Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
権威ドキュメントで振り返る2024 #年忘れセキュリティ2024
Search
田口 大智 / ぐっち
December 13, 2024
Technology
2
1k
権威ドキュメントで振り返る2024 #年忘れセキュリティ2024
田口 大智 / ぐっち
December 13, 2024
Tweet
Share
More Decks by 田口 大智 / ぐっち
See All by 田口 大智 / ぐっち
Microsoft 365 Copilot ユーザー向け研修資料_v2.0
hirotomotaguchi
34
44k
業務に組み込む生成AI〜失敗と改善の1年半〜
hirotomotaguchi
4
220
リーグオブ情シス登壇資料_議事録AIの導入について
hirotomotaguchi
4
660
On Your Data を超えていく!
hirotomotaguchi
2
1.5k
LLM活用を加速させる Prompt Flow 実践
hirotomotaguchi
0
830
Copilot for Microsoft 365 の実際のユーザー体験
hirotomotaguchi
4
660
セキュリティチェックシート記入AIを Azure OpenAI Studio Prompt Flow で作る
hirotomotaguchi
1
650
Copilot for Microsoft 365 ぶっちゃけどうなの?_生成AI新年会@GMO Yours・フクラス
hirotomotaguchi
2
1.8k
Azure OpenAIを使ったサービス構築_株式会社クラウドネイティブ_田口大智
hirotomotaguchi
1
940
Other Decks in Technology
See All in Technology
ソフトウェア開発における「パーフェクトな意思決定」/Perfect Decision-Making in Software Development
yayoi_dd
2
2.7k
Azureの開発で辛いところ
re3turn
0
200
組織に自動テストを書く文化を根付かせる戦略(2024冬版) / Building Automated Test Culture 2024 Winter Edition
twada
PRO
26
7.1k
.NET 最新アップデート ~ AI とクラウド時代のアプリモダナイゼーション
chack411
0
150
大規模言語モデルとそのソフトウェア開発に向けた応用 (2024年版)
kazato
2
450
Denoで作るチーム開発生産性向上のためのCLIツール
sansantech
PRO
0
140
知っててうれしい HTTP Cookie を使ったセッション管理について
greendrop
1
110
実践! ソフトウェアエンジニアリングの価値の計測 ── Effort、Output、Outcome、Impact
nomuson
0
1.4k
MasterMemory v3 最速確認会
yucchiy
0
310
完全自律型AIエージェントとAgentic Workflow〜ワークフロー構築という現実解
pharma_x_tech
0
130
三菱電機で社内コミュニティを立ち上げた話
kurebayashi
1
240
テストを書かないためのテスト/ Tests for not writing tests
sinsoku
1
160
Featured
See All Featured
GraphQLの誤解/rethinking-graphql
sonatard
68
10k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.4k
Building Better People: How to give real-time feedback that sticks.
wjessup
366
19k
Designing Experiences People Love
moore
139
23k
Navigating Team Friction
lara
183
15k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
230
52k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
10
850
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
29
2.4k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
38
1.9k
Bootstrapping a Software Product
garrettdimon
PRO
305
110k
Into the Great Unknown - MozCon
thekraken
34
1.6k
A Philosophy of Restraint
colly
203
16k
Transcript
権威ドキュメントで振り返る2024 行く年、来る年、年忘れセキュリティ 2024 2024年12月13日(金) 田口 大智 @HirotomoTaguchi #年忘れセキュリティ2024
田口 大智( @HirotomoTaguchi) 2019.10 デジタルアーツコンサルティング株式会社 • ISO 27001, 27017, NIST
SP800-171, ISMAPのコンサルや監査 2021.8 株式会社クラウドネイティブ • ゼロトラストの概念に基づく業務インフラ刷新 • 製品導入・運用サポート(Netskope、Defender、Sentinel、Box 等々) • AIを使った業務改善(Azure OpenAI、AI Search、Copilot 等々) 2024.11 日系メーカー ※個人参加のため企業名非公表 • セキュリティ担当(グループ会社も含む) 趣味:ダンス、野球、ゴルフ、飲み会 2
免責事項 • 私の独断と偏見に基づいてピックアップした権威ドキュメントを紹介します。 • 権威ドキュメントが発行されるまで数年かかる場合があり、必ずしも2024 年の状況をリアルタイムに表すものではありません。とはいえ、権威ドキュメン トに触れることは、時代の文脈に触れることができるかと思います。 • 各権威ドキュメントへのコメントは個人の見解であり所属組織を代表するもの ではりません。
• 本LTは2024年12月5日時点の情報を元に作成しています。 • 本LTに関して、情報の正確性は保証いたしかねます。 • 10分ではおさまらないのでスキップして話します。資料は公開しますので、そち らをチェックしてください。 3
4 ISO/IEC 42001 AIマネジメントシステム(2023/12) 内容: • AIを利用するサービスを提供・使用する組織が、AIを責任 を持って管理するための指針を提供する国際規格。 • ISO
