Upgrade to Pro — share decks privately, control downloads, hide ads and more …

セキュニティ(セキュリティ+コミュニティ)、 そして生成AI

セキュニティ(セキュリティ+コミュニティ)、 そして生成AI

6/29に行われたサイバーセキュリティシンポジウム道後2023のナイトセッションで発表した資料です。若干手直しをしていますが、ほぼ同じです。
実際のナイトセッションでは、この資料の10倍の情報量で、この資料を作ったのがすでに6月の頭で情報としてはプラグインなどの情報などがいろいろと足りないですが、皆さんの参考になればと思って公開します。

connect24h

July 01, 2023
Tweet

More Decks by connect24h

Other Decks in Technology

Transcript

  1. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    自己紹介 株式会社エネルギア・コミュニケーションズ 情報システム事業本部 ITインテグレーション部 マネージャー 濱本常義 同社28年勤務、5年間は研究開発部門に所属、社内LAN構築、社内ネットワークポリシー策定、CATVインターネット実験参加、 社内セキュリティ監査業務に携わる。2000年より、セキュリティ監査(ペネトレーションテスト含む)およびセキュリティコンサル ティングなどの業務に従事、現在は上記に加えて標的型メール訓練、ログ監視、CSIRT運用業務に携わる 情報セキュリティポリシー策定、ポリシー教育実績 大手公共企業、大手メーカ、情報システムサービス会社、自治体 LASDEC 高度情報セキュリティ研修講師(2004年広島県、山口県、2005年愛媛県、2006年広島県、2007年広島、高松、鳥取) 経済産業省 学生22歳以下向けイベント、セキュリティキャンプ関係講師(2003~2022) 情報処理安全確保支援士向け講習会 講師(2017年~ 広島、博多、高松を主に担当) マイクロソフトから多数の人に影響をあたえられる個人に与える賞 MVP(Most Valuable Professional)をWindows-Securityの分野 で12回受賞(2003~2014) 2
  2. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    ワタシたちの業務 SOC/CSIRT 運用支援 インシデント 対応 ログ監視 ログ分析 社内ネットワーク インターネット上の脅威 侵 入 感 染 通知 (メール) 情報システム部門 監視 外部組織 情報提供 やられとるで 経営層への 報告 社内調整 CSIRT(エネコム) ・CSIRTのセキュリティ部隊がセキュリティ製品の アラート通知を受け、初動対応から対策実施まで リアルタイムに支援 ・被害を受けた顧客の担当者は、経営層への報告 など重要事項に注力 支援 アラート監視 影響調査 対応支援 現状分析 対策立案 復旧支援 CSIRT インシデント対応支援 セキュリティ製品& マネージドサービス 3
  3. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    こんなことやってます カテゴリ メニュー ログ監視・分析サービス (監視・入口・出口対策) 標的型攻撃検知サービス 統合ログ監視サービス クラウドセキュリティサービス (監視・入口・出口対策) クラウドWAF(Web Application Firewall)監視サービス クラウドEメールセキュリティ 管理サービス クラウドWEBセキュリティ 管理サービス SOC、CSIRT運用支援サービ ス(監視・入口・出口対策) SOCサービス CSIRT運用支援 カテゴリ メニュー セキュリティ 診断サービス (予防保全) 通常セキュリティ診断 擬似侵入診断(WEB診断、スマ フォアプリ、IoT、車載等) セキュリティ トレーニング サービス(入口・出口対 策) 標的型攻撃対応訓練 セキュリティ事案対応訓練 インシデント レスポンス サービス (事後対応) マルウェア感染端末調査 (フォレンジック対応) マルウェア解析 データ復旧サービス データ復旧サービス 当社:情報セキュリティビジネスチームのセキュリティ対策 4
  4. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    広島開催の勉強会「セキュリティもみじ」主催、西日本サイバーセキュリティグランプリお手伝い セキュリティもみじ https://secmomiji.connpass.com/ 5 セキュリティもみじ 広島のオフラインを中心にした勉強会を開催 中国総合通信局 西日本横断サイバーセキュリティグランプ リの広島をお手伝い
