権威ドキュメントで振り返る2024 #年忘れセキュリティ2024

権威ドキュメントで振り返る2024 行く年、来る年、年忘れセキュリティ 2024 2024年12月13日（金）田口大智 @HirotomoTaguchi #年忘れセキュリティ2024

田口大智（ @HirotomoTaguchi） 2019.10 デジタルアーツコンサルティング株式会社 • ISO 27001, 27017, NIST
SP800-171, ISMAPのコンサルや監査 2021.8 株式会社クラウドネイティブ • ゼロトラストの概念に基づく業務インフラ刷新 • 製品導入・運用サポート（Netskope、Defender、Sentinel、Box 等々） • AIを使った業務改善（Azure OpenAI、AI Search、Copilot 等々） 2024.11 日系メーカー ※個人参加のため企業名非公表 • セキュリティ担当（グループ会社も含む）趣味：ダンス、野球、ゴルフ、飲み会 2

免責事項 • 私の独断と偏見に基づいてピックアップした権威ドキュメントを紹介します。 • 権威ドキュメントが発行されるまで数年かかる場合があり、必ずしも2024 年の状況をリアルタイムに表すものではありません。とはいえ、権威ドキュメントに触れることは、時代の文脈に触れることができるかと思います。 • 各権威ドキュメントへのコメントは個人の見解であり所属組織を代表するものではりません。
• 本LTは2024年12月5日時点の情報を元に作成しています。 • 本LTに関して、情報の正確性は保証いたしかねます。 • 10分ではおさまらないのでスキップして話します。資料は公開しますので、そちらをチェックしてください。 3

4 ISO/IEC 42001 AIマネジメントシステム（2023/12) 内容： • AIを利用するサービスを提供・使用する組織が、AIを責任を持って管理するための指針を提供する国際規格。 • ISO
27001のようにマネジメントシステムが主軸としながらも、付属書A・BではAIに関する管理策を、付属書Cでは AIのリスク源について言及している。個人的なコメント： • 従来のITシステム管理とは異なるAI特有(?)の課題（透明性や社会的影響）を直接扱っていて、まあまあ面白い。 • 実際に準拠してみたが、ISO 27001 や 27017 のように流行るイメージはあまりない。（一部のAIベンダはやりそう) 出所：ISO/IEC 42001:2023 - AI management systems

5 OWASP LLM AI Security and Governance Checklist-v1（2024/2) 内容： •
2023年にプレビューされていたが、正式版としては2024 年リリース • 企業がAIや生成AIを安全かつ効率的に導入・運用するためのチェックリストを提供個人的なコメント： • 「ジェイルブレイク」といった攻撃手法に具体的な名前を定義し、それに対する防御策を整理している点が印象的でした。 • セキュリティ、法務の観点がバランスよく含まれているため、総合的なアプローチをとる際に参考になる実効性のあるドキュメントだな感じました。出所：LLM_AI_Security_and_Governance_Checklist-v1.pdf

6 NIST Cybersecurity Framework 2.0（2024/2) 内容： • NIST CSF 1.0の公表から約10年越しのアップデート
• 従来の5つの機能「ID（特定)」「PR（防御）」「DE （検知）」「RS（対応）」「RC（復旧）」に加え、6つ目の新たな機能として「Govern（統治）」が追加された個人的なコメント： • リスクマネジメントの観点などが追加されて個人的にはかなり好み。ISMSとカニバっているところが増えたが、個人的には両方あっていい • （前からあるけど）添付のエクセルが好き出所：Cybersecurity Framework | NISTCybersecurity Framework | NIST

7 情報セキュリティ10大脅威（2024/2) 内容： • 毎年IPAから出ている情報セキュリティの10大脅威をまとめた文書 • 2023年はランキングに圏外からランクインしたもの（犯罪のビジネス化）があったが、今年は初選出はなし個人的なコメント：
• 解説書が手厚い！ありがたい！ • IPAの関係者の皆様、毎年ありがとうございます。出所：情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人情報処理推進機構スキップ

8 Modern Approaches to Network Access Security（2024/6) 内容： • VPNの脆弱性を悪用した攻撃が増えていることを受けて、
SASEの可能性を再度説いている。 ※義務付けたりしているわけではない。個人的なコメント： • 半分以上ソリューションの紹介でつまらない部分は多いが、 CISAがSASEの価値を言及しているという点は意義深い。 • 「従来の VPN アプローチにはないきめ細かいアクセス制御を統合する機会を提供します。」という言い回しが好き。 • ちゃんと管理されているVPNは悪じゃない。 • SASEベンダの売り文句にされそうではあるが、社内で推進していく際の説得ネタとしては重宝している。出所：Modern Approaches to Network Access Security | CISA

9 【余談】Microsoft Entra Suite には今後期待したい参考：Microsoft Entra Private Access |
Microsoft Security Microsoft Entra Suite - Private Access（ZTNA）には今後期待したい。（別製品使っているけど・・・）オンプレミスコネクタ Entra Private Access クライアント Entraへのアウトバウンド通信のみ開けて、FWにインバウンドの穴を開けない

