サイバーセキュリティニュース: 生成 AI 、統合ツール導入でサイバーセキュリティ防御を強化

サイバーセキュリティのリーダーはサイロ化されたツールを破棄して、生成 AI や統合型の製品スイートを採用しています。 このブログではフィッシング対策のヒントが豊富なガイドや IAM セキュリティのベストプラクティスが満載のガイドをご紹介します。 また、サイバーセキュリティ分野の採用担当者が最も重視するスキルや、そのほか豊富な内容を掲載しています。

このブログ記事では、10 月 20 日までの 1 週間で注目に値する 6 つのトピックを徹底解説します。

1 - 調査: CISO は生成 AI、統合されたサイバーセキュリティ製品スイートに賭ける

最近の動きは、 防御的な生成 AI テクノロジーと、統合されたサイバーセキュリティ製品スイートの導入。 一方、 うまく連携しない個別のセキュリティ製品を多く使用する多数のツールの使用はすたれていくでしょう。

これは PwC によるレポート「2024 Global Digital Trust Insights (2024 年の世界のデジタルトラストのインサイト)」に記載されている多数の調査結果の 1 つです。この調査は 71 か国の様々な業界のビジネス、テクノロジー、セキュリティ担当の経営幹部 3,800 名を対象に実施されました。

サイバーツールセットが統合される傾向が明確になる中、44% の回答者が統合されたセキュリティ製品スイートを使用していると回答し、39% が今後 2 年以内に導入する予定であると回答しました。

それと同時に、このレポートでは、組織は生成 AI を使用して攻撃を強化させるハッカーについて心配する一方、この技術を活用して自組織のサイバーセキュリティ機能を高めることにも大きな期待を寄せているということが分かりました。

とりわけ、ほぼ 70% の回答者が今後 12 か月以内にサイバー防御のために生成 AI を使用する予定であると回答し、47% が既にサイバーリスクの検出や緩和のために生成 AI を使用していると回答しています。 また、5 分の 1 の回答者は、サイバーセキュリティに生成 AI を使用することで既に恩恵を受けていると回答しています。

詳しくは以下をご覧ください。

• このレポートの要点はこちらにまとめてあります。The C-suite playbook: Putting security at the epicenter of innovation (経営幹部向けのプレイブック: セキュリティをイノベーションの中心に)
• 記事: GenAI for cyber defence is on the rise (サイバー防御のための生成 AI が増加)
• レポート: 2024 Global Digital Trust Insights (2024 年の世界のデジタルトラストのインサイト) 全文がダウンロードできます。。
• 動画:「PwC’s 2024 Global Digital Trust Insights Survey (PwC による 2024 年の世界のデジタルトラストのインサイトに関する調査)」

サイバーセキュリティへの生成 AI の使用による影響について詳しくは、以下をご覧ください。

• Generative AI and Cybersecurity: Strengthening Both Defenses and Threats (生成 AI とサイバーセキュリティ: 防御も脅威も強化される)(Bain & Co.)
• The role for AI in cybersecurity (サイバーセキュリティにおける AI の役割)」(Cybersecurity Dive)
• AI Is About To Take Cybersecurity By Storm(AI とサイバーセキュリティの融合が始まる) (Tenable)
• The Fusion of AI and Cybersecurity Is Here: 用意はできていますか? (CompTIA)
• New Generative AI Tools Aim to Improve Security (セキュリティの向上に狙いを定めた新しい生成 AI ツール)(Dark Reading)

サイバーセキュリティプラットフォームの統合が生み出す価値について詳しくは、以下をご覧ください。

• Centralized cloud security is now a must-have (今や集中管理型のクラウドセキュリティは必須)(InfoWorld)
• サイバーエクスポージャー管理: プラットフォームアプローチの 7 つの利点(Tenable)
• Thanks to the economy, cybersecurity consolidation is coming (景気のおかげで、サイバーセキュリティの統合が進む)(Protocol)
• Bye-bye best-of-breed? (さらばベスト・オブ・ブリード?) (CSO)
• 「Note to Security Vendors: Companies Are Picking Favorites (セキュリティベンダーへの注意: 企業は気に入ったものを選ぶ)(DarkReading)

2 - ガイド: フィッシング対策のベストプラクティス

フィッシング攻撃から組織を保護する方法についての入門書をお探しであれば、 CISA、NSA、FBI が今週発行したガイド「Phishing Guidance: Stopping the Attack Cycle at Phase One (フィッシング対策ガイダンス: 攻撃サイクルをフェーズ 1 で阻止する)」をご覧ください。この 14 ページの資料は、推奨事項を 2 つの主な攻撃カテゴリー (ログイン認証情報の盗難、マルウェアのデプロイメント) に分類しています。 

この資料で説明されているベストプラクティスを一部ご紹介します。

• フィッシング詐欺師によるログイン認証情報の取得を防ぐ方法
  • ユーザートレーニングを定期的に実施し、従業員が疑わしいメールやリンク、添付ファイルを特定する方法を学習できるようにする
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) プロトコルを導入する
  • 組織内のメールとメッセージのトラフィックを監視する
  • 管理者と、昇格されたアクセス権限を持つその他のアカウントに対して、耐フィッシング多要素認証 (MFA) を実装する
  • シングルサインオン (SSO) プログラムを展開する

