Facebook Google Plus Twitter LinkedIn YouTube RSS メニュー 検索 出典 - ブログ 出典 - ウェビナー出典 - レポート出典 - イベントicons_066 icons_067icons_068icons_069icons_070

Tenable ブログ

ブログ通知を受信する

サイバーセキュリティニュース: NSA がクラウドセキュリティのベストプラクティスを公開、CNCF がクラウドネイティブの AI 導入サポートについて説明する

NSA がトップのクラウドセキュリティ手法を選出

クラウド環境の保護に関する、NSA の 10 の主なベストプラクティスをご紹介します。 また、クラウドネイティブのコンピューティングが AI のデプロイメントの合理化にどのように役立つかについてもご説明します。 同時に、水処理プラントと一般的な重要インフラに対するサイバー脅威の最新情報もお見逃しなく。 そのほか豊富な内容も掲載しています。

3 月 22 日までの 1 週間の 6 つの主要トピックスを詳しくご紹介します。

1 - クラウドセキュリティ強化のための 10 のベストプラクティス

クラウド環境のセキュリティ強化についてのアドバイスをお求めでしょうか。 アメリカ 国家安全保障局の新しい「Top Ten Cloud Security Mitigation Strategies (クラウドセキュリティ緩和戦略トップ 10)」を参照して、組織のクラウドセキュリティ態勢を向上させましょう。

「組織は処理、保管、共有を容易にするためにデータをクラウドへシフトさせる中で、オンプレミスと同等のセキュリティを保つための予防措置を講じ、クラウド固有のさらなる脅威を緩和する必要があります」と NSA の資料には記載されています。

 

クラウドセキュリティ強化のための 10 のベストプラクティス

 

10 のベストプラクティスをご紹介します。

  • お使いのクラウドサービスプロバイダの責任共有モデルを理解し、どのセキュリティタスクが自組織の責任で、どれを CSP が扱うかを把握します。
  • 多要素認証の使用や一時的な認証情報の適切な管理などの、ID およびアクセス管理 (IAM) の安全な手法を導入します。
  • 安全なクラウドの重要な管理手法を採用します。
  • ネットワークのマイクロセグメンテーションとエンドツーエンドの暗号化を実装します。
  • たとえば最小権限の適用、変更不可能なバックアップの作成、オブジェクトのバージョン管理の使用などによってクラウドデータを保護します。
  • たとえば強力な IAM、ログ監査、秘密情報管理などによって継続的インテグレーションと継続的デリバリー (CI/CD) パイプラインを保護します。
  • インフラのコード化を使用してクラウドリソースのデプロイメントを自動化します。
  • たとえばベンダーに依存しないツールを使用して 1 か所から複数の環境を管理、監視することにより、ハイブリッド環境とマルチクラウド環境のセキュリティギャップを防ぎます。
  • お使いのマネージドサービスプロバイダー (MSP) が強力なセキュリティ基準とセキュリティ手法を採用するようにします。
  • クラウドのログを監視、分析することで、異常なイベントや潜在的な侵害を検出します。

2 – CNCF: クラウドネイティブは AI のデプロイメントをどのようにサポートできるか

組織は人工知能が業務を革命的に変化させる可能性に夢中になっています。しかし、AI システムが魔法のような力を発揮するにはたくさんの計算能力を必要とすることもよく知られています。 これが組織にとっての障害となっています。でなければ、組織は AI や機械学習ツールをこぞって導入していることでしょう。

もし皆様の会社がこの問題に取り組んでいるのであれば、Cloud Native Computing Foundation が今週発行した新しいホワイトペーパーをご覧いただくことをお勧めします。このホワイトペーパーはクラウドネイティブ(CN) のコンピューティングが AI および ML システムの導入促進にどのように役立つかについて考察しています。

「CN のテクノロジーが AI/ML ワークロードのある側面をたやすくサポートする一方、課題やギャップも残るため、革新やさらなる適応を行う機会も生じます」と、文書「Cloud Native Artificial Intelligence (クラウドネイティブの人工知能)」に記載されています。

 

CNCF: クラウドネイティブは AI のデプロイメントをどのようにサポートできるか

 

このホワイトペーパーは、AI および ML の手法の概要を提示し、CN テクノロジーが何を提供しているのかを説明し、データの準備、モデルトレーニング、ユーザーエクスペリエンスなどの分野における既存の技術的な課題について論じ、これらのギャップを克服する方法について考察しています。 

「このホワイトペーパーは、エンジニアとビジネス担当者に、変化するクラウドネイティブ人工知能 (CNAI) のエコシステムとその機会について理解するための知識を身に着けさせるものです」と、この文書には記載されています。

AI の計算能力の必要性について詳しくは、以下をご参照ください。

3 – バイデン政権が水処理施設へのサイバー攻撃に警鐘を鳴らす

上下水道処理施設のサイバーセキュリティに関する米国政府の懸念を強調した上で、ホワイトハウスは、全 50 州の代表者を招待し、この問題について議論しました。 

今週開催されたこのバーチャル会議は、サイバー防御におけるギャップを概説すること、政府、州、水処理プラントの代表者間の協力体制を育むこと、迅速にアクションを起こすことに焦点を当てていました。

