サイバーセキュリティニュース: 米政府が賞金数百万ドルの AI サイバーツールコンテストを開催、NIST がサイバーセキュリティフレームワークを刷新

AI を活用した新しいサイバーセキュリティ製品のアイデアはありませんか? 数百万ドルの賞金を獲得できる新しいコンテストに応募してみてはいかがでしょう。その一方で、NIST は大幅に改定した CSF 2.0 のドラフト版を発表しており、一般の意見を募集しています。 また、公開されている AI モデルのセキュリティの弱点にフラグを立てる、新しい無料ツールが登場しました。 さらに、大半のクラウド侵害は、認証手順のミスが原因です。 このブログではその他の関連トピックもご紹介します。

8 月 11 日までの 1 週間で最も気になる 6 つのトピックを徹底解析します。

1 – ホワイトハウス主催の AI サイバーツール開発促進コンテスト

ホワイトハウスと国防高等研究計画局 (DARPA) は今週、AI を活用したサイバーセキュリティ製品の開発の推進を目的として、賞金約 2,000 万ドルの 2 年間にわたるコンテストを開催すると発表しました。

ラスベガスで開催された Black Hat USA 2023 カンファレンスで発表された Artificial Intelligence Cyber Challenge (AIxCC) は、AI のパワーを活用した次世代サイバーツールの作成に関心のある、コンピュータ科学者、AI 専門家、ソフトウェア開発者、サイバーセキュリティの熟練者を対象としています。

AI ベンダーの Anthropic、Google、Microsoft、OpenAI が自社の技術と専門知識を提供することで参加者を支援し、Open Source Security Foundation (OpenSSF) がアドバイザーとして参加します。

小規模な企業は、7 社の中小企業を金銭的にサポートする「資金援助トラック」の一環として参加することができます。 それ以外のチームはすべて「オープントラック」で参加できます。

応募チームによる企画書の提出後、最大 20 組が選ばれ、2024 年 8 月に DefCon で開催される準決勝大会に出場します。 最高得点を獲得した 5 チームに賞が授与され、2025 年 8 月の DefCon における決勝大会に挑みます。

「AIxCC が成功すると、次世代のサイバーセキュリティツールが生み出されるだけではなく、AI をどのように活用すれば、社会の重要な基盤を守り、より良い社会を築けるかが示されることになるでしょう」と DARPA の AIxCC プログラムマネジャーである Perri Adams 氏は発表しています。

詳細については、ホワイトハウスの発表、DARPA の発表、OpenSSF の発表、AIxCC のウェブサイトをご覧ください。

2 – NIST は Cybersecurity Framework 2.0 のドラフト版を発表

米国 米国標準技術研究所 (NIST) は、今週公開した Cybersecurity Framework 2.0 のドラフト版について、一般の意見を募集しています。コメントしてみませんか?

2014 年に最初にリリースされたフレームワークの「メジャーアップデート」とされているこのドラフトは、対象範囲を拡大し、「統治 (Govern)」という 6 番目の機能を追加しています。また、改訂されたガイダンスを通じてその実装を簡素化することを目的としています。

たとえば、このフレームワークは当初、米国の重要なインフラ組織の保護に特に重点を置いていましたが、現在は、規模、タイプ、業種に関係なく、世界中のあらゆる種類の組織を網羅することを目指しています。

それと同時に、リスク管理戦略、組織の背景、サイバーセキュリティのサプライチェーンリスク管理、ポリシー、プロセス、手順などの分野に対応する新たな「ガバナンス (Govern)」機能が追加されました。 

他の 5 つの機能は以下のとおりです。 

• 識別: 組織のサイバーリスクの評価に重点を置く
• 防御: サイバーリスクの予防と削減のための対策の導入について 
• 検出: サイバー攻撃と侵害の発見および分析を中心とする 
• 対応: サイバーインシデント発生後の処置に専念
• 復旧: 影響を受けた資産と業務の復旧に重点を置く

ドラフト文書には「NIST Cybersecurity Framework (Framework または CSF) 2.0 は、組織がサイバーセキュリティリスクとそのリスクを軽減する行動についての理解、評価、優先順位付け、伝達を行えるようにすることで、サイバーセキュリティリスクを軽減するためのガイダンスを提供します」と記載されています。