• フィッシング詐欺師によるマルウェアの実行を防ぐ方法
  • 電子メールのゲートウェイに拒否リストを設定して悪質なドメイン、URL、IP アドレスをブロックする
  • ユーザーアカウントに最小権限の原則を採用する
  • アプリケーションの許可リストを実装する
  • マクロをデフォルトでブロックする

詳しい内容については、以下をご覧ください。

• このガイドの共同声明 CISA, NSA, FBI, MS-ISAC Publish Guide on Preventing Phishing Intrusions (CISA, NSA, FBI, MS-ISAC はフィッシングによる侵入の防止に関するガイドを発表)
• CISA のブログ Phishing: What’s in a Name? (フィッシング: 名前が内容を暗示する)
• ガイド全文 Phishing Guidance: Stopping the Attack Cycle at Phase One (フィッシング対策ガイダンス: 攻撃サイクルをフェーズ 1 で阻止する)

3 - ISACA: IAM が最も需要の高いサイバーテクノロジースキルの 1 位にランクイン 

アイデンティティおよびアクセス管理 (IAM) は、採用責任者が最も求めているサイバーセキュリティのスキルであり、クラウドコンピューティングが僅差でそれに続きます。

これは、全世界の 2,100 名のセキュリティ責任者を対象に調査を行った ISACA のレポート「State of Cybersecurity 2023, Global Update on Workforce Efforts, Resources and Cyberoperations (2023 年のサイバーセキュリティの状況: 労働力に関する取り組み、リソース、サイバー業務に関するグローバルの最新情報)」によるものです。

採用担当者がサイバーセキュリティ職の補充の際に求める技術的スキルの上位 5 つを記したこのリストでは、データの保護、インシデント対応、DevSecOps が 3 位以下に挙げられました。

ソフトスキルについては、コミュニケーション力が 1 位で、クリティカルシンキング、問題解決力、チームワーク、細部へのこだわり、が続きます。

またソフトスキルは、サイバーセキュリティ専門家の間で最も不足しており、クラウドコンピューティング、セキュリティ管理、コーディングスキル、ソフトウェア開発がそれに続きます。

その他の興味深い調査結果を以下に記載します。

• 59% の回答者が、自組織のサイバーチームは人員不足であると回答
• 56% が、サイバーセキュリティ担当者の雇用の維持はいまだに課題であると回答
• 62% が、自組織はサイバー攻撃を過少報告していると回答

詳しくは、レポートをダウンロードして、以下の ISACA の資料をご確認ください。

• 記事 State of Cybersecurity 2023: Navigating Current and Emerging Threats (2023 年のサイバーセキュリティの状況: 現在の脅威と新たな脅威を切り抜ける)」および「The Shifting Importance of Soft Skills (ソフトスキルの重要性の推移)
• レポートの発表 New ISACA Research: 59 Percent of Cybersecurity Teams are Understaffed (ISACA の新たな調査: 59% のサイバーセキュリティチームは人員不足)
• レポートのインフォグラフィック State of Cybersecurity in 2023 and Beyond (2023 年のサイバーセキュリティの状況と展望)

4 - 調査: 多要素認証なしのパスワードがいまだ最も一般的なログイン方式

認証形式を全く使用しないパスワードの手入力は、オンラインアカウントへのログインで依然として最もよく用いられている方式ですが、安全性は最も低いと考えられています。

これは、代替となるログイン技術と認証の標準を推進するテクノロジー業界団体 FIDO Alliance によって今週発表されたレポート「Online Authentication Barometer (オンライン認証の指針)」の重要な調査結果です。

今年で 4 年目になるこのレポートは、日本、オーストラリア、中国、フランス、ドイツ、インド、シンガポール、韓国、英国、米国の 1 万人の消費者を対象とした調査に基づいています。

その他の重要な調査結果は以下のとおりです。

• 指紋や顔のスキャンなどによる生体認証が、推奨されるサインイン方式と最も安全なサインイン方式の両方にランクイン
• パスキーなどのその他のログイン方式の認知度が高まっている
• 人工知能によって、疑わしいメッセージやオンライン詐欺の件数増加と巧妙化が進んでいる
• パスワードの失念は、1 人が 1 日あたりにオンラインでの購入やオンラインサービスへのアクセスを断念する平均回数を 2022 年の 3.18 回から 2023 年の 3.68 回に押し上げている

回答者が生体認証などのより強力な認証方式の使用への関心を高めていることが明るい兆候だと、FIDO Alliance のエグゼクティブディレクター兼 CMO である Andrew Shikiar 氏は声明で述べ、

「とはいえ、2 要素認証を使用しないパスワードが多く使われていることは、その終息が長引いており、生体認証などの代替手段がまだまだ消費者に提供されていない、心配すべき状況を表している」と 付け加えています。