  5. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    セキュリティ・ミニキャンプをお手伝いしています 実績 一般社団法人 広島県情報産業協会 HiBiS 事務局(HISEC)提供 セキュリティ・ミニキャンプ in 広島 2022(一般講座) セキュリティ・ミニキャンプ in 広島 2021(一般講座) セキュリティ・ミニキャンプ in 広島 2020(専門講座) セキュリティ・ミニキャンプ in 広島 2019(一般講座) セキュリティ・ミニキャンプ in 広島 2017(一般講座) セキュリティ・ミニキャンプ in 広島 2016(一般講座) 講師参加 セキュリティ・キャンプ九州 in 福岡 2014 セキュリティ・ミニキャンプ in 福岡 2013第2弾 セキュリティ・ミニキャンプ in 福岡 2013 6
  6. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    史上最速レベルでのユーザ数増加 8 https://1nux.com/archives/104 https://pc.watch.impress.co.jp/docs/news/1494429.html
  7. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    ChatGPT:大規模言語モデル(LLM)の1種 ⚫ 大量のテキストデータを使ってトレーニングされた、対話に特化した出力を行う ⚫ テキスト分類や感情分析、情報抽出、文章要約、テキスト生成、質問応答といった、 さまざまな自然言語処理(NLP:Natural Language Processing)タスクに適応できる 9 https://atmarkit.itmedia.co.jp/ait/articles/2303/13/news013.html
  8. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    ChatGPTは、数ある言語生成モデルの1つ 10 https://www.eventbrite.com/e/chatgptopen-ai-vc-tickets-558940264377
  9. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    ChatGPTの歴史:ChatGPTに聞いてみた モデル リリース年 特徴 GPT 2018 最初のGPTモデル。Transformerアーキテクチャに基づく。自然言語 処理タスクで高いパフォーマンスを達成。 GPT-2 2019 前モデルより性能が大幅に向上。生成能力が強力で一時的に一般 公開が制限される。より多様で自然な文章生成が可能に。 GPT-3 2020 モデルサイズが大幅に拡大(1750億パラメータ)。多くのアプリケー ションやサービスで利用されるように。幅広いタスクで高いパフォー マンス。MBA、米医師試験合格ラインレベル GPT-4 2021以降 更なる改善とスケールアップが行われ、様々なタスクで前バージョン を上回る性能。ChatGPTはこのアーキテクチャに基づく。多様な応 用が可能。米司法試験上位10%、過去5年日本医師国家試験合格 11 ChatGPTは、OpenAIによって開発された大規模な言語モデルで、GPT-4アーキテクチャに基 づいています。その歴史は、2018年にリリースされた最初のGPTモデルから始まります。GPT のバージョンが進化するごとに、モデルはより強力で洗練されたものになっていきました。
  10. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    ChatGPT質問のコツ 英語で質問 日本語で質問 英語で回答 ◎ 〇 日本語で回答 ◎’ △ 13 • 英語での質問のほうが質問の資源(トークン)を消費しないので、長文の質問と長文の結果 を得られる • Deeplを併用して英語→英語で利用するのがベスト • 次点で英語で質問→プロンプトで日本語で回答と指定、だと精度が上がる可能性が高い
