生成系AI時代のセキュリティマネジメント

Transcript

1. ⽣成系AI時代の 情報セキュリティマネジメント - さらなる成⻑のために - 2023年6⽉29⽇ 原⼦ 拓 はらこ たく

   @harako @tharako.bsky.social © SilverworX Japan. 2023 © SilverworX Japan. 2023

2. © SilverworX Japan. 2023 はじめに

3. © SilverworX Japan. 2023 はじめに ⽣成系AI（GAI : Generative AI）の登場は新しいイノベー ションのひとつと⾔われるほど世の中にインパクトを与えて

   います。新しいイノベーションに対して情報セキュリティマ ネジメントとしてはリスクを評価・管理するだけでなく、経 営ビジョンに従って事業を⽀える必要があります。本⽇は、 企業のさらなる成⻑を⽀える“⽣成AI時代のセキュリティマ ネジメントのあり⽅”についてお話しさせていただきます。

4. © SilverworX Japan. 2023 ⾃⼰紹介

5. © SilverworX Japan. 2023 ⾃⼰紹介 5 原⼦ 拓 ＝ 情シス育ちのCSIRT系セキュリティ屋

   はらこ たく 職務概要︓ネットワークの研究員、いわゆる情シス部員を経て、 今は情報セキュリティ分野におります。 略歴︓・静岡県浜松市⽣まれ、浜松育ち ・電機メーカーの研究所でネットワークの研究員 ・グローバル製造業の情シス部員 ・⽇本シーサート協議会運営委員 ・セキュリティベンダーのマネージャー ・情報セキュリティ専⾨家 その他活動︓ ・浜松市消防団 ・⽇本シーサート協議会 ・Kyusec実⾏委員 ・IPA 10⼤脅威選考委員 など 資格 ・SIM3 auditor ←CSIRTの成熟度をはかるものです 原⼦拓 セキュリティ屋さん

6. © SilverworX Japan. 2023 ⾃⼰紹介︓CSIRTと消防団 CSIRT︓CSIRTと消防団 インシデント対応の基本はCSIRT ということで、⻑らくCSIRTしてます ⽕災の対応の基本は消防団、いわゆる“⽕消し役” 実際の消防団活動から、、

   「消防団」 「CSIRT」 ①⽉1回の定例演習 アセスメントe-ラーニング、演習 ②⽉1回の機械器具点検 定期アセスメント ③年4回の合同訓練 NCA総会・WG ④緊急出動指令 インシデントの連絡 ⑤地域防災訓練 部⾨との連携訓練 ⑥操法⼤会 セキュリティコンテスト

7. © SilverworX Japan. 2023 ⾃⼰紹介 出典︓静岡放送報道より ⽇常も “⽕消し” です。 浜松市消防団所属で実家にいる時に⽕災インシデントが発⽣した際には、消

   ⽕に向かいます。因みにあたりまえですが24x365だったりします。

8. © SilverworX Japan. 2023 その他活動（セキュリティ） 九州サイバーセキュリティシンポジュウム 実⾏委員とか ※５⼤温泉シンポジュウム ・越後湯沢 ・道後

   ・⽩浜 ・熱海 ・九州 セッションの様⼦ 出典：Kyusec

9. © SilverworX Japan. 2023 その他活動（セキュリティ） ⽇本シーサート協議会の会員です。⼀応、SIM3の監査をすることができます。 ※430社・組織が加盟 出典：NCA

10. © SilverworX Japan. 2023 その他活動（セキュリティ） IPAの「情報セキュリティ10⼤脅威 2023」の選考 出典：IPA

11. © SilverworX Japan. 2023 その他活動（セキュリティ） IPAの「情報セキュリティ10⼤脅威 2023」の選考とか 出典：IPA

12. © SilverworX Japan. 2023 情報セキュリティ動向

13. © SilverworX Japan. 2023 最近のセキュリティ動向 IPAの「情報セキュリティ10⼤脅威 2023」 出典：IPA

14. © SilverworX Japan. 2023 最近のセキュリティ動向 IPAの「情報セキュリティ10⼤脅威 2023」 ランサムウェア、不審なメール、情報漏洩 に注意しなくては、、、 放置している脆弱性は危険だよな、、

