今週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要な法案や規制に関して「目を通しておきたい」ニュースを取り上げています。

▼NIST:AIアルゴリズムを保護するための理論的な問題がまだ解決されていない。違うと言う人がいれば、彼らは"蛇の油を売っているに過ぎない"(根拠のない主張や製品を推進する人々を指す比喩的な表現)。

▼AIシステムを保護するための予防的な措置を検討する。OWASP LLM Top10は、LLM固有の新しい用語と攻撃ベクトルのセットです。

▼米国:2023年12月18日以降、米国公開市場で取引される組織は、7月に発表されたSEC（米国証券取引委員会）の開示規制に従い始めなければならない。これには、「重要な」脅威のインシデントを4日以内に公表することが義務付けられている。

▼欧州:NIS2は、サイバーセキュリティを強化するための上位指令である。既存および新興のサイバー脅威に対するヨーロッパのレジリエンスを高めるため、NIS2指令は4つの主要分野において、組織に新たな要件と義務を導入している。

今週は新年を迎えるタイミングでっもあったため、昨年の振り返りや、2024年に注目すべきセキュリティトレンドに関する記事が目に付きました。そして、共通するテーマとしては「AI」が挙げられます。攻撃側、防御側にとっても当面「AI」がニュースの見出しを飾ることになりそうです。

そのような注目を集める中でNISTがAIに関する防御にはまだまだ課題が多くあり、有効な対策があると主張する人は詐欺であると疑えと警告を発したのが印象的でした。

また、米国や欧州では新たな規制対応も必要となっているため、トピックとして取り上げさせて頂きました。