2023年4月、世界最大級のセキュリティイベント「RSAカンファレンス2023」が、アメリカ・サンフランシスコで開催されました。当初、セキュリティ企業であるRSAのユーザーカンファレンスとして始まった本イベントは、30年以上の歴史を誇っています。本ウェビナーでは、「RSAカンファレンス2023」に参加した米国駐在員の日商エレクトロニクスUSA・門馬が、当日のイベント内容や注目セッションなどの様子をお伝えしました。
イベント概要
もともとユーザーカンファレンスとして始まった「RSAカンファレンス2023」は、1991年からユーザー以外にも公開する形式になりました。コロナ禍の期間を除くと、毎年約50,000人が参加しています。非常に幅広いトピックスが用意されていることが特徴で、CISOから現場の担当者まで、さまざまな方にとって刺激的なイベントです。参加費はフルパスの場合は3,000ドルほど、早期申し込みだと2,000ドルほどです。展示会場のみの入場であれば、50ドルで入れるプランもあります。
Key Findings
「RSAカンファレンス2023」に参加して得られた気づきは、以下の3点です。
- 長年抱えた人材不足を解決するAIへの期待
セキュリティ業務はその性質上、非常に非効率にならざるを得ず、業界でもセキュリティ担当者のスキルアップが課題となっていました。AIの登場により、単純作業の自動化はもちろん、AIによるインサイトの提供、生成型AIを使った学習や抜け漏れのチェックなどへの期待が高まっています。 - AIの悪用の懸念
その一方で、AIが提供するインサイトの正当性については、まだまだバイアスの問題があります。また、ChatGPTを用いたマルウェアの作成をはじめとした、新たな脅威についても懸念があります。 - 暗号の強化への取り組み
まだまだ未来の技術ですが、量子コンピューティングについての議論が始まっています。特にセキュリティ業界では、量子コンピューティングの高い計算能力によって、現在主流であるTLS暗号が容易に解読できてしまうと想定されています。それに伴い、新しい暗号方式の採用に向けた準備が課題となります。
注目セッション
「RSAカンファレンス2023」では、約500のセッションが行われました。その中から注目セッションを6つピックアップし、サマリーをご紹介します。
1. 暗号技術の今後
このセッションでは、現在広く利用されているTLSの規格のうちの公開鍵暗号方式が、量子コンピューティングで簡単に見破れることが議論されました。つまり、現在使用されている暗号化技術が、無効化されてしまうリスクがあるのです。量子コンピューティングの技術自体はまだ未成熟な技術であるため、すぐに対策が必要なわけではありません。しかし、NSA(米国家安全保障局)やNIST(米国標準技術研究所)といったセキュリティ機関は、量子コンピューティングに強いアルゴリズムの開発を要求しています。
こうした技術開発は2015年から始まっており、現在「CRYSTALS-Kyber」と呼ばれる鍵のカプセル化による暗号強化の技術と、3つのデジタル署名技術の研究「Dilithium」「FALCON」「SPHINCS+」が進んでいます。現時点では、「SPHINCS+」が最も安全だと考えられているそうですが、今後も研究は続く見通しです。
またこのセッションでは、プライバシーの問題にも触れられました。現在、無自覚のうちにあらゆる個人データが企業に取得されています。個人情報はGDPR(一般データ保護規則)やCCPA(カリフォルニア州消費者プライバシー法)などの法律で保護されているため、企業がこうした情報を漏洩することは許されません。しかし、現在のセキュリティ的な課題には企業側の理解が追い付いていないため、コミュニティとして明確な基準を設け、標準化していくことが重要です。
また、ChatGPTの登場はセキュリティ業界に対しても、大きなインパクトを与えています。以前は機械よりも人間のほうが上手にコードを書き、攻撃を行っていましたが、この常識がひっくり返りました。個人的な意見ですが、これまでは攻撃者側もたどたどしい文章で脅しのメールを送ってくるので、異常だとすぐに気づけました。しかし、生成型AIの登場でそうしたわかりやすいサインが失われる可能性があり、攻撃の巧妙化を手助けしているとも感じました。
