するサービスを提供・使用する組織が、AIを責任 を持って管理するための指針を提供する国際規格。 • ISO
27001のようにマネジメントシステムが主軸としながら も、付属書A・BではAIに関する管理策を、付属書Cでは AIのリスク源について言及している。 個人的なコメント: • 従来のITシステム管理とは異なるAI特有(?)の課題(透 明性や社会的影響)を直接扱っていて、まあまあ面白い。 • 実際に準拠してみたが、ISO 27001 や 27017 のように 流行るイメージはあまりない。(一部のAIベンダはやりそう) 出所:ISO/IEC 42001:2023 - AI management systems
5 OWASP LLM AI Security and Governance Checklist-v1(2024/2) 内容: •
2023年にプレビューされていたが、正式版としては2024 年リリース • 企業がAIや生成AIを安全かつ効率的に導入・運用する ためのチェックリストを提供 個人的なコメント: • 「ジェイルブレイク」といった攻撃手法に具体的な名前を定 義し、それに対する防御策を整理している点が印象的でし た。 • セキュリティ、法務の観点がバランスよく含まれているため、 総合的なアプローチをとる際に参考になる実効性のあるド キュメントだな感じました。 出所:LLM_AI_Security_and_Governance_Checklist-v1.pdf
6 NIST Cybersecurity Framework 2.0(2024/2) 内容: • NIST CSF 1.0の公表から約10年越しのアップデート
• 従来の5つの機能「ID(特定)」「PR(防御)」「DE (検知)」「RS(対応)」「RC(復旧)」に加え、6つ 目の新たな機能として「Govern(統治)」が追加された 個人的なコメント: • リスクマネジメントの観点などが追加されて個人的にはかな り好み。ISMSとカニバっているところが増えたが、個人的に は両方あっていい • (前からあるけど)添付のエクセルが好き 出所:Cybersecurity Framework | NISTCybersecurity Framework | NIST
7 情報セキュリティ10大脅威(2024/2) 内容: • 毎年IPAから出ている情報セキュリティの10大脅威をまと めた文書 • 2023年はランキングに圏外からランクインしたもの(犯罪 のビジネス化)があったが、今年は初選出はなし 個人的なコメント:
• 解説書が手厚い!ありがたい! • IPAの関係者の皆様、毎年ありがとうございます。 出所:情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 スキップ
8 Modern Approaches to Network Access Security(2024/6) 内容: • VPNの脆弱性を悪用した攻撃が増えていることを受けて、
SASEの可能性を再度説いている。 ※義務付けたりしているわけではない。 個人的なコメント: • 半分以上ソリューションの紹介でつまらない部分は多いが、 CISAがSASEの価値を言及しているという点は意義深い。 • 「従来の VPN アプローチにはないきめ細かいアクセス制御 を統合する機会を提供します。」という言い回しが好き。 • ちゃんと管理されているVPNは悪じゃない。 • SASEベンダの売り文句にされそうではあるが、社内で推進 していく際の説得ネタとしては重宝している。 出所:Modern Approaches to Network Access Security | CISA
9 【余談】Microsoft Entra Suite には今後期待したい 参考:Microsoft Entra Private Access |
Microsoft Security Microsoft Entra Suite - Private Access(ZTNA) には今後期待したい。 (別製品使っているけど・・・) オンプレミス コネクタ Entra Private Access クライアント Entraへのアウトバウンド 通信のみ開けて、FWにイ ンバウンドの穴を開けない
10 情報セキュリティ白書(2024/7) 内容: • 情報セキュリティに関する国内外の政策や脅威の動向、イ ンシデントの発生状況、被害実態など定番トピックの他、 その年ならではの象徴的なトピックを取り上げています。 • 国内外の官民の各種データ、資料を数多く引用し、トピッ クを解説しており、情報の網羅性と参照性の高さが特長で、
情報セキュリティ分野の全体把握が容易です。 個人的なコメント: • PDF版はネットで無料で読めるのが神 • 優しくわかりやすく、網羅的に記載されているので、新人の 時に読みたかったドキュメントランキング1位 出所:情報セキュリティ白書2024 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構 スキップ
11 2023 Top Routinely Exploited Vulnerabilities(2024/11) 内容: • CISAやFBI、英国サイバーセキュリティセンターがまとめた 2023年に悪用された脆弱性のレポート
個人的なコメント: • よく聞くVPNの脆弱性はもちろん、 アプリケーションの脆弱 性も悪用されているものがまとまっているので、読み物として 面白かった。 • あたりまえだけど、2023年に検出された脆弱性がほとんど。 • と思ったら2021年のLog4jがランクインしていて、懐かしい 気持ちになるなど。 出所:2023 Top Routinely Exploited Vulnerabilities | CISA スキップ
12 CWE Top 25 Most Dangerous Software Weaknesses 内容: •
CWE (Common Weakness Enumeration) のTop 25は、ソフトウェアセキュリティの分野において最も一般的 で危険性の高い脆弱性をランキング形式で示したリスト。 個人的なコメント: • 僕のやっている業務とは畑が違うけど、そのうちキャッチアップ したいな・・・ 出所:CWE - CWE Top 25 Most Dangerous Software Weaknesses スキップ
13 Microsoft Digital Defense Report 2024(2024/12) 内容: • 脅威アクターの動向や主要な攻撃手法、AIのセキュリティ への影響が事細かにまとめられている。
個人的なコメント: • 日本は以外と狙われていないデータとなっているけど油断し てはいけない。(日本の企業は攻撃されてもあまり開示し ないしね。) • ISMAPが重要インフラ運営者のシステムにも適用される予 定って書かれている。。ほんとですか。。。?? • AIのセキュリティに関する影響が割とボリュームがあり良かっ た。攻撃者がAI使うようになったよねとか、SOCの効率化 ができるなど、突飛な内容はなかったけど、納得感のある内 容。局所的にはAI for Security は来てるよね。 出所:Microsoft Digital Defense Report 2024
14 【余談】今年のインシデントを振り返るという意味ではこの辺は今後チェック 出所①:JNSAセキュリティ十大ニュース 出所②:情報セキュリティ白書2024 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構
※毎年12月末に更新する傾向 ※毎年7月に公開される傾向
2024年の積読消化して、 2025年の良いスタートを切ろう!