  11. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    ChatGPTを使用するうえでのデータの取り扱いの注意点 •ChatGPTに入れた情報は、個人情報も含めて全て収集される可能性がある •OpenAIは、プライバシーに対して必要な措置をとっており、ユーザーの質問に対するChatGPTの回答は全 て個人情報が削除された形でサーバーに保管されるよう、プログラムされていると主張している •入力したデータは再学習に使われる場合があり、API以外のサービス(ChatGPTやDALL・E2など)ではデフ ォルトでオプトインとなっている •ユーザーが提供した情報を記憶したり、個人を特定する情報を収集することもないという方針になってい るとされるが、実際には個人情報の保護や情報流出のリスクが高い •ChatGPTのAPI経由で送信されたデータは、30日間のみ保存されるという規約だが、実際には長期間保存 されている可能性もある •2023年3月20日には、ChatGPTに送信したデータが他人のチャット画面に出てしまうというバグが生じた •ChatGPTユーザーの個人情報(カード情報を含む)が他のユーザーに漏れたケースもあったと報道されて いる 14 https://openai.com/policies/privacy-policy
  12. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    ChatGPTの規約で読んでおくべき文書 ⚫ APIデータ利用ポリシー –https://openai.com/policies/api-data-usage-policies ⚫ プライバシーポリシー –https://openai.com/policies/privacy-policy ⚫ Terms od use(利用規約) –https://openai.com/policies/terms-of-use ⚫ OpenAI社のPolicy – https://help.openai.com/en/collections/3675949-policy 15 情報は原典にあたろう!
  13. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    プロンプトを生成する原理原則1ー最適解が存在しうる範囲を狭める ⚫ ChatGPTは対話型のAIチャットツールで、やり取りの柔軟性と知識量が高い ⚫ 確率的にありそうな言葉をつなげて文章を生成する仕組みで、真実の保証がないことや無難なことしか言わない ⚫ ChatGPTをフル活用するには、プロンプトへの入力内容が重要で、「可能性空間の限定」が極意となる ⚫ 可能性空間を限定する手法は、文脈や前提情報を与える、質問や命令を具体的にする、回答の方向性や品質を指定するな どがある (BingChatによるURLまとめ) 16 https://webtan.impress.co.jp/e/2023/02/16/44314 魚がいそうなところに ルアーを投げ込むイメージ
  14. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    プロンプトを生成する原理原則2-Let's think step by step(一歩ずつ考えよう) 17 ⚫ 大規模言語モデルのAIは、問題文の最後に「Let’s think step by step」という呪文を付け加えると、数学 や論理の問題に正解しやすくなる。 ⚫ 呪文はAIの思考の連鎖を促し、論理的な思考法に切 り替えるスイッチのように働くと考えられる。 ⚫ AIの内部には複数の人格や知識構造が存在する可 能性があり、それらを呼び出す言葉が呪文になると いう仮説がある。 ⚫ 大規模言語モデルの研究は、AIの振る舞いを分析す ることで、人間の知能や創造性にも迫ることができる かもしれない。 ⚫ 詳細は東京大学の小島武さんらの論文参照 https://www.nikkei.com/article/DGXZQOUC22BVO0S3A320C2000000/ https://webbigdata.jp/post-13592/
  15. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    実際の活用例:Blogを書いてみる • Excelの表をパワーポイントに出力するVBAをChatGPTで壁打ちしながら実行させてみた。 https://qiita.com/connect24h/items/4942740a635ab9eb873f 詳細はBlog参照 • ChatGPTからプルグラムの自動生成→エラー二つの解決→出力成功 18 18
  16. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    Microsoft Defender Microsoft Sentinel Microsoft Purview Microsoft Priva Microsoft Entra Microsoft Intune Microsoft Graph 脅威インテリジェンス ダッシュボード Advanced Hunting Graph Security API Microsoft Security Copilot クリックだけで全ての情報を一 覧でき、日々のセキュリティオ ペレーションを完結 あらゆるレベルのエンジニアによ るコラボレーションワークが可能 ク エ リ ー を 作 成 す る こ と で Graph内のデータやセキュリ ティソリューションのデータを横 断的に調査 エキスパートレベルのエンジニア による徹底的な調査が可能 APIを利用することで思い通り のデータ活用とアプリケーション 連携が可能 定期的なオペレーションの省力 化を求めるエンジニアに チャットを利用することで全て のソリューションのデータを横断 的に活用可能 プログラミングスキルのないエン ジニアでもすべてのデータに自 由にアクセス可能 サイバーハイジーンの維持 詳細な分析活動 Graphデータの活用と省力化 対話形式による更なる活用 OpenAIを取り込むMicrosoftの戦略例 ⚫ すべてのサービスをMicrosoftサービス化に集めると、Microsoft Security Copilot経由で対話活用可能!
  17. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    生成AIの負の側面:産業構造の再構築が始まりつつあります • IBM、7,800人分の仕事をAIで置き換え!採用も停止 • https://iphone-mania.jp/news-535317/?fbclid=IwAR0lc- rU3DZkLtshTfSb328AOdRcsfQJxXMzfJAJ7FuUjlU6u9Euh9CkDpE • 米IBMは今後一部部署の採用を停止するとともに、人員をAIに置き換える計画を明らかにした。 • 今後約5年間かけて、およそ7800人分の仕事をAIで置き換えていくという。 • 同社CEOは、優れた人材の発掘は1年前よりも簡単になったと語った。 • 「報酬10分の1に」「時給80ドルのライターだったがクビ」。海外で「AIに仕事を奪われた」悲鳴上 がる • https://news.yahoo.co.jp/byline/shinoharashuji/20230422-00346699 • AIが描いたイラストの修正を依頼される。元の報酬の10分の1で • 「時給80ドルのライターとしての仕事がなくなった」悲鳴上がる • 自分の仕事にAIを取り込む時代に • ChatGPTのようなAIシステムは3億人の仕事を奪う…ゴールドマン・サックスが予測 • https://www.businessinsider.jp/post-267581 20
  18. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    ChatGPTが使えること① 1.一般的な質問への回答: ChatGPTは幅広いトピックに関する質問に回答することができます。ただし、 知識は2021年9月までのものに限られています。 2.アイデアや提案の生成: 新しいアイデアや提案が必要な場合、ChatGPTに相談することができます。 3.文章の校正と改善: テキストの校正や、より良い表現に改善する際に、ChatGPTを活用することができ ます。 4.学習支援: さまざまな学習トピックに関する質問や説明を求めることができます。 5.プログラミングの助け: ChatGPTは、コードのデバッグやアルゴリズムの説明、プログラミング言語に関 する質問に答えることができます。 6.創作活動: ストーリーのアイデアやキャラクターの開発、詩や小説の執筆を支援することができます。 7.仮想アシスタント: タスク管理やリマインダーの設定、簡単な情報検索にも役立ちます。 21
  19. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    ChatGPTが使えること② 1.ビジネス: 1. プロジェクトアイデアのブレインストーミング 2. プレゼンテーションの準備やレビュー 3. 営業メールの作成や校正 4. マーケティング戦略の提案 2.学術・教育: 1. 論文やレポートの執筆支援 2. 課題の解説や説明 3. 学習資料の作成 4. 研究トピックの探索 3.プログラミング・IT: 1. コードスニペットの生成 2. エラーのデバッグ支援 3. アルゴリズムの説明 4. 適切なライブラリやツールの提案 22 4. 創作・芸術: 1. 小説や短編の執筆 2. 詩の作成 3. キャラクターや設定のアイデア提供 4. スクリプトのラフ案作成 5.トラベル・レジャー: 1. 旅行先の提案 2. 観光スポットの情報提供 3. 文化や地域の特徴の紹介 4. 現地の食べ物やレストランの情報 6.ライフスタイル・ウェルネス: 1. 健康や栄養に関する一般的なアドバイス 2. エクササイズやストレッチの提案 3. メンタルヘルスのためのリラクゼーション方法 4. 趣味や新しいスキルの学習方法
