Cloud CISO の視点: Cybersecurity Forecast 2024 レポート

※この投稿は米国時間 2023 年 12 月 22 日に、Google Cloud blog に投稿されたものの抄訳です。

2023 年 12 月、2 回目の投稿となる「Cloud CISO の視点」をご覧いただきありがとうございます。この一年を締めくくるにあたり、今年のセキュリティ アップデートで多くの関心を集めたものをご紹介します。また、CISO オフィスの Nick Godfrey が、CISO オフィスによる将来を見据えたインサイトと、2024 年に向けた新しい Cybersecurity Forecast レポートをご紹介します。

2023 年は、IT の変化が世界を大きく変えた特別な年となりました。Google は約 20 年にわたり ML と AI をセキュリティに活用してきましたが、このところ生成 AI が記事の見出しやセキュリティ アップデートに登場することが急激に増えています。以下のリストは、Google が今年公開したセキュリティ アップデートの中で読者やお客様の関心を最も集めたもののトップ 10 です。

生成 AI が防御者との会話を促進

生成 AI と基盤モデルは、脅威アクターと防御者のどちらにとっても、急速に大きな役割を果たすようになると、Google は予測しています。脅威アクターはおそらく、AI を利用して情報操作の規模を拡大するようになり、フィッシング、SMS、その他のソーシャル エンジニアリングによる操作は、より本物らしく見えるようになるだろうと、レポートに記載されています。AI は、スペルミスや文法上の誤り、そして明らかに文化的背景が感じられないフィッシング攻撃を作成することを後押しします。

ですが、攻撃者がより執拗かつ革新的になると同時に、サイバー防御者は改良されたツールをうまく利用して攻撃を阻止できるようになるでしょう。防御者は、生成 AI や関連するテクノロジーを利用することで、攻撃者の検知、対応、アトリビューションを大幅に強化でき、また分析やその他リバース エンジニアリングなどにかかる時間も短縮できます。長期的には、AI を活用してセキュリティを強化する組織には、トイルの削減、脅威の過度な負担への対処、拡大するスキルギャップの解消など、大きなメリットがもたらされると期待しています。

CISO オフィス、エグゼクティブ トラスト リード Marina Kaganovich
善良な従業員が、より安全な企業向けの AI ツールではなく消費者向けの AI ツールを使用している場合、職場でシャドー AI のインスタンスが増えていないか確認しましょう。生成 AI のツールやユースケースは時間の経過とともに成熟していくため、組織はトレンドの先を行く必要があります。安全かつ確実に生成 AI を実装する計画を立てるべきです。まずはユースケースに合った生成 AI ツールを選択することから始めましょう。

CISO オフィス、アドバイザー Toby Scales
生成 AI モデルの開発に携わる企業は、モデルの出力の誤りや漏れの責任をますます問われるようになり、生成 AI モデルを導入することにした企業は、基盤モデルの限界と、基盤モデルを保護する新たな独自の手法について知る必要があります（たとえば、LangChain や Rebuff のようなオープンソース ソフトウェア ツールを使用する場合が該当します）。イノベーションのペースが速くなるにつれ、技術革新と道徳哲学が衝突するため、AI に関する原則を公に宣言することや、責任ある AI を導く政府主導の取り組みがさらに重要となるでしょう。

CISO の説明責任が大きくなれば、経営幹部や取締役会の説明責任も大きくなる

CISO オフィス、ディレクター Taylor Lehmann
SEC の新たな規則を受け、保険や法的支援、サイバーセキュリティやリスク管理に対する取締役会やシニアリーダーの責任の明確化など、必要な保護なしで仕事を引き受ける CISO は減少するでしょう。サイバーセキュリティの成果に対して CISO が単独で責任を負うという考えや、サイバーセキュリティは非技術系リーダーシップの一般的な責務の範囲を超えているという考えは、もはや受け入れられなくなります。

