RSA Conference 2024を振り返る～データガバナンス、そしてAI～

「RSA Conference 2024」が2024年5月6～9日に米国サン・フランシスコで開催されました。2024年は、米国やEUを始めとして世界各国で選挙が実施され、また多くの紛争が進行中であり、なおかつAIによる技術革新が急速に進んだ結果、情報漏洩を含むセキュリティリスクがより一層高まっている年と言えます。連邦政府、政府機関、多国籍企業、地域団体等の組織の運営に際して、サイバーセキュリティの重要性がより一層増しています。カンファレンスでは、このような背景に関連したテクノロジーの最新動向が紹介されました。そして、これは同時に、セキュリティリーダーが今最も重要視している事柄を反映することになりました。

データガバナンス

カンファレンスでは、データガバナンスがセキュリティ上の最優先事項として紹介されていました。データガバナンスとは、組織が保有するデータ資産を効果的かつ安全にビジネスに活用できるようにする活動です。すなわち、組織がデータを収集、蓄積、活用、設計、運用、保守するにあたり、組織全体での方針、プロセス、ルール、体制を定め、これを監視、評価、サポートすることで、データ活用による効果の最大化とリスクの最小化を実現する取り組みです。

これまで、データガバナンス関連の技術的議論の的となっていたのは、DSPM（Data Security Posture Management）と、DDR（Data Detection and Response）でした。

DSPMでは、データセキュリティの状態を評価し、潜在的なリスクと脆弱性を特定・分類し、セキュリティ制御を実装してこれらのリスクを軽減します。さらに、セキュリティポスチャの有効性を確実にするために、それを定期的に監視および更新します。それにより、機密データの場所、そのデータへのアクセス権を持つユーザ、データの使用方法、そして、データまたはアプリケーションのセキュリティポスチャに関する可視性を提供します。

DDRでは、データ自身の保護に重点が置かれ、機密データの移動、アクセス、使用を追跡します。データの流出をリアルタイムに検出し、影響を受けるシステムをブロックまたは隔離し、データ損失を防ぎ、侵害の影響を最小限に抑えます。また、機密情報の取り扱いにおいてEU一般データ保護規則（GDPR）などの規制に準拠するのに役立ち、コンプライアンス強化にもつながります。

今日では組織は、プロアクティブな防御手段であるDSPMと、レジリエントな保護を提供するDDRの導入という目標を達成しつつあるため、より強力に機密情報を保護するセキュリティ体制を構築し、次のチェックリストをセキュリティ対策のために活用することを重要視しているようです。

1.個人データはどこに保存されているか
2.データへのアクセス権は誰に設定されているか
3.個人データに関連したリスクは何か
4.適用されるセキュリティプロトコル及びポリシーは何か
5.個人データ管理に関連して適用されるセキュリティポスチャは何か
6.データまたはデータアクセスに関して重大な変更があったか

AI関連のリスクおよび脅威に対する取り組み

カンファレンスにおいて、スタートアップのコミュニティは、AI主導の世界で拡大する「Machine-to-Machine（機械による相互通信）」のリスクや「Synthetic Media（合成メディア）」関連の脅威を軽減するために必要な対策を紹介していました。「Machine-to-Machine」とは、人間が介在せずに機械同士が直接情報を交換する技術を指します。また、「Synthetic Media」とは、AI技術を用いてコンテンツを作成することができるメディア（ソーシャルエンジニアリング、画像や音声の合成技術によるディープフェイク等）を指します。これらのメディアは大きな影響力を持つため、サイバーセキュリティテクノロジーベンダー、連邦政府、そして、ソーシャルメディアプラットフォームプロバイダは、このセキュリティ上の課題に立ち向かうために早急に連携する必要があります。