    と悶々としている⽇々です。 出典：IPA

15. © SilverworX Japan. 2023 ⽇々脅威に⽴ち向かっているところに 新たに“⽣成系AI”登場

16. © SilverworX Japan. 2023 ⽣成系AI登場 第3.5次AIブーム 1980年代の第2次AIブームの後、現在は第3次AIブーム中で、今回の ブームは、第3.5次ブームと呼ばれるらしい。 2022年の秋頃、”Stable Diffusion”などテキストを与えると画像を⽣

    成する Text to image AI が話題になり、その後、⽂章を書くAIとし て2022年末に”ChatGPT”がリリースされてテキスト⽣成AIの進化にみ んなが驚きブームとなった。 当然、企業でもビジネスへの活⽤が検討され、すでに活⽤事例を⽬に するようになっています。⼀⽅で、セキュリティ⾯については、 なりすましや詐欺、プライバシーや権利の侵害、サイバー攻撃などセ キュリティ⾯のリスクがあり、対応が必要となります。 注）原⼦調べ

17. © SilverworX Japan. 2023 ▪AIの歴史 年代 1950 AIの概念が⽣まれ、ダートマス会議が開催される。 1960 AIの研究が盛んに⾏われ、エキスパートシステムや⾔語モ

    デルなどの技術が開発される。 1970 AI研究の冬と呼ばれる時期が訪れ、AIの研究が停滞する。 1980 AI研究が再び盛り上がりを⾒せ、ニューラルネットワーク などの技術が開発される。 1990 AIが実⽤化され始め、ゲームや医療などの分野で使われる ようになる。 2000 ディープラーニングの技術が開発され、AIの研究が⼤きく 進展する。 2010 AIが様々な分野に普及し始め、⾃動運転⾞やチャットボッ トなどの技術が開発される。 2020 AIがさらに発展し、⼈間の⽣活に⼤きな影響を与えると考 えられている。 AIの歴史は古く、近年になって様々な分野で活⽤が始まっている。 現在は、”識別系AI” から “⽣成系AI” へ

18. © SilverworX Japan. 2023 ▪⽣成AIとは ⽣成AIは、 「コンピュータが学習したデータを元に、新しいデータや情報を アウトプットする技術」 これまで⼈間が実施していた「考える」や「計画する」をAIが実⾏し、アイディ アやコンテンツを⽣成。データとしては、テキスト、画像、⾳声など。

    ⽣成AIの進化 ・⽣成AIの技術が進歩し、より⾼品質なデータが⽣成。 ・⽣成AIの活⽤範囲が拡⼤し、マーケティング、カスタマーサービス、教育、 製造など、さまざまな分野で活⽤。 企業の業務効率化や⽣産性向上、顧客満⾜度の向上など、さまざまな メリットをもたらす可能性。 参考:⽇経コンピュータ「⽣成AIが企業に与える影響」

19. © SilverworX Japan. 2023 ▪⽣成AIの動向 ⽇本の企業における⽣成AIのビジネス利⽤は、 「実際に活⽤中」3.0%、「トライアル中」6.7% (*1) ※世界のAI導⼊率は、約35% 話題のツール類

    ・テキスト⽣成 chatGPT ・画像⽣成 Stable Diffusion ・⽂字起こし Whisper ・動画⽣成 Make a Video ・⾳声⽣成 VALL-E ・商業コピー⽣成 Catchy ⽣成AIを組み込んだサービス、製品も 出典: (*1) NRI「AIの導⼊に関するアンケート調査」（2023年5⽉）

20. © SilverworX Japan. 2023 ▪⽣成AIに期待すること ⽣成AIを活⽤することで、 ・課題解決 ・コスト削減 ・売り上げ向上 ・アイディアの創出

