1991年から続くRSA Conference(以下、RSACという)は、情報セキュリティ会社のRSA社が主催する世界最大級のサイバーセキュリティカンファレンスで、毎年4万人以上のセキュリティ関係者が世界中から参加しています。今回は、RSACから見たセキュリティのトレンドについて3点取り上げます。
青木 恒存
Business Development
and Alliance Group(BDAG)
Marketing Director
日立ソリューションズ入社後、サイバーセキュリティに10年以上従事。主に自社および他社のセキュリティソリューション拡販を担当。2022年4月からHitachiSolutions America出向。
2024年は5月6日から9日に北米サンフランシスコに位置するモスコーニ・センターで開催されました。グーグル社やマイクロソフト社、シスコ社など名だたる企業のエグゼクティブによるセッションやパネルディスカッション、大小様々なブース展示、スタートアップによるピッチコンテストなどのほか、会場周辺のホテルでも企業が独自にイベントを開催していました。
RSAC2024のテーマは「The Art of Possible」。これには「今日の脅威を先取りし、未来の課題を予見するには、私たちコミュニティの"協力的な経験"と"直感"を信頼することが重要。ある意味、私たちは皆アーティスト。より安全な世界を形づくるために、コミュニティ全員で作品をつくり上げることが不可能を可能にするのだ」というメッセージが込められています。
今回は、RSACから見たセキュリティのトレンドについて3点取り上げます。
会場の様子。今年のRSAC2024では、昨年と比較して多くの企業が製品やサービスにAI機能を組み込み、
AIを活用した実用的なセキュリティ機能を提案していました
注目の技術はやはりAI関連です。セキュリティ業界では2010年代からAIが導入されていますが、今年のRSACでは生成AIを実装する企業が急増し、そういった企業ほど「AI-Native~」「AI-Powered~」といった表現で新規性を強調していました。
技術的には以前からあるAIも生成AIもAIに区分されますが、導入目的や効果が違います。従来のAIは機械学習や深層学習を基盤とし、事前にプログラムされた規則やアルゴリズムに基づいて特定のスクを実行することにたけています。一方、生成AIは大規模言語モデルや自然言語処理に特徴があり、データのパターンを学習して新しいデータを生成することができます。分かりやすいところではAIアシスタントが自然言語で回答するような機能です。これらは主に「AI for Security(セキュリティのためのAI)」ですが、同時に「Security for AI(AIのためのセキュリティ)」も考えなければなりません。
つまり、AIを脅威から守る、AI利用時の漏洩を防ぐ、責任あるAIを提供するといった観点です。RSACではAIの発展によるセキュリティの影響や効率化を焦点とした新製品の発表や議論が多く、これを「AIとセキュリティの交差点」と表現していたことが印象に残りました。
RSAC恒例企画の1つ、セキュリティ研究・教育機関のSANSインスティチュート社(以下、SANS)によるパネルディスカッションも見応えがありました。今年取り上げられた脅威は下記の5項目です。
①技術的負債のセキュリティへの影響
②AI時代の合成アイデンティティ
③Sextortion
④選挙における生成AIの脅威と対策
⑤脅威の乗数としての攻撃的AI
①の技術的負債とは、ソフトウエア・エンジニアリングやシステム設計において、最低限実行可能な状態で稼働させるためにあえて先送りした作業のこと。その時点では問題がなくとも、適用を先送りしたパッチなどが蓄積されれば、いずれまとめて更新が必要になりますし、PerlやJAVAのような古い言語は使いこなせるエンジニアが減って対応が難しくなる可能性が指摘されています。ただ、この脅威には「古いコードのレビューと書き直しに時間を割く」などの解決策が提示され、簡単ではないものの、手を打つことはできそうです。
②は、AIの進展で手軽にオンラインサービスで偽の身分証画像を作成され、悪用された事例を紹介していました。偽造を見抜くためには複数の認証技術を組み合わせる方法がありますが、コストやユーザーの手間も考慮しなければなりません。
③のSextortionとは、性的情報を用いた恐喝のこと。画像が本物の場合もありますが、②の技術を用いれば偽の画像作成が可能です。残念ながらこの件は具体的な対策がなく、被害に遭わないように注意するとともに、偽の情報を信じないという社会全体の教育も必要との見解が示されていました。
④の脅威はすでに主要なプラットフォームのすべてに存在します。突拍子もない情報であっても、拡散すれば真実と偽情報の境界が曖昧になります。そういった積み重ねは選挙プロセスへの信頼低下を招き、民主主義の基盤が脅かされる恐れがあります。
⑤は自動化とAIによって攻撃力/攻撃者が増加するという意味です。マルウェアは技術があるハッカーしか作成できませんでしたが、自然言語でマルウェアがつくれるサイトが登場し、攻撃的なマルウェアが一気に増加する可能性が指摘されています。
今回で19回目を迎えるピッチコンテスト「イノベーションサンドボックス」の様子。
アーリーステージのスタートアップ企業10社の多くがAIを実装
このようにAIの台頭でいままでにない脅威が生まれていますが、それに立ち向かう新しい提案もありました。
「イノベーションサンドボックス」はゲームチェンジャーとなり得るサイバーセキュリティのスタートアップが集結するピッチコンテストで、10社が登壇し、3分間のピッチを行いました。
第1位に選ばれたのは、ディープフェイクの検出と保護に関するソリューションを持つ企業で、「従来のセキュリティとは異なるアプローチ」「非常に解決が難しい&経済的脅威の大きい課題に取り組んでいる」といった点が評価されました。アメリカでは今年11月に大統領選挙があり、ディープフェイクへの意識が高まっていることも関係しているかもしれません。
第2位はワークロード・アイデンティティ・アクセス管理プラットフォームを提案した企業。「ワークロード」とは、コンピューターシステムやネットワーク上で実行する様々な処理やリソースを指します。クラウドやSaaSなどを利用する際に重要なワークロードのアクセスを管理する技術を開発することによって安全性向上と管理の工数削減ができると期待されます。今後はAIの活用により、ネットワークの高度化、複雑化が進んでいくため、こうした技術への注目度が高まっていくと思われます。
RSAC2024では、生成AIのインパクトを再認識しました。新たな脅威が現れる中で、それに対応するセキュリティも進化しています。今後も革新的なスタートアップとの協業を通じて、皆様に新たな価値を提供していきたいと思います。