CISO オフィス、セキュリティ コンサルタント David Homovich
2023 年には、多くの業界で取締役会がサイバーセキュリティの監督において、より積極的な役割を担うようになりました。その主な要因は、脅威の進化に伴うビジネスリスクの増大と新たな規制の潜在的な影響です。こうしたエンゲージメントの強化には、サイバーセキュリティは単なる IT の問題ではなく、全体的なリスク管理の効果的な実践に不可欠な要素であるという認識の高まりが反映されています。私たちは今後も取締役たちに対し、学び、積極的に関与し、最新情報を入手して、効果的な監督を維持するよう促していきます。特に予算編成と人材確保についてまだ計画を立てていない場合は、今すぐ取りかかってください。

SecOps に関する統合が増えると予測

CISO オフィス、セキュリティ アドバイザー Anton Chuvakin
セキュリティ運用の統合は諸刃の剣です。効率性とインテグレーションが実現する一方で、ベンダー ロックインやイノベーションの抑圧というリスクもあります。組織がプラットフォームの硬直化やデータのサイロ化を回避できるよう支援するため、私たちは他のツールとの連携に優れた、シンプルなツールを求めています。事前構成された独自のワークフローと検出コンテンツは、セキュリティ プログラムを活性化し、お客様に大きな価値をもたらします。ですが、検知応答ツールを最大限に活用するには、さらに先へ進む必要があります。

つまり、コンテンツは解決策ではなく出発点だということです。

• ベンダーが提供するコンテンツやワークフローを、お客様固有の環境や脅威に合わせる。
• 社内の専門知識の強化に投資し、脅威の分析、ハンドブックの作成、ベンダーが提供するコンテンツ以上の情報に基づいた意思決定を行えるよう、チームをトレーニングする。
• ベンダーのインテリジェンスを、オープンソースの脅威フィードや脅威調査コミュニティなどの多様なインテリジェンスで補完する。

ハイブリッド環境やマルチクラウド環境を標的とした攻撃の影響はさらに大きくなる

CISO オフィス、ディレクター Jorge Blanco
2023 年は、攻撃者が標的の環境の境界を乗り越えようとする手の込んだ攻撃が見られました。ハイブリッド クラウド、パブリック - プライベート クラウド、マルチクラウドなど、組織が使うさまざまな技術戦略は、これらの環境の防御を複雑にしがちです。

現在、ID 管理の問題や構成エラーがセキュリティ侵害の半分以上の端緒となっていますが、これらは今後も主要な侵入経路であり続けると予想されます。技術に精通した組織なら、正しい認証情報管理、ポリシーの適用、クラウド環境とアーキテクチャに特化した、構成エラーを回避するための有意義なトレーニングにより、リスクを軽減することができます。

CISO オフィス、サイバーセキュリティ担当シニア エグゼクティブ Erin Joe
国家の支援を受けた脅威アクターやサイバー犯罪の脅威アクターは、エッジデバイスやセキュリティ アプライアンスを不正使用するために、ゼロデイ脆弱性やパッチが適用されていない既知の脆弱性を記録的な数で開発して悪用しています。この種の攻撃はたいてい、ファイアウォールやエンドポイントのセキュリティ アプライアンスといった従来のセキュリティ アプローチでは検出されません。

このような脅威に対抗するため、セキュリティ リーダーはこれからの一年間、時間をかけて多層防御戦略を十分に広範で深いものにしていく必要があります。また、ビジネス リーダーと協力して、自動化や AI を利用したテクノロジーを活用し、セキュリティ アプローチのモダナイズも図る必要があります。

職場全体のコラボレーションとサイバーセキュリティ

CISO オフィス、金融サービス エグゼクティブ トラスト リード Odun Fadahunsi
2023 年、私たちはクラウド導入の監督を担当するリスク管理リーダーを集めて、クラウド導入リスク管理リーダー向けの円卓会議を開催しました。2024 年、クラウドの導入リスク、コンプライアンス、管理を担当するリーダーたちは、組織がリスク管理の成果をデジタル トランスフォーメーション目標の強力な推進力に変える際に重要な役割を果たすことができます。