    ・新製品開発 具体的には、、 ・定型業務の効率化 例）⽂字起こしAIによる議事録作成 ・企画活動の⽀援（効率化） 例）シナリオなど条件を指定して⾃動⽣成 ・コンテンツ（イラストなど）⽣成コスト削減 例）販促グッズのイラストを⾃動⽣成 ⽣成AIを導⼊・活⽤する企業は増えていく⽅向に違いはない

21. © SilverworX Japan. 2023 ▪⽣成AIに期待すること ⽣成AIを活⽤することで、“秒” でレスポンスが 例）製造業の情報セキュリティポリシーのサンプルを聞いてみました 出典 :

    ChatGPTによる

22. © SilverworX Japan. 2023 ⽣成AIのセキュリティの話をする前に イノベーション振り返り DXからの学び

23. © SilverworX Japan. 2023 ▪イノベーションの歴史 1940年代：初の電⼦計算機ENIACの完成。 1950年代：トランジスタを使⽤したコンピュータが開発される。 1960年代：統合回路（IC）の登場。ARPANET（後のインターネットの前⾝）の開発が始まる。 1970年代：パーソナルコンピュータの時代が始まる。 インターネットの基礎となるTCP/IPプロトコルが開発された。

    1980年代：MicrosoftのWindows、AppleのMacintoshなどのパソコンが普及。 1990年代：インターネットの商⽤利⽤が開始。ウェブブラウザの登場 2000年代初頭：ブロードバンドインターネット接続の普及。ウェブ2.0の時代が始まる。 2010年代：スマートフォン普及。クラウドコンピューティングの普及。 データ分析やAIの発展を促進した。 2020年代：デジタルトランスフォーメーション（DX）が進む。 AIやビッグデータ、IoTなど新たなテクノロジーがビジネスや⽣活全般に統合され、社会全体のデジ タル化が進んでいる。 IT関連のイノベーションの歴史はコンピュータの登場から 注）主な出来事、原⼦調べ

24. © SilverworX Japan. 2023 ▪セキュリティインシデントの歴史 1980年代：MicrosoGのWindows、AppleのMacintoshなどのパソコンが普及。 1988年：インターネットワーム「morris worm」が世界の6,000台以上のコンピュータを感染.。 1990年代：インターネットの商⽤利⽤が開始。ウェブブラウザの登場 2000年：「ILOVEYOU」ウイルスが発⽣。全世界で数千万台のPCが感染し、世界的な問題となった。

    2001年： Code RedとNimdaウイルスが⼤量のインターネットシステムを侵害。 2000年代初頭：ブロードバンドインターネット接続の普及。ウェブ2.0の時代が始まる。 2003年：「SQL Slammer」ウイルスがインターネット全体を数分で感染させる。 2007年：エストニアで⼤規模なDDoS攻撃が発⽣。 2010年代：スマートフォン普及。クラウドコンピューティングの普及。データ分析やAIが発展。 2017年：ランサムウェア「WannaCry」が全世界で⼤規模な被害をもたらす。 2020年代：デジタルトランスフォーメーション（DX）が進む。 2020年：ソフトウェア会社SolarWindsのサプライチェーン攻撃が明らかになる。 イノベーションにはリスクがつきもの ←みなさん経験済み → リスクを適切に分析して評価し、リスクを低減する事が⼤事 経営、ビジネス側は評価されたリスクをもとに意思決定 ITイノベーションとセキュリティインシデントに学ぶ 注）主な出来事、原⼦調べ

25. © SilverworX Japan. 2023 ▪DX化のケース︓上⼿くいかないケース 近年のパターン ・新しいテクノロジー → 活⽤して成果だせ →

    リーダー不在 → 現場に⼈材がいない → リスク評価に不備 → 失敗する → 厳しい評価 → 萎縮 悪循環の連鎖 経営からは号令がかかるが、なかなか上⼿くいかない。 原因︓ ・リーダーシップとビジョンがない ・コアとなるチームがいない ・失敗やリスクが許容すされない⽂化 ・リソースと投資が少ない 注）DX化について、原⼦調べ

26. © SilverworX Japan. 2023 ▪DX化のケース︓成功事例 成功しているケースは、、 ・新しいテクノロジー → 経営がビジョンを提⽰ →

