権威ドキュメントで振り返る2024 #年忘れセキュリティ2024

Transcript

1. 権威ドキュメントで振り返る2024 行く年、来る年、年忘れセキュリティ 2024 2024年12月13日（金） 田口 大智 @HirotomoTaguchi #年忘れセキュリティ2024

2. 田口 大智（ @HirotomoTaguchi） 2019.10 デジタルアーツコンサルティング株式会社 • ISO 27001, 27017, NIST

   SP800-171, ISMAPのコンサルや監査 2021.8 株式会社クラウドネイティブ • ゼロトラストの概念に基づく業務インフラ刷新 • 製品導入・運用サポート（Netskope、Defender、Sentinel、Box 等々） • AIを使った業務改善（Azure OpenAI、AI Search、Copilot 等々） 2024.11 日系メーカー ※個人参加のため企業名非公表 • セキュリティ担当（グループ会社も含む） 趣味：ダンス、野球、ゴルフ、飲み会 2

3. 免責事項 • 私の独断と偏見に基づいてピックアップした権威ドキュメントを紹介します。 • 権威ドキュメントが発行されるまで数年かかる場合があり、必ずしも2024 年の状況をリアルタイムに表すものではありません。とはいえ、権威ドキュメン トに触れることは、時代の文脈に触れることができるかと思います。 • 各権威ドキュメントへのコメントは個人の見解であり所属組織を代表するもの ではりません。

   • 本LTは2024年12月5日時点の情報を元に作成しています。 • 本LTに関して、情報の正確性は保証いたしかねます。 • 10分ではおさまらないのでスキップして話します。資料は公開しますので、そち らをチェックしてください。 3

4. 4 ISO/IEC 42001 AIマネジメントシステム（2023/12) 内容： • AIを利用するサービスを提供・使用する組織が、AIを責任 を持って管理するための指針を提供する国際規格。 • ISO

   27001のようにマネジメントシステムが主軸としながら も、付属書A・BではAIに関する管理策を、付属書Cでは AIのリスク源について言及している。 個人的なコメント： • 従来のITシステム管理とは異なるAI特有(?)の課題（透 明性や社会的影響）を直接扱っていて、まあまあ面白い。 • 実際に準拠してみたが、ISO 27001 や 27017 のように 流行るイメージはあまりない。（一部のAIベンダはやりそう) 出所：ISO/IEC 42001:2023 - AI management systems

5. 5 OWASP LLM AI Security and Governance Checklist-v1（2024/2) 内容： •

   2023年にプレビューされていたが、正式版としては2024 年リリース • 企業がAIや生成AIを安全かつ効率的に導入・運用する ためのチェックリストを提供 個人的なコメント： • 「ジェイルブレイク」といった攻撃手法に具体的な名前を定 義し、それに対する防御策を整理している点が印象的でし た。 • セキュリティ、法務の観点がバランスよく含まれているため、 総合的なアプローチをとる際に参考になる実効性のあるド キュメントだな感じました。 出所：LLM_AI_Security_and_Governance_Checklist-v1.pdf

6. 6 NIST Cybersecurity Framework 2.0（2024/2) 内容： • NIST CSF 1.0の公表から約10年越しのアップデート

   • 従来の5つの機能「ID（特定)」「PR（防御）」「DE （検知）」「RS（対応）」「RC（復旧）」に加え、6つ 目の新たな機能として「Govern（統治）」が追加された 個人的なコメント： • リスクマネジメントの観点などが追加されて個人的にはかな り好み。ISMSとカニバっているところが増えたが、個人的に は両方あっていい • （前からあるけど）添付のエクセルが好き 出所：Cybersecurity Framework | NISTCybersecurity Framework | NIST

7. 7 情報セキュリティ10大脅威（2024/2) 内容： • 毎年IPAから出ている情報セキュリティの10大脅威をまと めた文書 • 2023年はランキングに圏外からランクインしたもの（犯罪 のビジネス化）があったが、今年は初選出はなし 個人的なコメント：

   • 解説書が手厚い！ありがたい！ • IPAの関係者の皆様、毎年ありがとうございます。 出所：情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 スキップ

8. 8 Modern Approaches to Network Access Security（2024/6) 内容： • VPNの脆弱性を悪用した攻撃が増えていることを受けて、

   SASEの可能性を再度説いている。 ※義務付けたりしているわけではない。 個人的なコメント： • 半分以上ソリューションの紹介でつまらない部分は多いが、 CISAがSASEの価値を言及しているという点は意義深い。 • 「従来の VPN アプローチにはないきめ細かいアクセス制御 を統合する機会を提供します。」という言い回しが好き。 • ちゃんと管理されているVPNは悪じゃない。 • SASEベンダの売り文句にされそうではあるが、社内で推進 していく際の説得ネタとしては重宝している。 出所：Modern Approaches to Network Access Security | CISA