2. セキュリティオペレーション革命
Trellixは、McAfee EnterpriseとFireEyeを買収したSTGグループが、両社の統合ブランドとして作った企業です。講演者のブライアン氏は、その統合を主導した人物です。ブライアン氏は、「AIの活用は、残念ながら攻撃者のほうがリードしている。企業は旧態依然のセキュリティスタックの運用・維持から抜け出せず、確実に効果のある新しいAIの活用に踏み込めていない」と問題提起しました。さらに「セキュリティ担当者、ないしは企業は、旧態依然としたシステムを捨て、新しい技術を積極的に採用することで反撃に転じる必要がある」と力強く語りました。
平均的なセキュリティ分析には25種類ものセキュリティツールが使われていますが、これらが必ずしも適切ではないことを、セキュリティ担当者の94%の人が理解しています。さらに、最適なツールを使えば「残業時間の最小化」や「作業の時間短縮」を実現できると、81%の人が考えています。
一方、セキュリティの専門家は現在350万人もの人材不足が問題になっています。ブライアン氏は、「次世代のサイバー戦士を育成するには、ゲーマーを利用すればいい」と語っています。つまり、「全世界に存在する30億人のゲーマーが利用するゲームプラットフォームと、セキュリティオペレーション、クラウドソーシング、インセンティブを組み合わせたエコシステムを作ればいい」という発想です。理由は、攻撃者側がすでにエコシステムの構築を行っているからです。ゲームプラットフォーム内のチャット機能で、攻撃者たちがコミュニケーションを取っている事実もあります。
新時代のセキュリティオペレーションは、AIが攻撃の検知業務、分析、複雑な背景を理解して対応に関するインサイトの提供、対応まで、自動的に行ってくれます。これにより、正確に攻撃を先取りすることができるのです。人間は、機械からのフィードバックを受ける立場になります。
3. レスポンシブルAIの重要性
本セッションでは、「誤った情報がAIによって拡散されるリスク」について語られました。現在、AIに関する安全装置がないため、最善の手段はケースバイケースで出力をロックすることです。例えば、医療情報について生成型AIに尋ねると「お医者さんに相談してください」という返答がくるように出力をロックするのですが、このような対応は実際に行われています。
情報の受け取り手に求められることは「情報を信じすぎないこと」であり、その情報が幻覚である可能性を認識する必要があります。特に最近は、不完全なオープンソース製品が数多く出回っており、それが許されている風潮があります。このことも認識しておくべきです。企業側では、消費者の情報を管理し利用をすることが一般的になっていますが、そのリスクをしっかりと考慮したうえで、利用方法についてビジネス上の判断をする必要があります。
また、AIを用いた製品の利用にあたっては、そのソースが何なのかを把握することがとても重要です。特にセキュリティの担当者は、「インシデントに関する情報が、社内の信頼できるソースからきているのか」を認識しておくことが大切です。
一方、AIの専門家であるパネリストは、企業努力としてAIの精度を高める取り組みを行っていました。例えばNVIDIAでは、セキュリティポータルを立ち上げています。倫理や偏見に関する懸念がある場合にフィードバックを受け付け、改善を行うスキームを確立しています。DeepMindでは、Googleの機械学習開発者と連携し、アルゴリズムレベル、インフラレベルで敵対的な考え方をもつ「AIレッドチーム」を構成しており、安全性の確保に取り組んでいました。
4. テクノロジーの新境地 マシンスピードでのディフェンス
Microsoft Security社は、160以上の国家的な攻撃グループを含む、300以上の攻撃者グループを追跡しています。また、ランサムウェアの専門集団については、50以上を追跡対象としています。こうした集団は独自のブランディングを行い、ギグエコノミーを構築しています。Statistica社の調査によると、現在の攻撃者市場は約8兆ドルで、2027年には約24兆ドルまで拡大します。Microsoft Security社が2021年に観測したパスワード攻撃の回数は、1秒間に579回でしたが、2023年現在では1287回を記録しています。