    リーダーシップが全社の取り組みに → 現場がチャレンジ → 失敗する → 叱咤激励 → 次なるチャレンジ → 成功する 経営、現場⼀体となっての取り組み。 ・リーダーシップがビジョンを策定し ・コアとなるチームをリード ・失敗やリスクを許容するマネジメント、⽂化 ・リソース確保と効果的な投資 素敵なリーダーシップがいて、リソースもそろっていて たいていはチャレンジャブルな社⾵ こういった⾵⼟、カルチャーの企業が成功している 注）DX化について、原⼦調べ

27. © SilverworX Japan. 2023 DXに学ぶ DX化に必要な要素がそろっている必要がある ・デジタル戦略とビジョン ・リーダーシップとカルチャー ・部⾨連携 ・適切なリスク評価

    ・DXを⽀えるIT ・外部パートナーシップ DX勝ち組の特徴 ・デジタルファーストなマインドセット ・イノベーションと探求のカルチャー ・カスタマーエクスペリエンスを重視 ・データドリブンな意思決定 → 成功するための⼟台、環境ができている

28. © SilverworX Japan. 2023 ▪先⼈のお⾔葉 ・本⽥宗⼀郎 「失敗を恐れたら、何も成し遂げることはできません。」 本⽥宗⼀郎⾃⾝も、数々の失敗を経験し、常に挑戦し続けることで、 彼は世界的な企業であるホンダを創業し成功。 “失敗を恐れず、常に挑戦し続けることの⼤切さが⼤事“

    → チャレンジできるカルチャー、環境あってこそ

29. © SilverworX Japan. 2023 ⽣成AIがもたらした 新たな情報セキュリティの課題

30. © SilverworX Japan. 2023 ▪新たなセキュリティの課題 ⽣成AIがもたらした新たな課題 ①データのプライバシーと個⼈情報保護 個⼈情報の匿名化、アクセス制御、法的規制、倫理 ②AIモデルのセキュリティ 改ざん、攻撃

    ③データの品質と信頼性 ④モデルの透明性、説明可能性 ブラックボックスなAIを信頼できるのか︖ ⑤ソーシャルエンジニアリング 攻撃者が⽣成AIを活⽤することでより⾼度で複雑な攻撃が想定 される セキュリティ部⾨は、これらの課題に対応する必要が

31. © SilverworX Japan. 2023 ⽣成AIをビジネスファーストで 導⼊・活⽤するために

32. © SilverworX Japan. 2023 ▪⽣成AI時代の情報セキュリティマネジメント ⽣成AIの登場により、 情報セキュリティの脅威はますます⾼度化・複雑化 従来の情報セキュリティ対策では対応が困難 ビジネス視点では、 ビジネスの視点に⽴った情報セキュリティマネジメント

    情報セキュリティ対策をビジネスの成⻑に貢献するものとして位置づ け、ビジネスのスピード感や柔軟性を損なうことなく、効果的な情報セ キュリティ対策を実現すること。 ”攻めの”情報セキュリティマネジメントが必要とされている。

33. © SilverworX Japan. 2023 ▪⽣成AI時代の情報セキュリティマネジメント ”攻めの”情報セキュリティマネジメントに向けて 具体的には、以下の3つのポイントが重要 ①ビジネスのリスクを正しく理解し、それに応じた情報セキュリティ 対策を講じる。 ②情報セキュリティ対策をビジネスの⼀部として位置づけ、経営と

    密接に連動する。 ③情報セキュリティ対策を継続的に改善・強化する。 ⽣成AI時代の情報セキュリティマネジメントは、ビジネスの成⻑と情報 セキュリティの両⽴を図る上で重要な課題。

34. © SilverworX Japan. 2023 ▪⽣成AI時代の情報セキュリティ部⾨に求められる事 “攻めの”情報セキュリティマネジメントを実践するために ①⽣成AIに関する知識とスキル、ソリューション 専⾨スタッフを確保、新たなリスクを評価できる環境・体制 ②⽣成AIシステム利⽤に関するリスク評価 ③さらなるセキュリティ教育の実施