CISO オフィス、セキュリティ コンサルタント Bill Reid
この一年は、医療機器における患者の安全にとって大きな分岐点となりました。FDA は、優れたサイバーセキュリティがなければ、安全で効果的な医療機器を提供することはできないと言及しました。新たな法律では、すべての新しい医療機器に対し、安全性を重視した設計の組み込み、脆弱性およびパッチ管理の強力かつ継続的なサポート、ソフトウェアの部品構成表の提供が義務付けられます。新しい規則は厳格に施行されることが予想されるため、このセキュリティ対策とメーカーの品質管理システムを合致させることが重要となります。

CISO オフィス、製造と産業部門の責任者 Vinod D’Souza
今後、サプライチェーンの脆弱性が話題となるでしょう。グローバル サプライヤーへの依存と、相互接続されたシステムの継続的な融合は、不正な行為者が重要なインフラストラクチャを侵害し、稼働を停止させるために利用する、新たな攻撃対象領域を生み出しています。私たちは、車両のハッキング、スマート エネルギー グリッドの脆弱性、運用技術の悪用、知的財産の盗取と競合他社の地位低下の両方を行う産業スパイ活動など、複数の分野でこの状況の発生を目にしています。お客様は、クラウド技術を活用し、理にかなっている場合は AI で能力を増強することによって、セキュリティ対策を変革する計画の策定に着手すべきです。

その他の最新情報

セキュリティ チームからこれまでに届いた今月のアップデート、プロダクト、サービス、リソースに関する最新情報は以下のとおりです。

• シャドー AI に焦点を当てる: リスクの高い AI の実践から守る方法: 消費者向けの AI をビジネスで使用するシャドー AI という新たなトレンドは、組織にリスクをもたらします。この記事では、エンタープライズ グレードの AI を利用すべき理由をご紹介します。詳細はこちら。
• 欧州の組織は Google の Sovereign Cloud ソリューションでイノベーションを実現: Google の Sovereign Cloud ソリューションが生成 AI やデータ分析といった画期的なテクノロジーの導入を加速している実例をご確認ください。詳細はこちら。
• 認証情報の自動検出ツールを導入し、クラウド環境のセキュリティを強化: Google Cloud は、保存されている平文の認証情報を検出してモニタリングできる Sensitive Data Protection のシークレット検出ツールをリリースしました（無料）。詳細はこちら。

Mandiant からのニュース

• 不正広告を打ち砕く: マルバタイジング キャンペーンを阻止した方法: 今年に入り、Mandiant の Managed Defense 脅威ハンターは、スポンサード サーチ エンジンの検索結果やソーシャル メディアへの投稿において、新たな悪意のある広告キャンペーンを特定しました。Mandiant は Google のアンチ マルバタイジング チームと協力して広告エコシステムから悪意のある広告を削除した後、影響を受けた他の組織にも対策を講じるよう警告しました。詳細はこちら。
• Gopher と Crab のための FLOSS: Go と Rust の実行可能ファイルから文字列を抽出する: ソフトウェア開発の進化に伴い、Go や Rust のような新しいプログラミング言語が導入されています。Go や Rust の実行可能ファイルの静的解析を支援するため、FLOSS は強化されたアルゴリズムを使ってプログラムの文字列を抽出できるようになりました。詳細はこちら。
• Google Summer of Code 2023 で FLARE のマルウェア分析ツールを改良: 今年の夏、グローバルなオープンソースのソフトウェア開発メンタリング プログラム、Google Summer of Code（GSoC）に FLARE のチームが初めて参加しました。FLARE 2023 GSoC プロジェクトの詳細はこちら。

Google Cloud セキュリティおよび Mandiant のポッドキャスト

• Kevin Mandia、クラウド侵害について語る: 今年を締めくくるにあたり、Google Cloud の Mandiant の CEO が、ホストの Anton Chuvakin と Tim Peacock とともに、新たな脅威アクター、古い過ち、そしてすべての人にとっての教訓について語ります。ポッドキャストを聴く。

月 2 回発行される「Cloud CISO の視点」をメールで受信するには、こちらからニュースレターにご登録ください。また 1 月に、Google Cloud からセキュリティ関連の最新情報をお届けします。

-Google Cloud、TI セキュリティ担当 VP 兼 CISO Phil Venables

-Google Cloud、CISO オフィス シニア ディレクター Nick Godfrey