セキュリティ界隈で気になった、2023年の振り返り。私調べ。
① 生成AIによる、フィッシングの巧妙化
② 社員による不正に向けての対処
③ RMMソフトウェアによる不正
④ SaaS機能の生成AIによる高機能化
⑤ 結局は基本のキ
さっきまで違うことも考えてたんだけど・・・思い出したら追記
① 生成AIによる、フィッシングの巧妙化
以前なら、怪しい日本語できたものは詐欺メールかなとあたりが付いたのに、最近は生成AIがきれいな日本語で答えてくれるので、生成AIにかけると日本語がきれいになり、詐欺メールとの区別がつきにくい。
なにか参考事例を出そうかと思ったが、生成AIエンジンはいろいろあるので、自分のところに来た怪しいメールをきれいな日本語に変換してみてください。
② 社員の不正による情報漏洩等
今年は、社員が意図的に情報漏洩をした事案*1が報道されましたことが多かったですね。
そのために利用者の権限管理と棚卸しは厳粛にやっているだけど、そもそも本来政党のアクセス権限がある人が情報の持ち出しを意図的に行うというリスクにどう対応するか。 誓約書も罰則も、ログによる警告も十分ではないとすると、やはり情報の持ち出しルートを断つしかないのかな。USBで持ち出せるなんて防げないので、そこは止めるとすると、途端に他の社員が、「本来業務でXXXさんに情報を渡さなければいけないのにどうしたらいいのか」と騒ぎ出す。
③ RMMソフトウェアによる不正
資産管理やリモート管理の機能を支援するソフトウェアの脆弱性を踏み台にした不正アクセス。コロナ禍が開けてもなかなか職場には人は戻らないし、SBOMの実装検討で資産管理との紐づけは課題だから、いろんなSIerがRMMソフトウェアの利用を推奨する矢先での報道。詳細を見て、対応策を考えていきたい。
④ SaaS機能の生成AIによる高機能化
SaaS製品の機能が生成AIにより、非常に魅力的な機能が非常に安価に使え、業務の効率化に非常に役立っている。他方で、SaaSの利用はいろんな情報を外に置くことだから、その情報がどこに置かれるかは確認のしようがない。大手のGAFAクラウドでも同じ。某セキュリティ団体のサイトが、欧州某国にあるのが見て取れる。まあWEBサイトは見てもらうためのものだから良いけど、AIが優秀だからと、公開情報でない情報をホイホイとSaaSにあげていくと、結局は同じ状況。
だからといって、生成AIを使うのをやめましょうとか、安易にSaaSを使うのをやめましょうとは言えるわけがない。圧倒的に便利だし、安い。おまけに注意しようとしてるヒトの機能のほうが相対的に低くなっている。当面は便益享受だけど、将来的にはなんとか
⑤ 結局は基本のキ
こんなことをつらつら書くと、聞こえるのが「ウチらはセキュリティ人材じゃないから、そういうことはわからないので、セキュリティ人材がやっといて」と。
まあ、色々と応援するからさあ、みんなで1つずつやっていきましょうよとしか言えない。企業の合従連衡、社員の転職も相まって、組織ガバナンスの前提はちょいちょい変わる。一度作った規程を何年も同じ規程でいいのかは、改めて見直したほうがいい。対面での買い物が、いろんな経済活動は多くはネット上に置かれる。中小企業からすれば、良くって一人情シス、普通はIT人材って何?って話だから、その中で実現するセキュリティを、リスク分析から改めて考えていくしかない。
※ いいタイトルをAIに考えされたけど、言いたいことをAIが解答例に出してはくれなかった。今ん所は、そんなもんさ。