また同社は、セキュリティ業界の人材不足は、AIが解決すると強調しました。直近の変化の1つ目は、セキュリティ専門のAIへインプットする情報が、ハイパースケールデータとなったことです。より高解像度なセンサーの登場により、これまでより多くのデータが取得可能となりました。不足気味だった内部データがこれで補完され、外部のデータである脅威インテリジェンス(自社外で起こっているセキュリティに関する情報を、蓄積するサービス)と組み合わせることで、セキュリティAIが機能します。
2つ目は、生成型AIの登場です。セキュリティ担当者は生成型AIとの自然な会話を通じて、状況を把握できます。この大きなメリットは、初心者のセキュリティ担当者にとっては学びの機会を得られることです。熟練の担当者にとっても、見落としを防げるメリットがあります。
5. サイバーセキュリティの現状
Mandiant社は、Google傘下のセキュリティ機関です。同社では、350名で構成される脅威分析チームが、34ヵ国を対象に調査を継続しています。まず、マルウェアが仕込まれてからランサムウェアが発動し、セキュリティ担当者が問題に気づくまでの期間は、大幅に短縮されています。10年前は200日もかかっていましたが、現在の中央値は16日です。防御側の対応が成熟してきたことを受けてか、ランサムウェアの対応件数は減少傾向にあるようです。
攻撃手法について、20年前やそれ以前はフィッシングが主流でしたが、2002年から2019年にかけてはスピアフィッシングが主流になっていました。現在ではスピアフィッシングの数が減り、2019年からは脆弱性を狙ったものが主流となって、全体の32%を占めています。脆弱性をつく攻撃の流行を受けて、多くの企業がパッチ管理に取り組み、脆弱性が判明したらパッチを即座に適用する運用を行っていると思います。しかし、パッチを当てるまでの時間に攻撃を終える、いわゆるゼロデイ攻撃の対象になってしまう危険性があります。
こうしたケースを想定する場合、マルウェアが仕込まれた後の検知・修復機能を提供するEDRを入れておくことも有効です。多要素認証をあらゆる場所に仕掛けておくことや、企業ネットワークにおける最初の侵入先となるID基盤に、ダミーのID「ハニートークン」を仕掛けることも有効なようです。
ただ「本質的には、防御側がよく知っている自社のビジネス、システムやトポロジー、インフラが、正しい構造で正しく機能しているかを監視することが最も有効だ」ということも語られました。
6. 5つの危険な新しい攻撃テクニック
攻撃テクニックの1つ目は、悪意のある人がキーワードやその他のSEOテクニックを使って、悪意あるウェブサイトを検索結果の上位に表示させていることです。誤ってアクセスし、ファイルをダウンロードして開くと、悪意のあるプログラムが動き出します。
2つ目は、マルウェアとアドバタイジングを組み合わせた、マルバタイジングという手法です。Microsoftも、この危険性について警鐘を鳴らしています。講演では、実際にマルバタイジングのサイトを見せてもらいました。非常に巧妙で、全く本物のサイトと区別がつかない完成度でした。信頼できる情報筋から正規のサイトについて情報を得ること、悪意あるサイトを見つけたら、即座に検索エンジンに報告を行うことが大切です。
3つ目は、開発者を狙った攻撃です。開発者は工期を短縮するためにさまざまな拡張機能を利用しています。その拡張機能にマルウェアが仕込まれています。組み込まれた拡張機能は、ID基盤に侵入し認証情報を盗み出します。そしてこれもダウンロードする段階では、正規のものと全く判別がつきません。対応策は、開発者がEDRをきちんと導入すること、そして警告を無視しないことです。
4つ目はChatGPTです。2022年の11月にリリースされた当初は、「ランサムウェアを作って」と言うと、コードを書いてくれました。現在では改良がなされ、コードは書けなくなりました。しかしながら、ランサムウェアを構成するコンポーネント(例えば、暗号化の機能だけ)ごとにコード作成を依頼すると、ある程度まで作ってくれます。結果的にはランサムウェアが作れてしまうので、結局のところ企業は、ランサムウェアの対策をするしかありません。