さらにカンファレンスでは、組織内で安全にAIを導入するための様々なアプローチも注目を集めました。
トレンドマイクロでは、「Trend Vision One - Zero Trust Secure Access - AI Service Access」を2024年8月1日より提供開始します。本ソリューションでは、法人組織が利用、提供する生成AIサービスを、プロンプトインジェクションをはじめとしたサイバー攻撃から保護するとともに、自社の従業員による生成AIサービスを通した情報漏洩を防ぎます。
法人組織では、自社が運用するプライベートな生成AIサービスとChatGPTをはじめとしたパブリックな生成AIサービスの両方において、このように社員が安心・安全にAIを利用するためのセキュリティ対策を講じることが求められます。

また、昨年から引き続きSOC（Security Operation Center）において生成AIを活用する重要性が高まっています。今後、SOCのAI利用の現場では、「ユーザ主導のAIエクスペリエンス」から、「AI主導のユーザエクスペリエンス」にシフトする可能性があります。前者は主にチャットスタイルのインターフェースを意味します。後者は生成AIアシスタントがテレメトリソースや脅威インテリジェンスフィードに基づいて、優先順位付け、タスク、ガイダンスなどを状況に応じてプロアクティブに表示することを意味します。

NGSIEMとXDR

RSA Conference 2023では、XDRの急速な普及が注目されました。そして、2024年のカンファレンスでは、新技術である「NGSIEM（Next-Gen SIEM：次世代SIEM）」に対する関心の高さが伺えました。これは、セキュリティチームが次世代SIEMへの投資に多くを期待している現れでもあります。

従来型SIEMでは、様々なデバイスやアプリケーションからのイベントやログを収集し、管理・分析します。事前に設定したルールやアルゴリズムに従って分析し、異常なアクティビティや攻撃の兆候を検出、セキュリティ担当者にアラートを通知します。一方、大量のログデータを処理する必要があるため、適切なハードウェアやストレージリソースに加えて、分析やログ管理を行う担当者のスキルも必要です。また、誤検知やアラート過多に対する継続的なチューニングやルールの改善も必要です。さらに、サイバー攻撃の可能性があるイベントかどうかの判断は基本的に運用者の「人間の勘」に頼る部分が大きいです。インシデント対応の支援も行いますが、実際の対応手順については別の製品が求められることもあります。

次世代SIEMには、機械学習で日々のユーザや機器の振る舞いを分析し、普段と異なる異常行動を早期に検知するUEBA（User and Entity Behavior Analytics）を実装することで、事前にルール化できない未知の脅威や、内部不正の検知への有効性を謳ったもの、ルールの設定やログ分析を自動化し、専門知識がなくても異常な振る舞いや攻撃を検知することができることを謳ったものもあります。

これに対しXDRでは、SIEMとの相違点として、セキュリティイベントだけでなく、エンドポイントのファイルやプロセスの情報、ネットワークのトラフィックデータなども収集します。XDRを提供するベンダーのスレットインテリジェンス（マルウェア、不正サイト、不正メール、サイバー攻撃者が用いる攻撃手法など）に基づいて、収集したデータに対してサイバー攻撃の兆候を判断します。さらに、自動化とオーケストレーションの機能を備えており、セキュリティインシデントの迅速な対応を支援します。検出した脅威の分析、リアルタイムで対応ガイダンスが提示されます。

セキュリティ上の観点からは、XDRは依然として、脅威の検知と対応において非常に効果的な選択肢と考えられます。一方、実用的観点からは、NGSIEMが現実的な選択肢となり得る組織もあると思われます。NGSIEMの導入にあたっては、それが上述のような「進化した形態」であるかどうかをしっかり見極めることが必要になるでしょう。

本記事は2024年5月28日にUSで公開された記事「RSAC 2024 Review: AI & Data Governance Priorities」の抄訳です。

＜関連記事＞
・ディープフェイクとは
・人間はディープフェイク音声を識別できるのか？～第6回セキュリティリーダーのためのマクロ環境分析～
・SIEM(Security Information and Event Management)とは