27001のようにマネジメントシステムが主軸としながら も、付属書A・BではAIに関する管理策を、付属書Cでは AIのリスク源について言及している。 個人的なコメント: • 従来のITシステム管理とは異なるAI特有(?)の課題(透 明性や社会的影響)を直接扱っていて、まあまあ面白い。 • 実際に準拠してみたが、ISO 27001 や 27017 のように 流行るイメージはあまりない。(一部のAIベンダはやりそう) 出所:ISO/IEC 42001:2023 - AI management systems
5 OWASP LLM AI Security and Governance Checklist-v1(2024/2) 内容: •
2023年にプレビューされていたが、正式版としては2024 年リリース • 企業がAIや生成AIを安全かつ効率的に導入・運用する ためのチェックリストを提供 個人的なコメント: • 「ジェイルブレイク」といった攻撃手法に具体的な名前を定 義し、それに対する防御策を整理している点が印象的でし た。 • セキュリティ、法務の観点がバランスよく含まれているため、 総合的なアプローチをとる際に参考になる実効性のあるド キュメントだな感じました。 出所:LLM_AI_Security_and_Governance_Checklist-v1.pdf
6 NIST Cybersecurity Framework 2.0(2024/2) 内容: • NIST CSF 1.0の公表から約10年越しのアップデート
• 従来の5つの機能「ID(特定)」「PR(防御)」「DE (検知)」「RS(対応)」「RC(復旧)」に加え、6つ 目の新たな機能として「Govern(統治)」が追加された 個人的なコメント: • リスクマネジメントの観点などが追加されて個人的にはかな り好み。ISMSとカニバっているところが増えたが、個人的に は両方あっていい • (前からあるけど)添付のエクセルが好き 出所:Cybersecurity Framework | NISTCybersecurity Framework | NIST
7 情報セキュリティ10大脅威(2024/2) 内容: • 毎年IPAから出ている情報セキュリティの10大脅威をまと めた文書 • 2023年はランキングに圏外からランクインしたもの(犯罪 のビジネス化)があったが、今年は初選出はなし 個人的なコメント:
• 解説書が手厚い!ありがたい! • IPAの関係者の皆様、毎年ありがとうございます。 出所:情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 スキップ
8 Modern Approaches to Network Access Security(2024/6) 内容: • VPNの脆弱性を悪用した攻撃が増えていることを受けて、
SASEの可能性を再度説いている。 ※義務付けたりしているわけではない。 個人的なコメント: • 半分以上ソリューションの紹介でつまらない部分は多いが、 CISAがSASEの価値を言及しているという点は意義深い。 • 「従来の VPN アプローチにはないきめ細かいアクセス制御 を統合する機会を提供します。」という言い回しが好き。 • ちゃんと管理されているVPNは悪じゃない。 • SASEベンダの売り文句にされそうではあるが、社内で推進 していく際の説得ネタとしては重宝している。 出所:Modern Approaches to Network Access Security | CISA
9 【余談】Microsoft Entra Suite には今後期待したい 参考:Microsoft Entra Private Access |
Microsoft Security Microsoft Entra Suite - Private Access(ZTNA) には今後期待したい。 (別製品使っているけど・・・) オンプレミス コネクタ Entra Private Access クライアント Entraへのアウトバウンド 通信のみ開けて、FWにイ ンバウンドの穴を開けない
10 情報セキュリティ白書(2024/7) 内容: • 情報セキュリティに関する国内外の政策や脅威の動向、イ ンシデントの発生状況、被害実態など定番トピックの他、 その年ならではの象徴的なトピックを取り上げています。 • 国内外の官民の各種データ、資料を数多く引用し、トピッ クを解説しており、情報の網羅性と参照性の高さが特長で、
情報セキュリティ分野の全体把握が容易です。 個人的なコメント: • PDF版はネットで無料で読めるのが神 • 優しくわかりやすく、網羅的に記載されているので、新人の 時に読みたかったドキュメントランキング1位 出所:情報セキュリティ白書2024 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構 スキップ
11 2023 Top Routinely Exploited Vulnerabilities(2024/11) 内容: • CISAやFBI、英国サイバーセキュリティセンターがまとめた 2023年に悪用された脆弱性のレポート
個人的なコメント: • よく聞くVPNの脆弱性はもちろん、 アプリケーションの脆弱 性も悪用されているものがまとまっているので、読み物として 面白かった。 • あたりまえだけど、2023年に検出された脆弱性がほとんど。 • と思ったら2021年のLog4jがランクインしていて、懐かしい 気持ちになるなど。 出所:2023 Top Routinely Exploited Vulnerabilities | CISA スキップ
12 CWE Top 25 Most Dangerous Software Weaknesses 内容: •
CWE (Common Weakness Enumeration) のTop 25は、ソフトウェアセキュリティの分野において最も一般的 で危険性の高い脆弱性をランキング形式で示したリスト。 個人的なコメント: • 僕のやっている業務とは畑が違うけど、そのうちキャッチアップ したいな・・・ 出所:CWE - CWE Top 25 Most Dangerous Software Weaknesses スキップ
13 Microsoft Digital Defense Report 2024(2024/12) 内容: • 脅威アクターの動向や主要な攻撃手法、AIのセキュリティ への影響が事細かにまとめられている。
個人的なコメント: • 日本は以外と狙われていないデータとなっているけど油断し てはいけない。(日本の企業は攻撃されてもあまり開示し ないしね。) • ISMAPが重要インフラ運営者のシステムにも適用される予 定って書かれている。。ほんとですか。。。?? • AIのセキュリティに関する影響が割とボリュームがあり良かっ た。攻撃者がAI使うようになったよねとか、SOCの効率化 ができるなど、突飛な内容はなかったけど、納得感のある内 容。局所的にはAI for Security は来てるよね。 出所:Microsoft Digital Defense Report 2024
14 【余談】今年のインシデントを振り返るという意味ではこの辺は今後チェック 出所①:JNSAセキュリティ十大ニュース 出所②:情報セキュリティ白書2024 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構
※毎年12月末に更新する傾向 ※毎年7月に公開される傾向
2024年の積読消化して、 2025年の良いスタートを切ろう!