サイバーセキュリティニュース: NSA がクラウドセキュリティのベストプラクティスを公開、CNCF がクラウドネイティブの AI 導入サポートについて説明する

クラウド環境の保護に関する、NSA の 10 の主なベストプラクティスをご紹介します。 また、クラウドネイティブのコンピューティングが AI のデプロイメントの合理化にどのように役立つかについてもご説明します。 同時に、水処理プラントと一般的な重要インフラに対するサイバー脅威の最新情報もお見逃しなく。 そのほか豊富な内容も掲載しています。

3 月 22 日までの 1 週間の 6 つの主要トピックスを詳しくご紹介します。

1 - クラウドセキュリティ強化のための 10 のベストプラクティス

クラウド環境のセキュリティ強化についてのアドバイスをお求めでしょうか。 アメリカ 国家安全保障局の新しい「Top Ten Cloud Security Mitigation Strategies (クラウドセキュリティ緩和戦略トップ 10)」を参照して、組織のクラウドセキュリティ態勢を向上させましょう。

「組織は処理、保管、共有を容易にするためにデータをクラウドへシフトさせる中で、オンプレミスと同等のセキュリティを保つための予防措置を講じ、クラウド固有のさらなる脅威を緩和する必要があります」と NSA の資料には記載されています。

10 のベストプラクティスをご紹介します。

• お使いのクラウドサービスプロバイダの責任共有モデルを理解し、どのセキュリティタスクが自組織の責任で、どれを CSP が扱うかを把握します。
• 多要素認証の使用や一時的な認証情報の適切な管理などの、ID およびアクセス管理 (IAM) の安全な手法を導入します。
• 安全なクラウドの重要な管理手法を採用します。
• ネットワークのマイクロセグメンテーションとエンドツーエンドの暗号化を実装します。
• たとえば最小権限の適用、変更不可能なバックアップの作成、オブジェクトのバージョン管理の使用などによってクラウドデータを保護します。
• たとえば強力な IAM、ログ監査、秘密情報管理などによって継続的インテグレーションと継続的デリバリー (CI/CD) パイプラインを保護します。
• インフラのコード化を使用してクラウドリソースのデプロイメントを自動化します。
• たとえばベンダーに依存しないツールを使用して 1 か所から複数の環境を管理、監視することにより、ハイブリッド環境とマルチクラウド環境のセキュリティギャップを防ぎます。
• お使いのマネージドサービスプロバイダー (MSP) が強力なセキュリティ基準とセキュリティ手法を採用するようにします。
• クラウドのログを監視、分析することで、異常なイベントや潜在的な侵害を検出します。

2 – CNCF: クラウドネイティブは AI のデプロイメントをどのようにサポートできるか

組織は人工知能が業務を革命的に変化させる可能性に夢中になっています。しかし、AI システムが魔法のような力を発揮するにはたくさんの計算能力を必要とすることもよく知られています。 これが組織にとっての障害となっています。でなければ、組織は AI や機械学習ツールをこぞって導入していることでしょう。

もし皆様の会社がこの問題に取り組んでいるのであれば、Cloud Native Computing Foundation が今週発行した新しいホワイトペーパーをご覧いただくことをお勧めします。このホワイトペーパーはクラウドネイティブ(CN) のコンピューティングが AI および ML システムの導入促進にどのように役立つかについて考察しています。

「CN のテクノロジーが AI/ML ワークロードのある側面をたやすくサポートする一方、課題やギャップも残るため、革新やさらなる適応を行う機会も生じます」と、文書「Cloud Native Artificial Intelligence (クラウドネイティブの人工知能)」に記載されています。

このホワイトペーパーは、AI および ML の手法の概要を提示し、CN テクノロジーが何を提供しているのかを説明し、データの準備、モデルトレーニング、ユーザーエクスペリエンスなどの分野における既存の技術的な課題について論じ、これらのギャップを克服する方法について考察しています。 

「このホワイトペーパーは、エンジニアとビジネス担当者に、変化するクラウドネイティブ人工知能 (CNAI) のエコシステムとその機会について理解するための知識を身に着けさせるものです」と、この文書には記載されています。

AI の計算能力の必要性について詳しくは、以下をご参照ください。

• 「AI and the Data Center: Challenges and Investment Strategies (AI とデータセンター: 課題と投資戦略)」(Information Week)
• 「Compare GPUs vs. CPUs for AI workloads (AI ワークロードでの GPU と CPU の比較)」(TechTarget)
• 「Rising Data Center Costs Linked to AI Demands (AI 需要に伴うデータセンターコストの上昇)」(WSJ)
• 「The U.S. Just Took a Crucial Step Toward Democratizing AI Access (米国は AI アクセスの民主化への重大な一歩を踏み出した)」(Time)
• 「Navigating the High Cost of AI Compute (AI gating the High Cost of AI Compute (AI の計算における高コストの解説)」(Andreessen Horowitz)