この CSF 2.0のドラフト版について、NIST にご意見をお寄せください。 コメントは、2023 年 11 月 4 日までに [email protected] までメールでお送りください。 NIST は、このドラフトが現在および予想されるサイバーセキュリティの課題に対処し、確立された慣行や指針に沿ったものであるかどうかについて、特に一般の意見を重要視しています。

NIST は、2024 年初めに CSF 2.0 の最終バージョンを公開する予定であり、その時点で 2018 年にリリースされた CSF 1.1 から正式に置き換える予定です。

詳細については、CSF のホームページ、NIST の発表、ドラフトの要約および全 52 ページのドラフト文書をご覧ください。

3 – オープンソースツールが AI モデルのサプライチェーンリスクを検出

現在、あなたの組織では公開リポジトリから取得した人工知能モデルを使用していますか? そのモデルは安全であると確信が持てますか? そうでない場合、公開されている AI モデルにおけるサプライチェーンの脆弱性とリスクにフラグを立てるよう設計された、新しい無料のオープンソースツールの試用をお勧めします。

この AI Risk Database は 3 月に AI ベンダーの Robust Intelligence によって開発され、その後、MITRE との協力でさらに改良され、今週 GitHub で新しいバージョンが公開されました。 インディアナ大学も、この共同開発に加わっています。

「今回の AI Risk Database の共同開発とリリースによって、より多くの組織が、特定のタイプの AI 対応システムの導入においてどれほどリスクに直接さらされ、脆弱であるかを自ら確認できるようになります」と MITRE のエンジニアリングおよびプロトタイピング担当副社長の Douglas Robbins 氏は声明で述べています。

3 つの組織の代表者が、ラスベガスで開催された Black Hat USA 2023 の 2 回のプレゼンテーションで、この AI Risk Database を取り上げました。

詳しくは、MITRE と Robust Intelligence の発表をご覧ください。

サイバーセキュリティに AI を使用する方法について詳しくは、以下の Tenable 資料を参照してください。

• CSA、組織で ChatGPT を安全に活用する方法に関するガイダンスを提供
• Tenable One の ExposureAI を活用して 予防的サイバーセキュリティを実現
• 生成系 AI を活用した 革新的なサイバーセキュリティの未来
• 生成 AI はセキュリティリサーチをどのように変えているのか

生成 AI はセキュリティリサーチをどのように変えているのか。 G-3PO ツールの開発

4 – Google: クラウド侵害の大部分は認証関連が原因

2023 年第 1 四半期に Google Cloud のインシデント対応チームが確認したクラウド侵害の約 62% は、脆弱なパスワードやパスワードの欠落、認証情報の漏洩に起因していました。

Google は、同社のサイバーセキュリティアクションチームによる「August 2023 Threat Horizons Report」の中で、この「定常的な問題」の影響を受けた企業は、アイデンティティ管理のソリューションとプロセスを強化すれば対処できるだろうと述べています。 

(出典: Google サイバーセキュリティアクションチーム「August 2023 Threat Horizons Report」)

31 ページから成るこのレポートのその他の調査結果は次のとおりです。

• サイバー犯罪者は、まず、一見正当に見える Android アプリケーションの承認を Google Play ストアで得ます。そして、未承認のチャネルを介して気付かれないようにバージョンの更新を行い、悪意のある機能を追加します。 このタイプの脅威に対する企業の軽減策を以下に示します。
  • エンタープライズモビリティ管理システムの導入
  • ユーザー向けの事前承認済みのアプリケーションリストの作成

• Google の Chronicle Security Operations による匿名化されたアラート統計の分析によると、Google Cloud Platform のアクセストークン生成許可を複数プロジェクトにまたがって乱用することが、侵害につながる可能性のある、圧倒的に最もリスクの高い行動でした。

(出典: Google サイバーセキュリティアクションチーム「August 2023 Threat Horizons Report」)