9. 9 【余談】Microsoft Entra Suite には今後期待したい 参考：Microsoft Entra Private Access |

   Microsoft Security Microsoft Entra Suite - Private Access（ZTNA） には今後期待したい。 （別製品使っているけど・・・） オンプレミス コネクタ Entra Private Access クライアント Entraへのアウトバウンド 通信のみ開けて、FWにイ ンバウンドの穴を開けない

10. 10 情報セキュリティ白書（2024/7) 内容： • 情報セキュリティに関する国内外の政策や脅威の動向、イ ンシデントの発生状況、被害実態など定番トピックの他、 その年ならではの象徴的なトピックを取り上げています。 • 国内外の官民の各種データ、資料を数多く引用し、トピッ クを解説しており、情報の網羅性と参照性の高さが特長で、

    情報セキュリティ分野の全体把握が容易です。 個人的なコメント： • PDF版はネットで無料で読めるのが神 • 優しくわかりやすく、網羅的に記載されているので、新人の 時に読みたかったドキュメントランキング1位 出所：情報セキュリティ白書2024 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構 スキップ

11. 11 2023 Top Routinely Exploited Vulnerabilities（2024/11） 内容： • CISAやFBI、英国サイバーセキュリティセンターがまとめた 2023年に悪用された脆弱性のレポート

    個人的なコメント： • よく聞くVPNの脆弱性はもちろん、 アプリケーションの脆弱 性も悪用されているものがまとまっているので、読み物として 面白かった。 • あたりまえだけど、2023年に検出された脆弱性がほとんど。 • と思ったら2021年のLog4jがランクインしていて、懐かしい 気持ちになるなど。 出所：2023 Top Routinely Exploited Vulnerabilities | CISA スキップ

12. 12 CWE Top 25 Most Dangerous Software Weaknesses 内容： •

    CWE (Common Weakness Enumeration) のTop 25は、ソフトウェアセキュリティの分野において最も一般的 で危険性の高い脆弱性をランキング形式で示したリスト。 個人的なコメント： • 僕のやっている業務とは畑が違うけど、そのうちキャッチアップ したいな・・・ 出所：CWE - CWE Top 25 Most Dangerous Software Weaknesses スキップ

13. 13 Microsoft Digital Defense Report 2024（2024/12) 内容： • 脅威アクターの動向や主要な攻撃手法、AIのセキュリティ への影響が事細かにまとめられている。

    個人的なコメント： • 日本は以外と狙われていないデータとなっているけど油断し てはいけない。（日本の企業は攻撃されてもあまり開示し ないしね。） • ISMAPが重要インフラ運営者のシステムにも適用される予 定って書かれている。。ほんとですか。。。？？ • AIのセキュリティに関する影響が割とボリュームがあり良かっ た。攻撃者がAI使うようになったよねとか、SOCの効率化 ができるなど、突飛な内容はなかったけど、納得感のある内 容。局所的にはAI for Security は来てるよね。 出所：Microsoft Digital Defense Report 2024

14. 14 Microsoft Digital Defense Report 2024（2024/12) その他ピックアップ： • Defender for

    Endpoint • ランサムウェア攻撃の検出数が 前年比で2.75倍に増加する中、実際に暗号化まで至った割合は過去2年で3 分の1以下に減少。この成功には自動攻撃阻止（automatic attack disruption）機能が大きく寄与して おり、ランサム被害の抑制につながった。 • 検出された攻撃の92%が非管理デバイス（unmanaged devices）から発生している点も強調されており、 エンドポイント管理の重要性が再確認された。 • 2024年5月だけで176,000件以上のセキュリティ設定の改ざん行為を検出された。改ざん防止の設定を推奨。 • Defender for Office 365 • QRコード型フィッシング攻撃の検出と阻止に貢献。特に画像検出技術の導入によって、QRコードを使ったフィッ シングメールの件数が94%減少（2023年10月〜2024年3月）。 • 攻撃者がAIを用いた新しい手法や偽装を模索する中、Defender for O365の進化した検出機能が効果的 に機能している。 出所：Microsoft Digital Defense Report 2024

15. 15 【余談】今年のインシデントを振り返るという意味ではこの辺は今後チェック 出所①：JNSAセキュリティ十大ニュース 出所②：情報セキュリティ白書2024 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構

    ※毎年12月末に更新する傾向 ※毎年7月に公開される傾向

16. 2024年の積読消化して、 2025年の良いスタートを切ろう！