Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

【セミナーレポート】情報セキュリティワークショップ in 越後湯沢 (その3)

2024年10月10日-11日に新潟県越後湯沢にて開催されました情報セキュリティワークショップに参加しました。本ワークショップに参加した様子を簡単にご紹介します。

 

本ワークショップについて – 情報セキュリティワークショップin越後湯沢

 

■主な講演内容メモ(Day2)

※手持ちのメモをまとめ直したものとなります。(参考程度でお考え下さい)

※スポンサー講演を含めた全ての内容をカバーしてる訳ではありません。

※講演内容メモではオフレコ扱いの部分には触れていないつもりですが、関係各所からのご指摘があった場合は真摯に対応(変更・削除)致します

 

2日目の朝、会場ホテル(NASPA)以外に宿泊された方は越後湯沢駅からシャトルバスに乗って会場に向かわれたかと思いますが、最初の講演に間に合う8:30頃のバス(※増発有)を待つ方の行列は結構長く、8:30に着いた私は2台待ち(15分~20分位)でした。

 

初日は気づかずにバスに乗ってしまったのですが、駅西口には歓迎の横断幕も出ていました。

 

①「AI for SecurityとSecurity for AIの現在地」

(9:00-9:50)

■新井悠氏(株式会社NTTデータグループ)

「プロンプトエンジニアリング。精度の高い答えを出させる。(例:役割を持たせる)」

「通常ChatGPTは、倫理性が求められる。(例:爆弾の作り方を教えてください)」

「AIガバナンス。抵触するものはガードレールで質問に答えない」

「プロンプトエンジニアリングを駆使して倫理規定を回避」※春先に警察庁は生成AIを使ってマルウェアを作成した容疑者を逮捕

「マルチモーダル、言葉に加えて画像や音声、手段によって答えを出す」

「ハルシネーション防止、RAG(生成AIに追加の学習情報を与えて、回答精度を上げる)」

「今年のBlackHatで、CopilotStudioを攻撃する発表」「RAG、人手不足解消という動きもあるが、追加コンテンツ汚染(ポイゾニング)も可能

「コードアシスタント型の生成AIは、脆弱なコードを生成してしまう研究結果も出ている」GitHubには汚染データもある

「今後の予想 ①生成AIによるコードアシスト候補の生成
②コードアシストのチェックをAIが行う ③コードアシスト候補の提示」

「生成AIによる認知戦への影響。生成AIの偽サイト増えている」※一見すると本当に見える記事の中に嘘情報が含まれているが、アクセス数は低いので影響力は現段階で低い

「これからのAI→マルチエージェント(自律的に行動できるエージェント)生成AI同士を会話させ正しい答えを導き出す」

「サイバーキルチェーン(対応)は、意思決定の早いAIへ変わる」

「RAGが一般化し、プログラミングすることなく特定の分野に長けたAIが出てくる」※機微情報の保護を考慮する必要がある

「コードアシスタント機能、ちゃんとチェックしないと脆弱性をはらんでしまう。鵜呑みにしないのは人ではむり、AIでチェックすべき」

「AIは過渡期。サイバーセキュリティも1年であっという間に変わる」

 

【キタきつねコメント】

AIの現状および、(少し先の)予想についての内容は、生成AIを中心として流れが速すぎる世界なので、頭の中が整理された感があります。

※朝1のセッションでしたが、かなり会場は埋まってました。

 

■湯沢せきゅあ新聞(公式まとめ記事)

note.com

 

※2日目のスポンサーセッションはぼーっと聞いてましたので、メモがありません。

(湯沢せきゅあ新聞に記事がありますので、必要な方はそちらをご覧下さい)

 

②吉川東氏(フォーティネットジャパン合同会社)

「Fortinet社のご紹介 複雑化する「情報社会&ネット社会」で「安心安全」な「日常業務&日常生活」を支える為に、何を活用しどう守るのか!」

■湯沢せきゅあ新聞(公式まとめ記事)

note.com

 

③髙萩華雪氏(オープンテキスト株式会社)
「脅威インテリジェンスとAIを活用した積極的なサイバーセキュリティ保護対策とは?」

■湯沢せきゅあ新聞(公式まとめ記事)

note.com

 

④「EUデータ・AI法制の展開とわが国の対応」

(10:30-11:20)

■生貝直人氏(一橋大学大学院)

 