詳しくは、このレポートの発表内容「FIDO Alliance study reveals growing demand for password alternatives as AI-fuelled phishing attacks rise (FIDO Alliance の調査で、AI を利用したフィッシング攻撃が増加したことによるパスワードの代替手段の需要の増加が判明)」と「2023 Online Authentication Barometer (2023 年オンライン認証の指針)」レポートをご一読ください。

新しい認証方式について詳しくは、以下をご覧ください。

• What is passwordless authentication? (パスワードレス認証とは何か) (TechTarget)
• What is Phishing Resistant MFA? (SANS Institute)
• Implementing Phishing-Resistant MFA (耐フィッシング MFA の実装) (CISA)
• What is biometric authentication? (生体認証とは何か) (TechTarget)
• Should You Use Passkeys Instead of Passwords? (パスワードの代わりにパスキーを使用すべきか) (Consumer Reports)

5 - CISA: MFA、SSO が IAM のセキュリティ課題のトップにランクイン

また、認証方式といえば、CISA と NSA による新しい資料には、IAM システムの保護において多要素認証 (MFA) とシングルサインオン (SSO) はいまだ企業の開発者やテクノロジーベンダーにとって非常に扱いにくい課題であると記載されています。

この共同資料「Identity and Access Management: Developer and Vendor Challenges (ID およびアクセス管理: 開発者とベンダーの課題)」では、これらの障壁について概説し、推奨事項を提示しています。 

課題と、テクノロジーベンダーに対して推奨されるソリューションを一部ご紹介します。

• あいまいな MFA 用語
  • MFA 関連の用語を標準化して、定義やポリシーが組織にとって明確になるようにする
  • IAM 製品を NIST 要件 (NIST SP 800-63 にある要件など) にマッピングする
• 一部の MFA 実装のセキュリティ特性が不明確
  • 耐フィッシング認証方式をより多くのユースケースに展開して、導入を簡素化、標準化する
  • MFA システムを「最大限ユーザーフレンドリー」にして、ユーザーへの普及を促進する
• 企業の IT インフラへの SSO 統合が難しい
  • 規格に基づいたモジュールのオープンソースリポジトリを作成することで、SSO と従来のアプリケーションの統合を容易にする

詳しくは、Identity and Access Management: Developer and Vendor Challenges (ID およびアクセス管理: 開発者とベンダーの課題) をご一読ください。

6 - 米国政府は「セキュア・バイ・デザイン」のソフトウェアのためのガイドを拡張

ソフトウェアの設計は、その中核目標に顧客のセキュリティを位置付け、複雑な設定やセキュリティ機能に対する追加料金の必要のない「標準装備」でセキュリティ機能を提供することが必要です。

これは CISA、FBI、NSA、および 13 か国のサイバー機関が今週共同で発表した改訂版のガイド「Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure By Design Software (サイバーセキュリティリスクのバランスの変化: セキュア・バイ・デザインのソフトウェアの原則とアプローチ)」で概説されている「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」の構想です。 

「これら 2 つの考え方を合わせると、安全を維持するための負担の大部分が製造業者の責となり、顧客が、設定ミス、顧客のパッチ適用の遅れ、その他多くの一般的な問題によって生じるセキュリティインシデントの犠牲となる可能性が減少する」と、このガイドには記載されています。

当初 4 月に発表されたこの資料は、15 ページから 36 ページに増量され、追加された部分の大半には、ソフトウェアメーカーを対象とした、CISA による以下の主要な「セキュア・バイ・デザイン」の 3 原則に関する詳細が記載されています。

• 顧客のセキュリティに対する責任感を持つ
• 徹底的な透明性と説明責任を取り入れる
• トップが先導する

この資料は主にソフトウェアメーカー向けのベストプラクティスに焦点を当てていますが、以下のようなソフトウェアの顧客向けの推奨事項も含まれています。

• 購入するソフトウェアが、CISA と自組織の IT 部門がまとめた「セキュア・バイ・デザイン」と「セキュア・バイ・デフォルト」の原則に準拠することを確実にする
• IT サプライヤーに対し、セキュリティ問題の迅速な解決を確約するよう、また現在および将来の内部セキュリティ管理とセキュリティ態勢に対する透明性を提供するよう要請する
• クラウドサービスにサブスクライブする際は、責任共有モデルを確実に理解しておく

詳しい内容については、以下をご覧ください。

• CISA のアラートCISA, NSA, FBI, and International Partners Release Updated Secure by Design Guidance (CISA、NSA、FBI、および世界のパートナーがセキュア・バイ・デザインのガイダンスの更新版を発表)
• CISA の発表　CISA, U.S. and International Partners Announce Updated Secure by Design Principles Joint Guide (CISA、米国および世界のパートナーがセキュア・バイ・デザイン原則の共同ガイドの更新版を発表)
• CISA のブログ　The Next Chapter of Secure by Design (セキュア・バイ・デザインの次の章)
• 資料全文　Shifting the Balance of Cybersecurity Risk: Principles and Approaches for Secure By Design Software (サイバーセキュリティリスクのバランスの変化: セキュア・バイ・デザインのソフトウェアの原則とアプローチ)