  20. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    ChatGPTが使えないこと② 1.機密情報の取り扱い: 個人情報や機密情報を扱うシチュエーションでは、ChatGPTを使うべきではありません。 これには、個人の身元情報、銀行口座情報、パスワードなどが含まれます。 2.最新情報の提供: ChatGPTの知識は2021年9月までのものに限られているため、それ以降の最新情報に関す る質問には適切に答えることができません。 3.専門的な医療・法律アドバイス: 専門的な医療や法律アドバイスが必要な場合は、専門家に相談することが重 要です。ChatGPTは一般的な情報を提供できますが、個々の状況に対応したアドバイスを提供することはできま せん。 4.緊急時の対応: 緊急事態や危機管理に関する質問に対しては、ChatGPTを使用せず、適切な専門家や当局に 連絡することが重要です。 5.人間との対話の代替: ChatGPTは高度な対話能力を持っていますが、人間との対話の代替にはなりません。感 情やニュアンスを完全に理解し、適切に対応することはできません。 6.無断での著作権侵害: 著作権で保護された素材を無断で使用することは違法です。ChatGPTを使って著作権侵 害を行うことは避けてください。 23
  21. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    その他使える情報① 時間はお金で買えます。 • Notion.AI:Notion.AIは、メモアプリケーションサービスのNotion(学生は無料で利用可能)の最新機能として 2023年2月にリリースされたAI機能です1。Notion.AIは、Notionのワークスペース内の既存のコンテンツに対し て、文章の要約、ライティング、修正、アイデア出しなど、ユーザーのアシスタントさながらのサポートをしてくれ ます。ChatGPTと違ってデータ入力2,000文字と言いう制限がありません。利用料金は10ドル/月(年契約は8 ドル、Notionが無料アカウントでもNotion.AIだけ契約可能) • Docsbot.ai:独自に学習させた ChatGPT ベースのAIが応答するチャットを、コードのコピペだけで簡単に自サ イトへ設置できるサービス。読み込み文書量の制限がないので大量の論文やドキュメントを食わせて自分専 用のQ&Aボットを作成可能。利用料金は19ドル/月から。 24
  22. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    その他使える情報② Chrome 拡張機能 • ChatGPT to Notion:ChatGPT の回答を Notion に保存できる。1セッション当たりのhistory容量を超えるとトークが消える 場合がある。重要なトークは保存がが推奨 • Voice In - Speech-To-Text Dictation:Chrome で音声入力が可能。リアルタイムで文字起こしも可能。英会話の練習、ス ピーチの練習などに。 • editGPT:ChatGPT版Diff。前と後の回答の差(校正箇所)を示してくれる。 • YouTube Summary with ChatGPT:Youtubeの字幕表示をしてくれる。コピー&ペースト可能。サマライズはあまり使えな い。 • ChatGPT Glarity 、 YouTube と Google を要約:Google 検索ページの要約を、引用 URL で表示してくれる。 • YoutubeDigest: ChatGPTでまとめる:ChatGPT を使用して YouTube 動画の要約を生成。ちゃんと時間単位で要約を生 成。 • Promptbox - ChatGPT, Mid-journey prompt saver:お気に入りのプロンプトを保存して、ワンクリックで呼び出せる。最新 のプロンプトも使用可能。 • WebChatGPT:インターネットにアクセスできる ChatGPT。Promptboxとコンフリクトするので使う場合はどちらか。 • Superpower plugin for ChatGPT:ローカルでの履歴の同期/検索、フォルダーの作成、すべてのチャットのエクスポート、 メッセージのピン留め、何千ものプロンプトへのアクセスが可能 25
  23. Copyright © 2023 EnergiaCommunications, Inc. Proprietary and Confidential www.enecom.co.jp エネルギア・コミュニケーションズ

    困った何でも聞いてください! [email protected] https://www.facebook.com/connect24h https://twitter.com/connect24h エネコムは一緒に情報セキュリティを 学んでいくメンバーを募集しています 26