一週間を始めるにあたって、押さえておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

該当期間:(2024/07/29 - 2024/08/4)

■欧州人工知能法（AI法）が施行開始

人工知能(AI)に関する世界初の拘束力のある規制が欧州にて発行されました。AI法は、EUで開発・使用されるAIが信頼できるものであり、人々の基本的な権利を保護するための安全策を講じることを目的としています。

AI法は、4段階のリスクに基づくリスクベースアプローチに基づきます。

・最小リスク：AI対応のレコメンドシステムやスパムフィルターなど、多くのAIシステムはこのカテゴリに属します。これらのシステムは、市民の権利や安全に対するリスクが最小であるため、AI法の義務を負いません。企業は自主的に追加の行動規範を採用することができます。

・特定の透明性リスク：チャットボットなどのAIシステムは、ユーザーに対して機械と対話していることを明示する必要があります。ディープフェイクを含む一部のAI生成コンテンツには、その旨をラベル付けし、バイオメトリック分類や感情認識システムが使用されている場合にはユーザーに通知する必要があります。さらに、プロバイダーは合成音声、ビデオ、テキスト、画像のコンテンツを機械可読形式でマークし、人工的に生成または操作されたものであることを検出可能に設計する必要があります。

・高リスク：採用に使用されるAIシステムや、ローンの適格性を評価するためのAIシステム、自律ロボットの運用などが含まれます。

高リスクと特定されたAIシステムは、リスク軽減システム、高品質のデータセット、アクティビティの記録、詳細な文書、明確なユーザー情報、人間の監督、および高レベルの堅牢性、正確性、サイバーセキュリティを含む厳格な要件を遵守する必要があります。

・容認できないリスク：人々の基本的権利に対する明確な脅威と見なされるAIシステムは禁止されます。これには、未成年者の危険な行動を促すような音声アシスタントを使用するおもちゃ、政府や企業による「ソーシャルスコアリング」を可能にするシステム、および特定の予測警察活動の適用が含まれます。さらに、職場で使用される感情認識システムや、公共のアクセス可能な場所でのリアルタイムの遠隔バイオメトリック識別など、一部のバイオメトリックシステムの使用が禁止されます（ごく僅かな例外を除く）。

・CISOにとって何故重要か?

加盟国は2025年8月2日までに、AIシステムの規則適用を監督し、市場監視活動を実施する国家の管轄当局を指定する必要があります。また、規則に従わない企業には罰金が科されます。禁止されたAIアプリケーションの違反については、世界年間売上高の最大7％まで、その他の義務違反については最大3％まで、誤った情報を提供した場合は最大1.5％までの罰金が科される可能性があります。

AI法は段階的に施行が行われ大部分は2026年8月2日から適用が開始されます。ただし、容認できないリスクをもたらすとみなされるAIシステムの禁止は6か月後にに適用され、汎用AIモデルの規則は12か月後に適用されます。

★国内、海外における重要な注意喚起★

該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

・CISA 悪用された既知の脆弱性カタログ登録状況

　-　VMware ESXi Authentication Bypass Vulnerability

　-　Acronis Cyber Infrastructure Insecure Default Password Vulnerability

　-　ServiceNow Incomplete List of Disallowed Inputs Vulnerability

　-　ServiceNow Improper Input Validation Vulnerability

・JPCERTコーディネーションセンター（JPCERT/CC）注意喚起

　-　該当期間中の掲載はありませんでした。