Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
権威ドキュメントで振り返る2024 #年忘れセキュリティ2024
Search
田口 大智 / ぐっちー
December 13, 2024
Technology
0
200
権威ドキュメントで振り返る2024 #年忘れセキュリティ2024
田口 大智 / ぐっちー
December 13, 2024
Tweet
Share
More Decks by 田口 大智 / ぐっちー
See All by 田口 大智 / ぐっちー
業務に組み込む生成AI〜失敗と改善の1年半〜
hirotomotaguchi
4
130
リーグオブ情シス登壇資料_議事録AIの導入について
hirotomotaguchi
4
620
On Your Data を超えていく!
hirotomotaguchi
2
1.5k
LLM活用を加速させる Prompt Flow 実践
hirotomotaguchi
0
790
Copilot for Microsoft 365 の実際のユーザー体験
hirotomotaguchi
4
630
セキュリティチェックシート記入AIを Azure OpenAI Studio Prompt Flow で作る
hirotomotaguchi
1
630
Copilot for Microsoft 365 ユーザー向け研修資料
hirotomotaguchi
29
38k
Copilot for Microsoft 365 ぶっちゃけどうなの?_生成AI新年会@GMO Yours・フクラス
hirotomotaguchi
2
1.7k
Azure OpenAIを使ったサービス構築_株式会社クラウドネイティブ_田口大智
hirotomotaguchi
1
900
Other Decks in Technology
See All in Technology
イベントをどう管理するか
mikanichinose
1
120
新機能Amazon GuardDuty Extended Threat Detectionはネ申って話
cmusudakeisuke
0
330
re:Inventで発表された Bedrockの新機能を色々使って、マルチRAGエージェントにクラウド選定させてみた件
minorun365
PRO
4
270
ミスが許されない領域にAIを溶け込ませる プロダクトマネジメントの裏側
t01062sy
8
8.8k
MLOps の現場から
asei
3
290
プロダクトの爆速開発を支える、 「作らない・削る・尖らせる」技術
applism118
10
9.3k
密着! Bedrockerがre:Invent 2024で過ごした5日間を紹介
minorun365
PRO
3
350
属人化したE2E自動テストを ひも解く
honamin09
1
120
リクルートのデータ基盤 Crois 年3倍成長!1日40,000コンテナの実行を支える AWS 活用とプラットフォームエンジニアリング
recruitengineers
PRO
1
270
マルチプロダクト開発の現場でAWS Security Hubを1年以上運用して得た教訓
muziyoshiz
1
110
KubeCon NA 2024 Recap: Managing and Distributing AI Models Using OCI Standards and Harbor / Kubernetes Meetup Tokyo #68
pfn
PRO
0
130
Amazon Bedrock Multi-Agent Collaboration Workshop の紹介 - ワークショップでAIエージェントを学ぼう
nasuvitz
4
370
Featured
See All Featured
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
32
2.7k
Gamification - CAS2011
davidbonilla
80
5.1k
Done Done
chrislema
181
16k
[RailsConf 2023] Rails as a piece of cake
palkan
53
5k
Unsuck your backbone
ammeep
669
57k
Bash Introduction
62gerente
608
210k
Designing for Performance
lara
604
68k
The Cult of Friendly URLs
andyhume
78
6.1k
How to Ace a Technical Interview
jacobian
276
23k
The Invisible Side of Design
smashingmag
298
50k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
10
790
Making the Leap to Tech Lead
cromwellryan
133
9k
Transcript
権威ドキュメントで振り返る2024 行く年、来る年、年忘れセキュリティ 2024 2024年12月13日(金) 田口 大智 @HirotomoTaguchi #年忘れセキュリティ2024
田口 大智( @HirotomoTaguchi) 2019.10 デジタルアーツコンサルティング株式会社 • ISO 27001, 27017, NIST
SP800-171, ISMAPのコンサルや監査 2021.8 株式会社クラウドネイティブ • ゼロトラストの概念に基づく業務インフラ刷新 • 製品導入・運用サポート(Netskope、Defender、Sentinel、Box 等々) • AIを使った業務改善(Azure OpenAI、AI Search、Copilot 等々) 2024.11 日系メーカー ※個人参加のため企業名非公表 • セキュリティ担当(グループ会社も含む) 趣味:ダンス、野球、ゴルフ、飲み会 2
免責事項 • 私の独断と偏見に基づいてピックアップした権威ドキュメントを紹介します。 • 権威ドキュメントが発行されるまで数年かかる場合があり、必ずしも2024 年の状況をリアルタイムに表すものではありません。とはいえ、権威ドキュメン トに触れることは、時代の文脈に触れることができるかと思います。 • 各権威ドキュメントへのコメントは個人の見解であり所属組織を代表するもの ではりません。
• 本LTは2024年12月5日時点の情報を元に作成しています。 • 本LTに関して、情報の正確性は保証いたしかねます。 • 10分ではおさまらないのでスキップして話します。資料は公開しますので、そち らをチェックしてください。 3
4 ISO/IEC 42001 AIマネジメントシステム(2023/12) 内容: • AIを利用するサービスを提供・使用する組織が、AIを責任 を持って管理するための指針を提供する国際規格。 • ISO
27001のようにマネジメントシステムが主軸としながら も、付属書A・BではAIに関する管理策を、付属書Cでは AIのリスク源について言及している。 個人的なコメント: • 従来のITシステム管理とは異なるAI特有(?)の課題(透 明性や社会的影響)を直接扱っていて、まあまあ面白い。 • 実際に準拠してみたが、ISO 27001 や 27017 のように 流行るイメージはあまりない。(一部のAIベンダはやりそう) 出所:ISO/IEC 42001:2023 - AI management systems