「使用不能にするサイバー攻撃が、全米の上下水道システムに打撃を与えている」と、ホワイトハウスが 50 州の知事に送付した会議の招待状には記されています。

 

バイデン政権が水処理施設へのサイバー攻撃に警鐘を鳴らす

 

環境保護庁の長官である Michael Regan 氏と国家安全保障問題担当大統領補佐官である Jake Sullivan 氏によって書かれた書簡によると、水処理プラントは非常に重要なサービスを提供しているにもかかわらず、リソースや技術的ノウハウの不足により、サイバーセキュリティが弱い傾向にあります。

「多くの場合、デフォルトパスワードのリセットや既知の脆弱性に対処するためのソフトウェアのアップデートなどの基本的なサイバーセキュリティの予防措置でさえ実施されていません」と Regan 氏と Sullivan 氏は記しています。

サイバー攻撃からの上下水道システムの保護について詳しくは、以下の Tenable 資料をご覧ください。

動画

Marty Edwards, Tenable Deputy CTO for OT and IoT, testifies during congressional hearing “Securing Operational Technology: A Deep Dive into the Water Sector” (Tenable OT および IoT 代理 CTO の Marty Edwards が、議会の公聴会「オペレーショナルテクノロジーの保護: 水道業界の徹底解析」で証言)

4 - 重要インフラのリーダーが Volt Typhoon について警告

米国やその他の国のサイバーセキュリティ機関は、重要インフラのリーダーに、中国政府が支援するハッキング集団 Volt Typhoon から自組織を保護するための具体的な対策を取ることを求めています。

今週発表された共同のファクトシート「PRC State-Sponsored Cyber Activity: Actions for Critical Infrastructure Leaders (中国国家が支援するサイバー活動: 重要インフラリーダーのためのアクション)」によると、これらの政府機関は重要インフラ組織のリーダーに、直ちに以下のような具体的な対策を取るよう要請しています。

  • 検出と堅牢化のベストプラクティスを適用する
  • 経営幹部を含む企業全体からの代表者を、包括的なサイバーセキュリティ計画の開発に参加させる
  • 定期的な机上演習を実施する
  • 厳重なベンダーリスク管理プロセスを実行し、サードパーティリスクを軽減する
  • IT、OT、クラウド、サプライチェーン、ビジネスのチームの間でサイバーセキュリティ手法を調整する

「執筆した機関は、リーダーたちにサイバーリスクが中心的なビジネスリスクであることを認識するよう促しています。 そうした認識は、優れたガバナンスのために必要であると同時に、国家の安全の基盤となります」と、このファクトシートには記されています。

 

重要インフラのリーダーが Volt Typhoon について警告

 

米国、オーストラリア、カナダ、英国、ニュージーランドのサイバー機関が共同で発行するガイダンスが、同機関が IT と OT のセキュリティチームに向けて Volt Typhoon についての共同アドバイザリを発行した約 1 か月後に発行されます。

PRC State-Sponsored Actors Compromise and Maintain Persistent Access to U.S. Critical Infrastructure (中国国家が支援する攻撃者が米国の重要インフラを侵害し、永続的なアクセスを維持)」と題したその共同アドバイザリは、複数の重要インフラ組織の IT 環境と OT 環境に Volt Typhoon が静かに潜入しており、瞬く間に襲ってくる可能性があると警告しています。

5 - CSA が AI の安全性と AI のセキュリティを説明、対照、比較

もし皆様が、組織が AI を安全に、かつ責任を持って使用できるようにすることに関わっている場合、今週クラウドセキュリティアライアンスが発行した新しいブログ記事に興味を持たれることと思います。この記事では、AI のセキュリティと AI の安全性の共通点と相違点を掘り下げています。

AI のセキュリティがサイバー攻撃からの AI システムの保護に言及しているのに対し、AI の安全性は倫理規範や公正性の問題を包含しています。

CSA が AI の安全性と AI のセキュリティを説明、対照、比較


「AI の安全性と AI のセキュリティでは優先順位や焦点となる領域が明確に異なりますが、両者は密接につながっています。責任があり、信頼できる、安全な AI システムを構築するためには、両方に同時に対応する必要があります」と、「AI Safety vs. AI Security: Navigating the Commonality and Differences (AI の安全性と AI のセキュリティ: 共通点と相違点の解説)」と題する記事に記されています。 

取り組むべき AI セキュリティの項目には以下のようなものがあります。

  • データのプライバシー、可用性、完全性
  • モデルのセキュリティと完全性
  • システムの可用性

取り組むべき AI の安全性の問題は以下の通りです。

  • 透明性の不足
  • システムバイアス
  • 顔認証の人物誤認

「効果的な AI のガバナンスとリスク管理戦略は、設計、開発からデプロイメントや監視に至るまでの AI のライフサイクル全体を通して、どちらの領域も包含するものである必要があります」と、この記事には記されています。