【キタきつねコメント】

大学の”専門外”の必修授業を彷彿とさせる講演内容で、手元のメモが・・・前日のお酒の影響もあってか・・・まとまっていません。というか、一部寝落ちしていた可能性もあり、メモの内容を消化しきれていません。

※メモ残骸をChatGPTに投げて要約させた文章を参考まで以下に貼ります。(せきゅあ新聞の閲覧を推奨)

===

この講演では、デジタル技術やサイバーセキュリティに関する最新の世界的な動向、特にヨーロッパにおける法制度の変化について取り上げた。特に、デジタル技術に関連する3つの大きなパラダイムシフトとして「プラットフォーム規制」「AI規制」「データ活用」の分野が焦点となっており、これらの規制がどのように我が国に影響を与えているかが解説された。プラットフォーム規制では、インターネット上の違法情報や有害コンテンツに対する事後対応から、事前の規制へと大きくシフトしており、ヨーロッパではデジタルサービス法やデジタル市場法が導入されている。この規制の一環として、巨大プラットフォームは情報の流通やコンテンツモデレーションの透明性を確保することが求められ、ユーザーに対してコンテンツ削除の通知や救済手段が提供されるようになっている。

AI規制については、生成AIの急速な発展が法整備に大きな影響を与えており、特にヨーロッパのAIアクト(AI法)では、リスクベースでAIシステムを分類し、特に高リスクのAIに対しては厳格な規制が課せられている。生成AIが生み出すコンテンツの透明性を確保するため、AIで生成された情報は明確に区別される必要があり、これがデジタルプラットフォームに大きな影響を及ぼすとされている。

さらに、データ活用に関する規制では、これまでのデータ保護中心から、データの流通を促進する法制へと舵を切っており、ヨーロッパではデータ法が制定され、IoTデバイスなどから生成されたデータの第三者提供が義務化されるなど、データの共有や流通を支える枠組みが整備されている。このような動きは、企業にとって新たな挑戦となるだけでなく、競争力強化にもつながると期待されている。

日本でもこれらのヨーロッパの法制度を参考にしながら、デジタルプラットフォーム規制やAI規制に関する法整備が進められていますが、まだ初期段階にあり、今後のさらなる検討が必要。また、データ法については、日本ではまだ具体的な議論が始まっていない状況だが、グローバルなデータ流通の流れに対応するための法整備が急務であるとされている。

 

■湯沢せきゅあ新聞(公式まとめ記事)

note.com

 

※2日目のランチセッションもぼーっと聞いてましたので、メモがあまりありません。

 (湯沢せきゅあ新聞も記事なし)

 

⑤早野禎祐氏(株式会社NSDコンサルティング)
「Cyber Intelligence・・・Resecurity社が提供する膨大なデータと最高性能のプラットフォーム・・・」

 

⑥近藤有馬氏(NRIセキュアテクノロジーズ株式会社)

「セキュリティ教育の重要性の高まりとNRIセキュアが貢献できること」

「良いセキュリティ人材を獲得するには、セキュリティ人材に特化したエージェントを使う。探し方、スカウトの仕方にもコツがある」

「転職市場ではサイバーセキュリティ、データサイエンス、クラウドの3つがバズっており、転職希望者が無理矢理これらの3つをPRする”なんちゃってエンジニア”が増加している」

※ミスマッチ人材に繋がる

「外部人材の登用と内部人材の育成の両輪で進める」

「何かできるようになるのは、体験が重要(水泳は実際に水中でバタ足訓練)」

※ハンズオン(体験)が重要

 

⑦中村敬一郎氏(株式会社東陽テクニカ)
「ネットワーク面によるアクティブサイバーディフェンス」

 

※因みにランチのお弁当は、越後味噌みそ弁当でした。

(お弁当は美味しかったのですが、よくある立食方式の方が地元食材を頂けたり、色々な方と話せたかなというのが初回参加者としての感想です。)

 

⑧「セキュリティチームは、いかにして贅沢品を手にするか」

(13:00-13:50)

■茂岩祐樹氏(フリー株式会社)

「サイバーリスク=経営リスク。色々な人に説明する際に使っているのがランサムウェアの事例。経営陣にとって日本でも起こっている事が重要。製造ラインが止まりましたとか、決算発表ができませんでした。身近に感じてくれる」

「情シスとセキュリティ(部門に)丸投げできない。契約や法律や事務、色々な問題が組み合わさるので経営リスク」

「セキュリティ対策=企業の身だしなみ。日本ではまだまだだが、アメリカでは投資家がサイバーセキュリティの情報開示を投資判断の1つに使っている。セキュリティ対策をしていない会社は怖くて投資できませんという話が効く」

