サイバーセキュリティニュース: 新しいガイドがシャドー AI の防止と安全なソフトウェアアップデートの導入に関するベストプラクティスを紹介

シャドー AI に関するサポートが必要な場合、 また、ソフトウェア更新の安全性を高めたい場合には、 新たに公開された資料から貴重なヒントを得ることができます。 さらに、生成 AI とデータセキュリティがサイバー戦略の最大の推進要因となった理由を説明します。 また、ソフトウェアセキュリティの上位「禁止事項」、EU の新しいサイバー法、CISO と取締役会とのコミュニケーションに関する最新情報についても紹介します。

10 月 25 日までの 1 週間で最も気になる 6 つのトピックを徹底解析します。

1 - CSA: 「シャドー AI」の防止方法 

組織が AI 採用を拡大する際には、AI 資産を徹底的に追跡して保護し、サイバーリスクを軽減することが必要です。 これには、未承認 AI ツールの従業員による使用 (「シャドー AI」と呼ばれる問題) の監視も含まれます。

では、シャドー AI をどのように特定、管理、防止するのでしょうか。 Cloud Security Alliance (CSA) の新しいホワイトペーパー「AI Organizational Responsibilities: Governance, Risk Management, Compliance and Cultural Aspects (AI 組織の責任: ガバナンス、リスク管理、コンプライアンス、文化的な側面から)」 で、役立つアイデアが見つかるかもしれません。

このホワイトペーパーでは、シャドー AI について以下のトピックを取り上げています。

• AI システムの包括的なインベントリの作成
• ギャップ分析の実施による、承認された AI の使用状況と実際の AI 使用状況の不一致の特定
• 許可されていない AI 製品を検知する方法の導入
• 効果的なアクセス制御の確立
• 監視技術の導入

「こういった主要領域に焦点を当てることで、シャドー AI に関連するリスクを大幅に軽減し、すべての AI システムを組織のポリシー、セキュリティ基準、および規制要件に確実に準拠させることができる」とホワイトペーパーでは指摘しています。

たとえば、この文書では、AI 資産に対して求められる可視性を提供するインベントリを作成するために、各レコードが持つべきさまざまな要素について説明しています。以下にその例を示します。

• 資産の説明
• その AI モデルに関する情報
• そのデータセットとデータソースに関する情報
• 開発とデプロイメントに使用されたツールに関する情報
• ライフサイクル、規制遵守、倫理的な考慮事項、業界標準への準拠に関する詳しいドキュメント
• そのアクセス制御メカニズムの記録

シャドー AI は、このホワイトペーパーで取り上げている 4 つのトピックのうちの 1 つです。他のトピックではリスク管理、ガバナンスとコンプライアンス、安全な文化とトレーニングについて解説しています。

より詳しい情報については、以下の資料をご覧ください。

• 「AI Organizational Responsibilities: Governance, Risk Management, Compliance and Cultural Aspects (AI 組織の責任: ガバナンス、リスク管理、コンプライアンス、文化的な側面から)」 ホワイトペーパー全文
• 補完的なスライドプレゼンテーション
• CSA ブログ「Shadow AI Prevention: Safeguarding Your Organization’s AI Landscape (シャドー AI の防止: 組織の AI 環境の保護」

シャドー AI を含む AI セキュリティの問題について詳しくは、以下の Tenable ブログをご覧ください。

• 「Do You Think You Have No AI Exposures? Think Again (AI エクスポージャーがないと思っていませんか? 考え直してください)」
• 「Securing the AI Attack Surface: Separating the Unknown from the Well Understood (アタックサーフェスのセキュリティ対策: よく理解されているものと未知なるものを区別する」
• 「Never Trust User Inputs -- And AI Isn't an Exception: A Security-First Approach (セキュリティ第一のアプローチ: ユーザー (AI も含む) の入力を決して信用しない)」
• 「6 Best Practices for Implementing AI Securely and Ethically (AI を安全かつ倫理的に実装するための 6 つのベストプラクティス)」
• 「マイクロソフトの AI ヘルスケアチャットボットサービスの侵害」

2 - 安全なソフトウェア更新のベストプラクティス

ソフトウェア更新のセキュリティと信頼性が注目されたのは、不適切な更新が原因で大規模かつ前例のない技術障害が世界中で発生した 7 月のことでした。

このような事態を防ぐため、米国とオーストラリアのサイバー機関は「Safe Software Deployment: How Software Manufacturers Can Ensure Reliability for Customers (安全なソフトウェアデプロイメント: ソフトウェアメーカーはいかに顧客に対して信頼性を保証するか)」を発行しました。

