-
Analyst's Choice
2FA
Cyber Intelligence
EDR
GmailとMS 365の利用者は注意を:フィッシングキット「Tycoon 2FA」の概要と対策
Rory
2024.04.16
-
Analyst's Choice
AI
ChatGPT
Cyber Intelligence
DarkGPT – ChatGPT-4を活用した、流出データベース検出のためのOSINTツール
Rory
2024.04.15
-
Analyst's Choice
Cyber Intelligence
GitHub
Intelligence
脅威アクターがGitHubを不正な目的で悪用するケースが増加
Rory
2024.02.07
米CISA、今後3年間のサイバーセキュリティ戦略計画を発表
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)が、2024〜2026年(会計年度)のサイバーセキュリティ戦略計画を発表。この計画は、損害につながるようなサイバー攻撃が稀にしか起こらず、諸組織のレジリエンスが確立され、またテクノロジーの安全性が設計段階から実現されているような将来を目指して策定されたもの。その実現にあたり、「差し迫った脅威へ対処する」、「地盤を固める」、「大規模にセキュリティを推進する」という3つの主要な長期目標と、関連する複数の短・中期的目標が定められている。
長期目標①:差し迫った脅威へ対処する
CISAが設定した1つ目の長期目標は、米国のネットワークがあまりにも容易に悪意あるアクターから狙われてしまっている現状を変えるための目標。この目標のもと、敵対者が米国のネットワークを侵害した場合にそれを早急に検出して損害が生じる前にこれを排除できるようにすることと、悪用が可能な状態が発覚した際にもこれを即座に検知して侵入行為が生じる前に対処することが目指される。
関連する短・中期的目標
・サイバーセキュリティに対する脅威やキャンペーンを把握しやすくすること、またこれらに対処する能力を高めること。
・重大で悪用可能な脆弱性の統一的な開示、ハンティング、および対処を推進すること。
・合同サイバー防衛作戦を計画、演習、実行し、重大なサイバーセキュリティインシデントへの対応を連携して行えるようにすること。
長期目標②:地盤を固める
リスク管理とそれに必要なセキュリティ関連投資とのバランスが取れていない組織が多数存在する状況を踏まえ、このバランスの変革を目指す目標。CISAは、リソースが乏しい組織へリスク管理と予算のギャップに対処するための支援を提供したり、米国のサイバーセキュリティの状況を継続的に測定して注力や投資が必要な領域を把握したりすることなどにより、この変革を実現させるとしている。
関連する短・中期的目標
・実際の攻撃がどのように行われ、どうすれば阻止できるのかを理解すること。
・効果測定の可能なサイバーセキュリティ関連投資の実施を推進すること。
・ギャップを埋めるため、また進捗状況を測定するために役立つサイバーセキュリティ関連の機能とサービスを提供すること。
長期目標③:大規模にセキュリティを推進する
テクノロジーは、市場に出る前の段階で悪用可能な脆弱性を最小限に抑えるべく設計・開発・テストされるべきであるという前提のもと、現在よりもテクノロジー製品の安全性が高まった未来を目指す目標。AIの採用により生じるリスクや、量子コンピューターの発展により生じるリスクを軽減することなども目指される。
関連する短・中期的目標
・信頼に足るテクノロジー製品の開発を推進すること。
・新たなテクノロジーがもたらすサイバーセキュリティリスクを理解し、軽減すること。
・国家レベルのサイバー人材育成に貢献すること。
CISAのガイダンスは日本企業にとっても参考に
今回CISAが発表したサイバーセキュリティ戦略計画は、主に米国に関するものであり、日本企業に直接関連するものではないかもしれない。しかし、CISAはこの計画のもと、新たにガイダンスの提供などを行うと述べており、こうした公開ガイダンスは日本企業にとっても参考になるだろうと考えられる。特に、まだ情報が少ないAIや量子コンピューターなどの最新テクノロジーが悪用された場合のリスクに関するガイダンスは、貴重な情報源となるかもしれない。
(情報源:CISA “CISA CYBER SECURITY STRATEGIC PLAN FY2024-2026”、SecurityWeek “CISA Unveils Cybersecurity Strategic Plan for Next 3 Years”)
8月8日:その他の注目ニュース
Zoom、一部ユーザーデータでAIモデルを訓練 オプトアウトオプションを付与せず
Security Affairs – August 7, 2023
Zoomが利用規約を変更し、利用者にオプトアウトの選択肢を与えることなく、データの一部を利用してAIモデルを訓練することをユーザーに通知した。この更新は7月27日から有効となり、利用者がこの新規約を受け入れることで、同社は顧客データの一部をAIモデルの学習に利用する権利を得ることになる。
Zoomが使用できる情報には、製品の使用状況に関する顧客情報、遠隔測定データ、診断データ、および同社が収集した同様のコンテンツやデータが含まれる。
今回同社によりこのような変更がなされた一方で、ユーザーのデータを使った機械学習やAIモデル訓練のあり方についての専門家による議論は、今なお続いている状況だ。同社は、ユーザーのコンテンツはAIサービスの精度を高め、ユーザーの体験を向上させるためにのみ使用されると説明している。また、ミーティングの音声や動画、チャットメッセージについては利用者の同意なく利用することはないとのこと。
イラク、プライバシー問題めぐりTelegramを遮断
2023年8月6日以降、イラクの人々はVPNサービスの利用なしにTelegramにアクセスすることができなくなった。これは同政府が、国家安全保障上の懸念をめぐって同プラットフォームをブロックしたためだという。この措置は、ユーザーの個人データの完全性を保持するために、同国の通信省が出した命令を受けてなされた模様。
Telegramは、ニュースへのアクセスやコンテンツの共有ツールとしてイラク全土で広く使われていた。それが禁止されたことで、多くの人々が身の回りで起きていることを知ることができなくなる可能性がある。
英国を拠点とするインターネット監視団体NetBlocksによると、イラクの大手プロバイダーであるZainとEarthlinkによってホストされるTelegramのフロントエンドとバックエンドへのアクセスは制限されているが、一方でクルドの通信事業者であるKurdistan NetやKorek Telecomではサービスが利用可能なままであるとのこと。また同団体は、「この種の混乱は政府のインターネット検閲措置を回避できるVPNサービスを使えば対応できる」と断言している。