3 – バイデン政権が水処理施設へのサイバー攻撃に警鐘を鳴らす

上下水道処理施設のサイバーセキュリティに関する米国政府の懸念を強調した上で、ホワイトハウスは、全 50 州の代表者を招待し、この問題について議論しました。 

今週開催されたこのバーチャル会議は、サイバー防御におけるギャップを概説すること、政府、州、水処理プラントの代表者間の協力体制を育むこと、迅速にアクションを起こすことに焦点を当てていました。

「使用不能にするサイバー攻撃が、全米の上下水道システムに打撃を与えている」と、ホワイトハウスが 50 州の知事に送付した会議の招待状には記されています。

環境保護庁の長官である Michael Regan 氏と国家安全保障問題担当大統領補佐官である Jake Sullivan 氏によって書かれた書簡によると、水処理プラントは非常に重要なサービスを提供しているにもかかわらず、リソースや技術的ノウハウの不足により、サイバーセキュリティが弱い傾向にあります。

「多くの場合、デフォルトパスワードのリセットや既知の脆弱性に対処するためのソフトウェアのアップデートなどの基本的なサイバーセキュリティの予防措置でさえ実施されていません」と Regan 氏と Sullivan 氏は記しています。

サイバー攻撃からの上下水道システムの保護について詳しくは、以下の Tenable 資料をご覧ください。

• 「Shoring Up Water Security: Industry Leaders Testify Before Congress (水道のセキュリティの強化: 業界のリーダーが議会で証言)」(ブログ)
• 「ラリー市 - 公共水道事業の安全性と持続可能性を確保」(ケーススタディ)
• 「公共水道事業におけるサイバーセキュリティ対策に関する連邦政府の推奨事項」(ブログ)
• 「The Constant Drip: EPA Water Regulations, Funding Sources, And How Tenable Can Help (小さな積み重ね: EPA による水道の規制、資金源、Tenable がお手伝いできること)」(オンデマンドウェビナー)
• 「Keep the Water Flowing for the DoD: Securing Operational Technology from Cyberattacks (水を国防総省に流し続けよ: オペレーショナルテクノロジーのサイバー攻撃からの保護)」(ブログ)

動画

Marty Edwards, Tenable Deputy CTO for OT and IoT, testifies during congressional hearing “Securing Operational Technology: A Deep Dive into the Water Sector” (Tenable OT および IoT 代理 CTO の Marty Edwards が、議会の公聴会「オペレーショナルテクノロジーの保護: 水道業界の徹底解析」で証言)

4 - 重要インフラのリーダーが Volt Typhoon について警告

米国やその他の国のサイバーセキュリティ機関は、重要インフラのリーダーに、中国政府が支援するハッキング集団 Volt Typhoon から自組織を保護するための具体的な対策を取ることを求めています。

今週発表された共同のファクトシート「PRC State-Sponsored Cyber Activity: Actions for Critical Infrastructure Leaders (中国国家が支援するサイバー活動: 重要インフラリーダーのためのアクション)」によると、これらの政府機関は重要インフラ組織のリーダーに、直ちに以下のような具体的な対策を取るよう要請しています。

• 検出と堅牢化のベストプラクティスを適用する
• 経営幹部を含む企業全体からの代表者を、包括的なサイバーセキュリティ計画の開発に参加させる
• 定期的な机上演習を実施する
• 厳重なベンダーリスク管理プロセスを実行し、サードパーティリスクを軽減する
• IT、OT、クラウド、サプライチェーン、ビジネスのチームの間でサイバーセキュリティ手法を調整する

「執筆した機関は、リーダーたちにサイバーリスクが中心的なビジネスリスクであることを認識するよう促しています。 そうした認識は、優れたガバナンスのために必要であると同時に、国家の安全の基盤となります」と、このファクトシートには記されています。

米国、オーストラリア、カナダ、英国、ニュージーランドのサイバー機関が共同で発行するガイダンスが、同機関が IT と OT のセキュリティチームに向けて Volt Typhoon についての共同アドバイザリを発行した約 1 か月後に発行されます。

「PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure (中国国家が支援する攻撃者が米国の重要インフラを侵害し、永続的なアクセスを維持)」と題したその共同アドバイザリは、複数の重要インフラ組織の IT 環境と OT 環境に Volt Typhoon が静かに潜入しており、瞬く間に襲ってくる可能性があると警告しています。