逆に、ChatGPTを利用して脆弱性を見つけることもできます。例えばプログラムの中に、Mem Copyというコマンドがあります。これは、メモリにサイズを指定したうえで必要な領域を確保するコマンドです。脆弱性の内容は「不正な値を入力するとメモリに不具合を生じさせることができる」というものです。DNSの設定の段階でChat-GPTに設定内容について助言を求めたところ、メモリサイズの指定に誤りがあることを指摘しています。
5つ目は、ソーシャルエンジニアリング関係です。例えば、ChatGPTを用いて架空の人物を作り、SNSを通して言葉巧みに個人情報を引き出そうとします。講演者は、ChatGPTを用いて息子さんから住所を聞き出そうとしたのですが、結果的には失敗しています。息子さんは最後に「あなたはロボットと会話をしているので住所はありません」と回答したそうで、少し笑ってしまいました。ただし、このようなアプローチは現実的であるため、息子さんのように攻撃を受けた側の対応が重要です。
展示会場の様子
North(大手ブース)
北棟には、大手企業のブースが並べられていました。Googleのブースでは、セキュリティのエキスパート集団であるMandiantが提供するマネージドセキュリティサービスや、GoogleCloud上で利用可能なセキュリティツールの紹介がありました。
Microsoftのブースでは、アンチウイルスソフトウェアであるDefender製品をはじめ、マルウェアの企業内潜伏・徘徊を検知するXDR (拡張検出と応答) 製品、脅威インテリジェンスの製品を展示していました。
またTrellixのブースでは、ファイアウォールやIPS、XDRなど、セキュリティに必要なソフトウェアを網羅的に提供。デモンストレーションでは、シンプルで直感的な操作で統合的なオペレーションが行える印象を受けました。
以上3社はどこも、「1社でより多くのことができる」ことをアピールしている印象でした。
South(スタートアップブース)
一方南棟には、スタートアップのブースがひしめき合っていました。中でもシリーズD・E以降の企業は非常に大きなブースを出しており、その数は他の展示会と比較しても多かったです。画像は、私が注目しているスタートアップ3社のものです。
SafeBreachは、BASの製品を提供しています。BASは「Breach and Attack Simulation」の略で、簡単にいうと自社サービスを意図的に攻撃してセキュリティホールを発見し、事前に対策する手法です。同社は、こうした攻撃ツールや解析ツールを提供しています。
Expelは、クラウド上、またはオンプレミス上のセキュリティデバイスにAPIやコネクタで接続し、ログを含めた設定情報や登録情報を入手します。システム全体を俯瞰しつつ、問題が起こっている場所を素早く特定するために有用なツールです。
Forward Networksは、企業内のルーターやサーバー、アプリなどにアクセスし、設定情報を定期的に入手して変更・管理を行います。ネットワークのデジタルツインを作ることで、ネットワーク構成の日々の運用における、確認作業負荷を軽減することが出来ます。
その他
Sandboxという、セキュリティエンジニア向けの育成トレーニングプログラムが現地で開催されていました。攻撃者のツール開発体験や、バグ発見プロセスの体験などができます。Ciscoも、会場の無線通信を監視する企画を主導で行っていました。
イノベーションサンドボックスコンテスト
RSAカンファレンス2023 イノベーションサンドボックスコンテストをご参照ください
最後までお読みいただきありがとうございました。
Nissho USAは、シリコンバレーで35年以上にわたり活動し、米国での最新のDX事例の紹介や、斬新なスタートアップの発掘並びに日本企業とのマッチングサービスを提供しています。紹介した事例を詳しく知りたい方や、スタートアップ企業との協業をご希望の方は、お気軽にお問い合わせください。