Yahoo!ニュース

英国「ディープフェイク作成」を取り締まることを可能に 04/15-21

大元隆志CISOアドバイザー
画像はChatGPTを利用して筆者作成

一週間を始めるにあたって、押さえておきたい先週気になったセキュリティニュースのまとめです。セキュリティニュースは毎日多数の情報が溢れかえっており「重要なニュース」を探すことが大変です。海外の報道を中心にCISO視点で重要なインシデント、法案や規制に関して「これを知っておけば、最低限、恥はかかない」をコンセプトに、コンパクトにまとめることを心がけています。

■NSA等、AIシステムの展開と運用におけるベストプラクティスを公開

国家安全保障局の人工知能セキュリティセンター(NSA AISC)は、CISA、連邦捜査局(FBI)、オーストラリア信号局のオーストラリア・サイバーセキュリティセンター(ASD ACSC)、カナダサイバーセキュリティセンター(CCCS)、ニュージーランド国家サイバーセキュリティセンター(NCSC-NZ)、およびイギリス国家サイバーセキュリティセンター(NCSC-UK)との共同で、「AIシステムの安全な展開」に関するサイバーセキュリティ情報シートを発行しました。

このガイダンスは、外部で開発された人工知能 (AI) システムを導入および運用するためのベスト プラクティスを提供し、次のことを目的としています。

・AI システムの機密性、完全性、可用性を向上させます。

・AI システムの既知の脆弱性に対して適切な緩和策があることを確認します。

・AI システムおよび関連データとサービスに対する悪意のあるアクティビティを保護、検出し、対応するための方法論と制御を提供します。

ビジネスにおけるAIの活用は避けて通ることは出来ず、AIの安全な実行環境の整備も企業にとっては急務となっています。このガイダンスを参考にAIシステムの安全性を評価することを推奨します。

■英国、「ディープフェイク作成」を取り締まる法律

英国政府は15日、性的に露骨な「ディープフェイク」画像の作成を犯罪として定める方針を明らかにしました。

AIの進化に期待が高まる一方で、AIを利用してある人物の顔を別人の顔に置き換える「ディープフェイク」の悪用については日々懸念が高まっています。今回の法改正により、本人の同意なしに性的に露骨な画像を作成した人物は刑事責任を問われ、無制限の罰金が科せられるようになります。

 - 悪意を持って相手の同意を得ずに、性的に露骨な「ディープフェイク」画像を作成した場合、新たな犯罪となる

 - 共有したかどうかは関係ない(共有すると更に別の法を犯すことになり2つの罪で起訴される可能性があります)

現在国会で審議中の刑事司法法の改正案として導入されるとのことです。

■Gartner社2024年のSSEマジッククアドラントを公開

Gartner社は三回目となるSSEマジッククアドラントを公開しました。リーダーに選定されたのは、Netskope、Paloalto Networks、Zscalerの三社となります。

SSE MQの第一回目のレポートが公開されたのは2022年2月15日でした。調査期間を考慮すると2021年から約3年が経過したことになります。

SSEとして必要とされる機能要件は確立してきておりリーダーグループにおいては「革命」を求める段階から、「進化」を求める段階に入ってきており、成熟してきていると言えます。一方でリーダー以外のグループはリーダーに追いつこうとしている状況です。

昨今のサイバー攻撃の高度化や、法律や規制強化の影響でSSE/SASEのニーズは高まりを見せています。SSE導入の際には、説明責任を果たすという観点から、選定根拠として実績のあるリーダグループから選定を開始し、どうしても要件を満たせない場合には他グループから選定することを推奨します。

■Netskope、日本におけるクラウド脅威動向を初公開

Netskope Japanは、国内のサイバー脅威状況に関する最新の調査結果を発表しました。同調査は、調査研究部門のNetskope Threat labsが月次で発表しているレポートの最新版であり、今回初めて日本市場に特化したクラウドアプリケーションの利用実態や重大なサイバー脅威に関するレポートを公開しました。

★国内、海外における重要な注意喚起★

該当期間中に発表された、CISAのKEVとJPCERT/CCを掲載します。自社で該当する製品を利用されている場合は優先度を上げて対応することを推奨します。

・CISA 悪用された既知の脆弱性カタログ登録状況

 - 該当期間中の掲載はありませんでした。

・JPCERTコーディネーションセンター(JPCERT/CC)注意喚起

 - Palo Alto Networks社製PAN-OS GlobalProtectのOSコマンドインジェクションの脆弱性(CVE-2024-3400)に関する注意喚起 (更新)

CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事