5 - CSA が AI の安全性と AI のセキュリティを説明、対照、比較

もし皆様が、組織が AI を安全に、かつ責任を持って使用できるようにすることに関わっている場合、今週クラウドセキュリティアライアンスが発行した新しいブログ記事に興味を持たれることと思います。この記事では、AI のセキュリティと AI の安全性の共通点と相違点を掘り下げています。

AI のセキュリティがサイバー攻撃からの AI システムの保護に言及しているのに対し、AI の安全性は倫理規範や公正性の問題を包含しています。

「AI の安全性と AI のセキュリティでは優先順位や焦点となる領域が明確に異なりますが、両者は密接につながっています。責任があり、信頼できる、安全な AI システムを構築するためには、両方に同時に対応する必要があります」と、「AI Safety vs. AI Security: Navigating the Commonality and Differences (AI の安全性と AI のセキュリティ: 共通点と相違点の解説)」と題する記事に記されています。 

取り組むべき AI セキュリティの項目には以下のようなものがあります。

• データのプライバシー、可用性、完全性
• モデルのセキュリティと完全性
• システムの可用性

取り組むべき AI の安全性の問題は以下の通りです。

• 透明性の不足
• システムバイアス
• 顔認証の人物誤認

「効果的な AI のガバナンスとリスク管理戦略は、設計、開発からデプロイメントや監視に至るまでの AI のライフサイクル全体を通して、どちらの領域も包含するものである必要があります」と、この記事には記されています。

AI のセキュリティと AI の安全性について詳しくは、以下をご参照ください。

• 「Evaluate the risks and benefits of AI in cybersecurity (サイバーセキュリティにおける AI 使用のリスクと利点の評価)」(TechTarget)
• 「Assessing the pros and cons of AI for cybersecurity (サイバーセキュリティへの AI 利用のメリットとデメリットの評価)」(Security Magazine)
• 8 Questions About Using AI Responsibly, Answered (AI の責任ある使用についての 8 つの質問への回答) (Harvard Business Review)
• 「Guidelines for secure AI system development (安全な AI システム開発のガイドライン)」 (英国国家サイバーセキュリティセンター) 国家サイバーセキュリティセンター)
• 「Envisioning Cyber Futures with AI (AI のあるサイバーの未来を想像する)」(Aspen Institute)

動画

Building Safe and Reliable Autonomous Systems (安全で信頼できる自律システムの構築) (スタンフォード大学)

6 - McKinsey: 生成 AI のリスクを管理する 4 つのステップ

生成 AI の一連の流れは加速し続け、どこの企業も大急ぎでこのテクノロジーを導入していますが、そのリスクの適切な管理も必要不可欠です。

ガイダンスをお探しであれば、McKinsey が同社による記事「Implementing generative AI with speed and safety (高速で安全な生成 AI の実装)」の中で提供している最新のアドバイスをご参照ください。

具体的にいうと、この経営コンサルティングファームは、企業が以下の 4 つのステップを実行することを推奨しています。

• セキュリティ脅威、サードパーティリスク、悪意のある使用、知的財産権の侵害などの外部からのリスクを把握し、それに対処する。
• 生成 AI を使用するケースを一覧化し、カスタマーサービス用のチャットボットにおけるバイアスなどの潜在的なリスクを特定し、緩和とガバナンスの戦略の概要を説明する。
• 機能の枠を超えた生成 AI の運営グループの作成、責任ある AI のガイドラインとポリシーの作成、スタッフの AI スキルの育成などによって、既存のガバナンスを適応させ、拡張する。
• 生成 AI のライフサイクルを通して、設計者、エンジニア、管理者、ユーザーの 4 つの重要な役割がどのように相互作用していくかについての運用モデルを開発する。

生成 AI のリスク管理について詳しくは、以下をご参照ください。

• 「Top 10 Critical Vulnerabilities for Large Language Model Applications」(OWASP)
• 「A CISOs Guide: Generative AI and ChatGPT Enterprise Risks (CISO のガイド: 生成 AI と ChatGPT による企業のリスク)」(Team8)
• 「Adversarial Machine Learning and Cybersecurity: Risks, Challenges, and Legal Implications」( (スタンフォード大学およびジョージタウン大学)
• 「Security Implications of ChatGPT (ChatGPT のセキュリティの暗示)」(クラウドセキュリティアライアンス)
• 「Considerations for Implementing a Generative Artificial Intelligence Policy (生成 AI のポリシーの導入に関する考慮事項)」(ISACA)