    ④セキュリティとビジネスの統合 セキュリティリスクを最⼩限に抑え、ビジネスの成果を最⼤化 ⑤インシデントレディネスなCSIRT（攻めのCSIRT）整備 近い将来ではなく、既にですね・・・ ⽣成AIを情報セキュリティマネジメントで利⽤することに ※組み込みソリューションが提供される → 性能向上、⼈材不⾜対策（省⼒化）、スピードアップ

35. © SilverworX Japan. 2023 ①⼈材等リソース、ソリューション ・リーダーシップ⼈材 →経験実績のある⽅を任命 ・情シス⼈材 ・情シス部⾨リード できれば権限を持たせるべき

    →いままでのイノベーションをリードしてきたメンバー ビジネスと情シスに明るいメンバー、あまり社内にいない、、 ・企画メンバー →ビジネスと技術スキルのあるメンバー、社内⼈材が望ましい カルチャーによっては社内⼈材が育っている 中途採⽤、外部の専⾨家、パートナーシップ、コミュニティの活⽤ ・セキュリティ⼈材 ・セキュリティ部⾨リード できれば権限を持たせるべき →ビジネスとセキュリティに明るいメンバー、なかなか社内にいない ・アセスメントメンバー 技術スキル、⽣成AIに詳しい →中途採⽤、外部の専⾨家、パートナーシップ、コミュニティの活⽤

36. © SilverworX Japan. 2023 ①⼈材等リソース、ソリューション ・⽣成AIをセキュリティ関連業務で利⽤ → ⾃ら活⽤する/新しいセキュリティソリューションの登場 → 業務効率の向上、精度向上が⾒込まれる

37. © SilverworX Japan. 2023 ②⽣成AIで必要なリスクアセスメント項⽬ ⽣成系AIサービスを導⼊活⽤する上で必要なアセスメント 従来のSaaSサービスを使う視点と同様 1.データセキュリティ ︓扱うデータの内容 2.プライバシー

    ︓個⼈情報を扱うか否か 3.コンプライアンス ︓法律に違反しないか 4.システムとインフラストラクチャ: プラットフォームセキュリティ ⽣成系AIの利⽤に関する新たな項⽬ 1.AIモデルの信頼性 ︓ ブラックボックス 2.AIモデルの安全性 ︓ 不適切な学習結果のリスク ※最近はテナント単位で提供されるサービスもあって、リスクが低減されてい る。例）XXX-GAIとか

38. © SilverworX Japan. 2023 ④セキュリティとビジネスの統合 ビジネスとの統合と情報セキュリティガバナンスが効く⽴ち位置と権限 経営と連動、⽣成AI導⼊・活⽤部⾨との連携 → セキュリティ部⾨は各部⾨とは独⽴して経営に近いところに ※情報システム部⾨も同じですね、テクノロジーのリードは情シス

    ITガバナンスは⼤前提 社⻑ A本部 B本部 Ｎ本部 セキュリティ 開発 インフラ 情報システム 本部 Fig. 会社組織図イメージ 企画

39. © SilverworX Japan. 2023 まとめ イノベーションにうまく乗るためには、 前提として、経営が本気を出して ビジョン、カルチャーにリーダーシップを整える必要があります。 経営と連携し “攻め”の情報セキュリティ部⾨が、リスクを可視化＆

    適切な評価そしてリスク低減⾏い、 ”攻め”の情報システムが ⽣成AI活⽤をリードすることで→ 企業のさらなる成⻑ ⽣成AI時代の情報セキュリティマネジメントは、企業のさらなる成⻑ のために、経営にとって重要な要素のひとつです。 今こそ、丸投げせず、“攻め”の情報セキュリティ部⾨のための積極的な 投資が必要です。 また、最後の砦は“CSIRT”です、CSIRTの成熟度の向上もお忘れ無く。 次回がありましたら成⻑した結果のお話をさせていただきます。See you

40. © SilverworX Japan. 2023 ご清聴ありがとうございました︕