10 情報セキュリティ白書（2024/7) 内容： • 情報セキュリティに関する国内外の政策や脅威の動向、インシデントの発生状況、被害実態など定番トピックの他、その年ならではの象徴的なトピックを取り上げています。 • 国内外の官民の各種データ、資料を数多く引用し、トピックを解説しており、情報の網羅性と参照性の高さが特長で、
情報セキュリティ分野の全体把握が容易です。個人的なコメント： • PDF版はネットで無料で読めるのが神 • 優しくわかりやすく、網羅的に記載されているので、新人の時に読みたかったドキュメントランキング1位出所：情報セキュリティ白書2024 | 書籍・刊行物 | IPA 独立行政法人情報処理推進機構スキップ

11 2023 Top Routinely Exploited Vulnerabilities（2024/11）内容： • CISAやFBI、英国サイバーセキュリティセンターがまとめた 2023年に悪用された脆弱性のレポート
個人的なコメント： • よく聞くVPNの脆弱性はもちろん、アプリケーションの脆弱性も悪用されているものがまとまっているので、読み物として面白かった。 • あたりまえだけど、2023年に検出された脆弱性がほとんど。 • と思ったら2021年のLog4jがランクインしていて、懐かしい気持ちになるなど。出所：2023 Top Routinely Exploited Vulnerabilities | CISA スキップ

12 CWE Top 25 Most Dangerous Software Weaknesses 内容： •
CWE (Common Weakness Enumeration) のTop 25は、ソフトウェアセキュリティの分野において最も一般的で危険性の高い脆弱性をランキング形式で示したリスト。個人的なコメント： • 僕のやっている業務とは畑が違うけど、そのうちキャッチアップしたいな・・・出所：CWE - CWE Top 25 Most Dangerous Software Weaknesses スキップ

13 Microsoft Digital Defense Report 2024（2024/12) 内容： • 脅威アクターの動向や主要な攻撃手法、AIのセキュリティへの影響が事細かにまとめられている。
個人的なコメント： • 日本は以外と狙われていないデータとなっているけど油断してはいけない。（日本の企業は攻撃されてもあまり開示しないしね。） • ISMAPが重要インフラ運営者のシステムにも適用される予定って書かれている。。ほんとですか。。。？？ • AIのセキュリティに関する影響が割とボリュームがあり良かった。攻撃者がAI使うようになったよねとか、SOCの効率化ができるなど、突飛な内容はなかったけど、納得感のある内容。局所的にはAI for Security は来てるよね。出所：Microsoft Digital Defense Report 2024

14 【余談】今年のインシデントを振り返るという意味ではこの辺は今後チェック出所①：JNSAセキュリティ十大ニュース出所②：情報セキュリティ白書2024 | 書籍・刊行物 | IPA 独立行政法人情報処理推進機構
※毎年12月末に更新する傾向 ※毎年7月に公開される傾向

2024年の積読消化して、 2025年の良いスタートを切ろう！

権威ドキュメントで振り返る2024 #年忘れセキュリティ2024

権威ドキュメントで振り返る2024 #年忘れセキュリティ2024

田口大智 / ぐっちー

More Decks by 田口大智 / ぐっちー

Other Decks in Technology

Featured

Transcript

権威ドキュメントで振り返る2024 行く年、来る年、年忘れセキュリティ 2024 2024年12月13日（金）田口大智 @HirotomoTaguchi #年忘れセキュリティ2024

田口大智（ @HirotomoTaguchi） 2019.10 デジタルアーツコンサルティング株式会社 • ISO 27001, 27017, NIST

4 ISO/IEC 42001 AIマネジメントシステム（2023/12) 内容： • AIを利用するサービスを提供・使用する組織が、AIを責任を持って管理するための指針を提供する国際規格。 • ISO

5 OWASP LLM AI Security and Governance Checklist-v1（2024/2) 内容： •

6 NIST Cybersecurity Framework 2.0（2024/2) 内容： • NIST CSF 1.0の公表から約10年越しのアップデート

8 Modern Approaches to Network Access Security（2024/6) 内容： • VPNの脆弱性を悪用した攻撃が増えていることを受けて、

9 【余談】Microsoft Entra Suite には今後期待したい参考：Microsoft Entra Private Access |

11 2023 Top Routinely Exploited Vulnerabilities（2024/11）内容： • CISAやFBI、英国サイバーセキュリティセンターがまとめた 2023年に悪用された脆弱性のレポート

12 CWE Top 25 Most Dangerous Software Weaknesses 内容： •

13 Microsoft Digital Defense Report 2024（2024/12) 内容： • 脅威アクターの動向や主要な攻撃手法、AIのセキュリティへの影響が事細かにまとめられている。

14 【余談】今年のインシデントを振り返るという意味ではこの辺は今後チェック出所①：JNSAセキュリティ十大ニュース出所②：情報セキュリティ白書2024 | 書籍・刊行物 | IPA 独立行政法人情報処理推進機構

2024年の積読消化して、 2025年の良いスタートを切ろう！

権威ドキュメントで振り返る2024 #年忘れセキュリティ2024

権威ドキュメントで振り返る2024 #年忘れセキュリティ2024

More Decks by 田口 大智 / ぐっちー

Other Decks in Technology

Featured

Transcript

More Decks by 田口大智 / ぐっちー