この 12 ページの文書では「すべてのソフトウェアメーカーにとって重要なのは、堅牢なテストや測定を含む、検証済みのプロセスに裏打ちされた安全なソフトウェアデプロイメントプログラムの実装である」と説明されています。

このガイドは主に商用ソフトウェアベンダーを対象としていますが、その推奨事項は、社内で更新プログラムをデプロイするソフトウェア開発チームを持つすべての組織にとって役に立ちます。

このガイドでは、計画、開発とテスト、社内展開、制御された展開などの、安全なソフトウェア開発プロセスの主なステップについて概説しています。 また、エラーや緊急時のプロトコルについても取り上げています。

「安全なソフトウェアデプロイメントプロセスは、組織の SDLC、品質プログラム、リスク許容度、顧客の環境と業務に関する情報と統合される必要がある」と、米国 サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA)、FBI、およびオーストラリアサイバーセキュリティセンターが作成したこのガイドには明記されています。

より詳しい情報については、以下の資料をご覧ください。

• 「Safe Software Deployment: How Software Manufacturers Can Ensure Reliability for Customers (安全なソフトウェアデプロイメント: ソフトウェアメーカーはいかに顧客に対して信頼性を保証するか)」ガイド
• CISA アラート「CISA, US, and International Partners Release Joint Guidance to Assist Software Manufacturers with Safe Software Deployment Processes (CISA、米国、および国外のパートナーは、ソフトウェアメーカーの安全なソフトウェアデプロイメントプロセスを支援するための共同ガイダンスを発表) 」

安全なソフトウェア更新の詳細については、以下をご覧ください。

• 「Tenable のソフトウェア更新プロセスは、害を与えない安全設計により顧客のビジネス継続性を保護」(Tenable)
• 「The critical importance of robust release processes (堅牢なリリースプロセスの重要性)」(Cloud Native Computing Foundation)
• 「Software Deployment Security: Risks and Best Practices (ソフトウェアデプロイメントのセキュリティ: リスクとベストプラクティス)」(DevOps.com)
• 「Software Updates, A Double-Edged Sword for Cybersecurity Professionals (ソフトウェア更新、サイバーセキュリティ専門家にとっての両刃の剣)」(Infosecurity)
• 「DevOps Best Practices for Faster and More Reliable Software Delivery (より迅速で信頼できるソフトウェア配信を実現する DevOps ベストプラクティス)」(DevOps.com)

3 - レポート: 生成 AI、多様な攻撃、データセキュリティによるサイバー戦略の推進

今日の組織のサイバーセキュリティ対策を促進しているのは、どのような問題でしょうか。 ヒントを出すと、 ごく最近の懸念事項です。 最上位は「生成 AI の可能性と危険性」です。 それに僅差で続くのが、「多様化が進むサイバー攻撃」、そして「データ保護の緊急性の高まり」です。

これは、CompTIA の「State of Cybersecurity 2025 (2025 年のサイバーセキュリティの現状)」レポートによるもので、データは北米およびヨーロッパとアジアの一部のビジネスと IT の専門家約 1,200 人を対象とした調査に基づいています。 

これら 3 つの主な要因は、現在、組織がサイバーセキュリティ対策の計画を立てる際、攻撃の規模などの他の要因と併せて重要な役割を担っています。

このレポートに関する CompTIA のブログには、「組織がこれらの推進要因を理解することは、進化する脅威環境に対応しデジタル資産を守るための、事前対策型で適応性のあるサイバーセキュリティ戦略を策定する上で不可欠である」と記述されています。

組織は、一方では生成 AI がサイバーセキュリティプログラムにどのように役立つか、他方では悪意のある攻撃者がこのテクノロジーをどのように利用してサイバー攻撃の検出と防止を困難にしているかを、熱心に理解しようとしています。

それと同時に、データ保護に関する懸念がここ数年で急増しています。 ブログでは「組織がデータ主導型になるにつれて、機密情報を保護する必要性がかつてないほど重要になってきている」と指摘しています。

レポートによると、組織は保存中、転送中、使用中のデータを保護することに注力しているだけでなく、基盤となるデータ管理手法も構築しています。

「AI の台頭により、AI アルゴリズムを適切にトレーニングするための堅牢なデータ手法の必要性が高まっている。各企業が競争上の差別化を図ろうと模索する中、データサイエンスへの需要は高まる一方である」とレポートには記載されています。