AI のセキュリティと AI の安全性について詳しくは、以下をご参照ください。

動画

Building Safe and Reliable Autonomous Systems (安全で信頼できる自律システムの構築) (スタンフォード大学)

6 - McKinsey: 生成 AI のリスクを管理する 4 つのステップ

生成 AI の一連の流れは加速し続け、どこの企業も大急ぎでこのテクノロジーを導入していますが、そのリスクの適切な管理も必要不可欠です。

ガイダンスをお探しであれば、McKinsey が同社による記事「Implementing generative AI with speed and safety (高速で安全な生成 AI の実装)」の中で提供している最新のアドバイスをご参照ください。

具体的にいうと、この経営コンサルティングファームは、企業が以下の 4 つのステップを実行することを推奨しています。

  • セキュリティ脅威、サードパーティリスク、悪意のある使用、知的財産権の侵害などの外部からのリスクを把握し、それに対処する。
  • 生成 AI を使用するケースを一覧化し、カスタマーサービス用のチャットボットにおけるバイアスなどの潜在的なリスクを特定し、緩和とガバナンスの戦略の概要を説明する。
  • 機能の枠を超えた生成 AI の運営グループの作成、責任ある AI のガイドラインとポリシーの作成、スタッフの AI スキルの育成などによって、既存のガバナンスを適応させ、拡張する。
  • 生成 AI のライフサイクルを通して、設計者、エンジニア、管理者、ユーザーの 4 つの重要な役割がどのように相互作用していくかについての運用モデルを開発する。

生成 AI のリスク管理について詳しくは、以下をご参照ください。

関連記事

役立つサイバーセキュリティ関連のニュース

Tenable エキスパートからのタイムリーな警告とセキュリティガイダンスを見逃さないように、メールアドレスをご入力ください。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームにフルアクセスし、これまでにない精度で全資産の表示および追跡が可能です。

Tenable Vulnerability Management トライアルには、Tenable Lumin と Tenable Web App Scanning も含まれています。

Tenable Vulnerability Management

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

100 資産

サブスクリプションオプションを選択してください。

今すぐ購入する

Tenable Web App Scanning を試す

Tenable One サイバーエクスポージャー管理プラットフォームの一部として、最新のアプリケーション向けに設計された最新のウェブアプリケーションスキャンサービスを完全な形でご利用いただけます。手作業による労力や重大なウェブアプリケーションの中断なしに、脆弱性のオンラインポートフォリオを安全に高精度でスキャンします。 今すぐサインアップしてください。

Tenable Web App Scanning トライアルには、Tenable Vulnerability Management と Tenable Lumin も含まれています。

Tenable Web App Scanning を購入

最新のクラウドベースの脆弱性管理プラットフォームの全機能にアクセスして、これまでにない精度で全ての資産を確認、追跡しましょう。 年間サブスクリプションをご購入ください。

5 FQDN

3,578ドル

今すぐ購入する

Tenable Lumin を試用する

Tenable Lumin で、サイバーエクスポージャー管理の視覚化と調査、経時的なリスク削減の追跡、同業他社とのベンチマークの実施が可能です。

Tenable Lumin トライアルには、Tenable Vulnerability Management と Tenable Web App Scanning も含まれています。

Tenable Lumin を購入する

営業担当者に連絡することで、Tenable Lumin がどのように組織全体のインサイトを獲得し、サイバーリスクを管理するのに役立つかをご確認いただけます。

無料で Tenable Nessus Professional を試す

7 日間無料

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。

新 - Tenable Nessus Expert
利用可能に

Nessus Expert にはより多くの機能が追加されています。外部アタックサーフェスのスキャン機能や、スキャン対象となるドメインの追加とクラウドインフラのスキャンなどが含まれています。Nessus Expert を試してみるにはここをクリック。

Nessus Pro のトライアルをお求めの場合、下のフォームに入力してください。

Tenable Nessus Professional を購入

Tenable Nessus は、今日の市場で最も包括的な脆弱性スキャナーです。Tenable Nessus Professional は、脆弱性スキャンプロセスの自動化を支援し、コンプライアンスサイクルの時間を節約し、IT チームの関与を可能にします。

複数年ライセンスをご購入いただくと割引が適用されます。拡張サポートを追加すると、24 時間x365 日、電話、コミュニティ、チャットサポートにアクセスできます。

ライセンスをお選びください

複数年ライセンスをご購入いただくと割引が適用されます。

サポートとトレーニングを追加

無料で Tenable Nessus Expert を試す

7 日間無料

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

すでに Tenable Nessus Professional をお持ちですか?
Nessus Expert にアップグレードすると、7 日間無料でご利用いただけます。

Tenable Nessus Expert を購入

最新のアタックサーフェス用に構築された Nessus Expert を使用すると、拡大された領域が可視化でき、IT やクラウド資産に潜む脆弱性から企業を保護できます。

ライセンスをお選びください

複数年ライセンスの場合、よりお求めやすい価格でご購入いただけます。

サポートとトレーニングを追加