「法令対応。日本だと個人情報保護法、海外ではGDPR、米国でもプライバシー関連法。プライバシー情報だけでなく製造者責任も出てきている」

「1番怖いのは中長期的な企業の戦力低下。大規模インシデントが起きると、最初の1ヶ月はメディアで取り上げられるが、実は最後まで収束するには年単位かかる」

「インシデント対応には優秀な人がアサインされる。面白くない仕事だし精神的にも辛い仕事なので、辞めてしまうリスクも」

「1番の問題は、大事故の後の再発防止策は過剰に振れる傾向がある。2度と起こさないように・・・バランスの良いソリューションがあっても許してもらえない」

「過剰なセキュリティ対策で面倒、不便になる。その結果企業の力が落ちていく」

「本業に集中するためにイイ感じのバランスでセキュリティをやりましょうと提案したい」

「セキュリティ対策、研修、リスクと投資のバランス取れているか?自問自答する事もある」

「より先端なこと。先を見越したことは効果が出ずらい。直観的に分かりづらい。今するべきか説得材料が欲しい」

「抜け穴のない会社は無い。大小いろんな抜け穴があって、バランスを取って資産価値などによって対策を判断しながら、でもすぐには出来ないという事が見えてくる」

「先進的な取組み、苦労して行ったことで自社の安全性が高まると共に、自分の市場価値も向上する可能性がある。知識を身に着けてそれを発信する、他の会社にも展開する、セキュリティ担当にとってはプラス」

「(予算の関係などによって)コントロールが難しいが、準備しておくことが大事」

「大きなインシデント、同業他社での事件が発生した際に、このプランどうですか?と持っていける準備」

「平時だと、モニタリング、分析でここが危なそうですよというストーリーを作る」

「同業他社はビジネスでは競合だが、セキュリティは強調領域。情報交換をさせてもらっている。同じ業界でこういう対策をしていると話すと社長もすんなり入ってくる」

「トップマネージメントはやることが山のようにある。セキュリティの話をしても多分すぐ忘れてしまう」

「定期的に刺激を入れてあげる必要がある。少なくても3か月に1回は最新トピックスをインプット」

「経営層の好きなストーリー、気になるポイント(バックグラウンド)を掴んで話す。10%でも20%でも刺されば心に残る」

「セキュリティは刺さりにくいので、3ヶ月に1回事業部長に話にいく。粘り強く1年とか続けると質問が出てきて、すこしづつ分かってくる。地道な努力だが大切」「メンバーの市場価値を高めるのはセキュリティチームの目標にも掲げている。みんな幸せになるのが良い。でも試行錯誤している」

「(完璧は求めず)大事故が起こらないようにする、1番企業にとって求められる事、バランスだがそういう考えをもってやっていく事が重要」

「セキュリティの取り組みを発信。この会社はいい取組をしているな、社会貢献、オープンソース提供や情報発信でも社会貢献できる」

 

【キタきつねコメント】

やはり現役CISOの方の講演は(特に視点が)勉強になります。最後の方の講演でしたがかなりの方が会場に残っていた印象です。

個人的には、車座会議とフリーの茂岩さんのセッションがワークショップに参加した価値が大いにあった(Worth Going)と感じる内容でした。

※(メモでは一部端折ってますが)少しでも会場の雰囲気が感じて頂けると嬉しいです。

 

■湯沢せきゅあ新聞(公式まとめ記事)

note.com

 

※最後の講演は温泉兄弟の宣伝コマがあったのですが、シャトルバスが混みそうな気がしてので聞かずに退場しました。

 

久々にこの規模の大きなワークショップに参加しましたが、2日間多くの刺激を受けました。(スタッフ・講師の方々に感謝です)

かなりのチケット争奪戦であるかとは思いますが、また機会があれば参加したいと思います。

 

※大きなイベントにも関わらず、参加したよ記事がネット上には少なかったので勝手に書いてみました。(湯沢せきゅあ新聞の記事は大変参考になりますが、講演内容を結構端折っていますので・・・この記事が来年度以降の(初)参加者の参考になったら幸いです)

 

→(その4:番外編)に続く予定

 

foxsecurity.hatenablog.com

foxsecurity.hatenablog.com

 

更新履歴

  • 2024年10月17日