より詳しい情報については、以下の資料をご覧ください。

• レポートの発表「Cybersecurity success hinges on full organizational support, new CompTIA report asserts (サイバーセキュリティの成功は組織全体のサポートにかかっていると CompTIA の新たなレポートが主張)」
• CompTIA のブログ「Today’s top drivers for cybersecurity strategy (現代のサイバーセキュリティ戦略における主な推進要因)」および「Cybersecurity’s maturity: CompTIA’s State of Cybersecurity 2025 report (サイバーセキュリティの成熟度: CompTIA の 2025 年のサイバーセキュリティの現状レポート」
• 「State of Cybersecurity 2025 (2025 年のサイバーセキュリティの現状)」レポート全文

データセキュリティ態勢管理 (DSPM) と AI を活用した攻撃の防止に関する詳細については、以下の Tenable リソースをご覧ください。

• 「クラウドデータと AI リソースの保護が決め手になるクラウドセキュリティ態勢の要塞化」(ブログ)
• 「Know Your Exposure: Is Your Cloud Data Secure in the Age of AI? (環境内のエクスポージャーを把握: AI 時代のクラウドデータは安全か)」(オンデマンドウェビナー)
• 「データ要素: DSPM の統合が CNAPP 戦略の鍵となる」(ブログ)
• 「Mitigating AI-Related Security Risks (AI 関連セキュリティリスクの軽減)」(オンデマンドウェビナー)
• 「Securing the AI Attack Surface: Separating the Unknown from the Well Understood (AI アタックサーフェスのセキュリティ対策:よく理解されているものと未知なるものを区別する)」(ブログ)

4 - CISA がセキュリティにとって最も有害なソフトウェア開発手法をリストアップ

サイバーセキュリティの世界には、推奨されるベストプラクティスがあふれています。 しかし、CISA と FBI は、ソフトウェア製品のセキュリティ向上を追求する中でその逆の取り組みを行っています。 CISA と FBI はソフトウェアメーカーが避けるべき最悪のセキュリティプラクティスのリストを発表しました。

「Product Security Bad Practices (製品セキュリティの不適切なプラクティス)」と題されたこのドキュメントでは「禁止事項」を、「製品の特性」、「セキュリティ機能」、「組織のプロセスとポリシー」という 3 つの主なカテゴリに分類しています。

「2024 年になっても基本的で予防可能なソフトウェアの欠陥が、病院、学校、その他の重要インフラに対する壊滅的な攻撃を未だ可能にしています。 これは阻止すべきです」CISA 長官である Jen Easterly 氏は、声明でこう述べています。

「このような製品セキュリティにおける不適切なプラクティスは、今日では容認できないリスクをもたらすにもかかわらず、あまりにもありふれています」とも彼女は述べています。

CISA の「Secure by Design (セキュア・バイ・デザイン)」の取り組みの一環として、このドキュメントに詳しく記載されている最悪のプラクティスの一部を以下に紹介します。

• 「メモリが危険」と見なされているプログラミング言語の使用
• ユーザーの入力を SQL クエリ文字列に含める
• 初期パスワードのまま製品をリリース
• 既知の脆弱性や悪用された脆弱性を含む製品のリリース
• 多要素認証を使用しない
• 脆弱性をタイムリーに開示しない

このガイダンスは主に重要インフラ組織で使われる製品のソフトウェアメーカー向けですが、推奨事項はすべてのソフトウェアメーカーに適用されます。

CISA と FBI にフィードバックを提出したい場合は、2024 年 12 月 16 日まで連邦官報にこのドキュメントに関するコメントを提出できます。

詳しい内容については、以下をご覧ください。

• CISA の発表「CISA and FBI Release Product Security Bad Practices for Public Comment (CISA と FBI、製品セキュリティの不適切なプラクティスに関するパブリックコメントを募集)」
• ドキュメント全文「Product Security Bad Practices (製品セキュリティの不適切なプラクティス)」

安全なソフトウェアの開発方法の詳細については、以下をご覧ください。

• 「Tenable Partners with CISA to Enhance Secure By Design Practices (Tenable、CISA と提携し、セキュリティ・バイ・デザインのプラクティスを強化)」(Tenable)
• 「Ensuring Application Security from Design to Operation with DevSecOps (DevSecOps による設計から運用までのアプリケーションセキュリティの確保)」(DevOps.com)
• 「What is application security? (アプリケーションセキュリティとは?)」(TechTarget)
• 「Guidelines for Software Development (ソフトウェア開発のガイドライン)」(オーストラリアサイバーセキュリティセンター)

5 - EU の新たな法律は、接続されたデジタル製品のサイバーセキュリティにフォーカス

ネットワークやその他のデバイスに直接的または間接的に接続するデジタル製品 (ソフトウェアとハードウェアの両方) のメーカーは、EU 固有のサイバーセキュリティ保護措置に準拠しなくてはならなくなります。