詳しい内容については、レポート全文をご覧ください。

ID およびアクセス管理のセキュリティについて詳しくは、以下をご覧ください。

• Identity Defined Security 101 Best Practices (Identity Defined Security の 101 のベストプラクティス) (Identity Defined Security Alliance)
• Identity and Access Management: Recommended Best Practices for Administrators (ID およびアクセス管理: 管理者に推奨されるベストプラクティス ) (CISA / NSA)
• Active Directory の攻撃経路を排除する: 権限昇格の防止に関する詳細 (Tenable)
• Why IAM’s identity-first security is core to zero trust (IAM のアイデンティティファーストセキュリティがゼロトラストの核となる理由) (Venture Beat)
• Tool sprawl, technical complexity hamper identity security (ツールの無秩序化、技術の複雑化がアイデンティティセキュリティの妨げに) (Tenable)

5 – CISA がサイバーセキュリティ戦略計画を発行

「サイバー脅威は稀に起きる出来事となりました。 組織は安全で、サイバー攻撃に耐えることができます。 テクノロジー製品は本質的に安全です」

現在、以上のような主張は真実ではありませんが、 米国サイバーセキュリティインフラストラクチャセキュリティ庁 (CISA) は、新たに発表されたサイバーセキュリティ戦略計画で述べているように、このような主張が現実になるようにしたいと考えています。

「私たちは、向かうべき未来の姿をしっかりと見据える必要があります。その未来では、損害をもたらすサイバー侵入は (よくあることではなく) 驚くような異常事態であり、組織は安全で回復力があり、テクノロジー製品は設計上、またデフォルトで安全であり保護されています」と、この計画書に記述されています。

この計画は、今後 3 年間における CISA のサイバーセキュリティミッションの概要を示すもので、主な 3 つの目標を掲げています。

• 差し迫った脅威には以下の方法で対処すること
  • サイバー脅威の可視性と軽減策を向上させる
  • 重大な脆弱性の開示、検出、軽減策を調整する
  • サイバー防衛業務とインシデント対応を計画して実行する
• 現在の態勢を以下の方法で強固なものにすること
  • 攻撃がどのように発生するか、また阻止の方法を理解する
  • 効果的なサイバーセキュリティ投資を推進する
  • サイバーセキュリティサービスのギャップを埋める
• 以下の方法でセキュリティを大規模に推進すること
  • 安全なテクノロジー製品の開発を促進する
  • 新興テクノロジーのサイバーリスクを把握して削減する
  • サイバー意識の高い従業員の育成を支援する

詳細については、CISA の発表と計画文書全文をお読みください。

詳細情報

• CISA seeks to address visibility, resilience in 3-year strategic plan (CISA、3 年戦略計画において可視性と回復力に取り組む) (Cybersecurity Dive) 
• CISA strategic plan aligns with National Cybersecurity Strategy (CISA 戦略計画は国家サイバーセキュリティ戦略と足並みを揃える) (SC Magazine)
• The next step in CISA’s maturity is its new cyber strategic plan (CISA の成熟度を高めるための次のステップは、新たなサイバー戦略) (Federal News Network)

6 – バイデンが米国の対中 AI 投資制限を要請

バイデン政権は今週、国家安全保障上の懸念を理由に、人工知能、マイクロエレクトロニクス、量子コンピューティングなどの分野で、中国を含む特定の「懸念国」における米国の技術投資を規制する大統領令を発令しました。

この大統領令は、財務省が実施と管理を主導する国家安全保障プログラムの創設を命じています。

「このプログラムは、懸念される諸外国の軍事、諜報、監視、サイバー活動能力の開発を支えるのに不可欠な一連の限定されたテクノロジーに対する米国の投資を、それらの国が悪用し、米国の国家安全保障を危険にさらすことを防ぐことを目的とするものである」とホワイトハウスの発表に記載されています。

現在、財務省はこの大統領令のプログラムを実施するための法令を策定するために、一般からのフィードバックを収集しています。 法令の草案は後日発表される予定です。

詳細は以下をご覧ください。

• 懸念国における特定の国家安全保障技術および製品に対する米国投資の対応に関する大統領令
• ホワイトハウスの発表
• 財務省の発表
• 大統領令のプログラムのホームページ
• 財務書による FAQ