5 OWASP LLM AI Security and Governance Checklist-v1(2024/2) 内容: •
2023年にプレビューされていたが、正式版としては2024 年リリース • 企業がAIや生成AIを安全かつ効率的に導入・運用する ためのチェックリストを提供 個人的なコメント: • 「ジェイルブレイク」といった攻撃手法に具体的な名前を定 義し、それに対する防御策を整理している点が印象的でし た。 • セキュリティ、法務の観点がバランスよく含まれているため、 総合的なアプローチをとる際に参考になる実効性のあるド キュメントだな感じました。 出所:LLM_AI_Security_and_Governance_Checklist-v1.pdf
6 NIST Cybersecurity Framework 2.0(2024/2) 内容: • NIST CSF 1.0の公表から約10年越しのアップデート
• 従来の5つの機能「ID(特定)」「PR(防御)」「DE (検知)」「RS(対応)」「RC(復旧)」に加え、6つ 目の新たな機能として「Govern(統治)」が追加された 個人的なコメント: • リスクマネジメントの観点などが追加されて個人的にはかな り好み。ISMSとカニバっているところが増えたが、個人的に は両方あっていい • (前からあるけど)添付のエクセルが好き 出所:Cybersecurity Framework | NISTCybersecurity Framework | NIST
7 情報セキュリティ10大脅威(2024/2) 内容: • 毎年IPAから出ている情報セキュリティの10大脅威をまと めた文書 • 2023年はランキングに圏外からランクインしたもの(犯罪 のビジネス化)があったが、今年は初選出はなし 個人的なコメント:
• 解説書が手厚い!ありがたい! • IPAの関係者の皆様、毎年ありがとうございます。 出所:情報セキュリティ10大脅威 2024 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構 スキップ
8 Modern Approaches to Network Access Security(2024/6) 内容: • VPNの脆弱性を悪用した攻撃が増えていることを受けて、
SASEの可能性を再度説いている。 ※義務付けたりしているわけではない。 個人的なコメント: • 半分以上ソリューションの紹介でつまらない部分は多いが、 CISAがSASEの価値を言及しているという点は意義深い。 • 「従来の VPN アプローチにはないきめ細かいアクセス制御 を統合する機会を提供します。」という言い回しが好き。 • ちゃんと管理されているVPNは悪じゃない。 • SASEベンダの売り文句にされそうではあるが、社内で推進 していく際の説得ネタとしては重宝している。 出所:Modern Approaches to Network Access Security | CISA
9 【余談】Microsoft Entra Suite には今後期待したい 参考:Microsoft Entra Private Access |
Microsoft Security Microsoft Entra Suite - Private Access(ZTNA) には今後期待したい。 (別製品使っているけど・・・) オンプレミス コネクタ Entra Private Access クライアント Entraへのアウトバウンド 通信のみ開けて、FWにイ ンバウンドの穴を開けない
10 情報セキュリティ白書(2024/7) 内容: • 情報セキュリティに関する国内外の政策や脅威の動向、イ ンシデントの発生状況、被害実態など定番トピックの他、 その年ならではの象徴的なトピックを取り上げています。 • 国内外の官民の各種データ、資料を数多く引用し、トピッ クを解説しており、情報の網羅性と参照性の高さが特長で、
情報セキュリティ分野の全体把握が容易です。 個人的なコメント: • PDF版はネットで無料で読めるのが神 • 優しくわかりやすく、網羅的に記載されているので、新人の 時に読みたかったドキュメントランキング1位 出所:情報セキュリティ白書2024 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構 スキップ
11 2023 Top Routinely Exploited Vulnerabilities(2024/11) 内容: • CISAやFBI、英国サイバーセキュリティセンターがまとめた 2023年に悪用された脆弱性のレポート
個人的なコメント: • よく聞くVPNの脆弱性はもちろん、 アプリケーションの脆弱 性も悪用されているものがまとまっているので、読み物として 面白かった。 • あたりまえだけど、2023年に検出された脆弱性がほとんど。 • と思ったら2021年のLog4jがランクインしていて、懐かしい 気持ちになるなど。 出所:2023 Top Routinely Exploited Vulnerabilities | CISA スキップ
12 CWE Top 25 Most Dangerous Software Weaknesses 内容: •
CWE (Common Weakness Enumeration) のTop 25は、ソフトウェアセキュリティの分野において最も一般的 で危険性の高い脆弱性をランキング形式で示したリスト。 個人的なコメント: • 僕のやっている業務とは畑が違うけど、そのうちキャッチアップ したいな・・・ 出所:CWE - CWE Top 25 Most Dangerous Software Weaknesses スキップ
13 Microsoft Digital Defense Report 2024(2024/12) 内容: • 脅威アクターの動向や主要な攻撃手法、AIのセキュリティ への影響が事細かにまとめられている。
個人的なコメント: • 日本は以外と狙われていないデータとなっているけど油断し てはいけない。(日本の企業は攻撃されてもあまり開示し ないしね。) • ISMAPが重要インフラ運営者のシステムにも適用される予 定って書かれている。。ほんとですか。。。?? • AIのセキュリティに関する影響が割とボリュームがあり良かっ た。攻撃者がAI使うようになったよねとか、SOCの効率化 ができるなど、突飛な内容はなかったけど、納得感のある内 容。局所的にはAI for Security は来てるよね。 出所:Microsoft Digital Defense Report 2024
14 【余談】今年のインシデントを振り返るという意味ではこの辺は今後チェック 出所①:JNSAセキュリティ十大ニュース 出所②:情報セキュリティ白書2024 | 書籍・刊行物 | IPA 独立行政法人 情報処理推進機構
※毎年12月末に更新する傾向 ※毎年7月に公開される傾向
2024年の積読消化して、 2025年の良いスタートを切ろう!