新たに採択された「サイバーレジリエンス法」とよばれる法律では、コネクテッドカーなどの IoT 製品を含むこのようなタイプの製品の設計、開発、生産、ライフサイクルのメンテナンスに関するサイバーセキュリティ要件が定められています。

たとえば、この法律では、こういった製品に対して以下のような「サイバーセキュリティの必須要件」がいくつか指定されています。

• 既知の悪用可能な脆弱性がある状態で出荷しない
• 「デフォルトで設計段階から安全」な設定を採用する
• 自動ソフトウェア更新による脆弱性の修正を可能にする
• 認証やアイデンティティ管理などの制御メカニズムを使用したアクセス保護を実現する
• たとえば保存時や転送中に暗号化を行うことで、保存、送信、処理されるデータを保護する

「新しい規制は、ギャップを埋め、関連性を明確にし、既存のサイバーセキュリティの法的枠組みをより一貫性のあるものにして、サプライチェーン全体およびそのライフサイクル全体を通してデジタルコンポーネントを含む製品 (...) の安全性を確保することを目的としている」と、EU の欧州理事会は声明で述べています。

この法律は EU 官報に掲載された後に「発効」し、36 か月後に適用と施行が行われます。したがって、実際の適用は 2027 年 10 月または 11 月頃になる見込みです。 ただし、条項の一部については 1 年前から施行可能になります。

EU のサイバーレジリエンス法に関する詳細情報および分析については、以下をご覧ください。

• 「Cyber Resilience Act Requirements Standards Mapping (サイバーレジリエンス法の要件と基準のマッピング)」(ENISA)
• 「The Cyber Resilience Act, an Accidental European Alien Torts Statute? (サイバーレジリエンス法は、意図せざる欧州版の外国人不法行為請求権法?)」(Lawfare)
• 「EU Cybersecurity Regulation Adopted, Impacts Connected Products (EU サイバーセキュリティ規制の採択は、コネクテッド製品に影響)」(National Law Review)
• 「Open source foundations unite on common standards for EU’s Cyber Resilience Act (オープンソース財団、EU サイバーレジリエンス法の共通基準で結束)」(TechCrunch)
• 「The Cyber Resilience Act: A New Era for Mobile App Developers (サイバーレジリエンス法: モバイルアプリ開発者にとっての新時代)」 (DevOps.com)

動画

The Cyber Resilience Act: A New Era for Business Engagement in Open Source Software (EU サイバーレジリエンス法: オープンソースソフトウェアにおける企業関与の新時代)(Linux Foundation) 

6 - 英国サイバー機関: CISO は取締役会とのコミュニケーションを深めることが必要

英国のサイバー機関の新たな調査では、CISO と取締役会は相互理解が進んでおらず、それが組織のサイバーリスクを増大させていることが判明しました。

たとえば、警鐘を鳴らす調査結果の 1 つとして、中堅・大規模企業の取締役会メンバー、CISO、その他のサイバーリーダーなど回答者の 80% が、組織のサイバーセキュリティの最終的な責任者が誰なのか確信が持てないと認めています。

「多くの組織で CISO (または匹敵する役職) は取締役会に責任があると考え、一方で取締役会は CISO に責任があると考えていることが判明した」と、「How to talk to board members about cyber (サイバーについて取締役会メンバーと話す方法)」と題したこの調査に関するブログには示されています。

その結果、英国 国家サイバーセキュリティセンター (NCSC) は、CISO と組織の取締役会のコミュニケーションの改善を目的とした、「Engaging with Boards to improve the management of cyber security risk (サイバーセキュリティリスクの管理を改善するための取締役会との連携)」というタイトルの新しいガイダンスを発表しました。」

「サイバーセキュリティは戦略的な課題であるため、サイバーリスクの理解、管理、軽減を確実に行うには、取締役会の使用する用語や表現を用いてやり取りする必要がある」と、この文書では述べられています。

以下はアドバイスの一例です。

• 対象者について (取締役会のメンバーは誰か、また彼らの専門分野は何か)、また取締役会の運営方法について (会議の形式や委員会など) 把握してください。
• リスクの観点からサイバーセキュリティについて話し、リスクの概要を具体的かつ正確に示し、事実をありのままに提示してください。
• 取締役会メンバーとのコミュニケーションを正式な取締役会の会議だけに留めないようにしてください。 取締役会の会議以外にも、個別に、あるいは少人数のグループで話し合う機会を設けましょう。
• サイバーセキュリティを組織の業務上の課題、目標、状況と結び付けるように、議論を発展させてください。
• 全体像の提示を目的とし、専門用語の使用は避けるようにしてください。
• 指導ではなくアドバイスするよう心がけてください。