Cyber SecurityサウナJapan

河野:
みなさんこんにちは、あるいはこんばんは。『Cyber SecurityサウナJapan』へようこそ。このポッドキャストでは、サイバーセキュリティに関するサウナのようなホットなトピックをお届けします。ホストを務めるのは、ウィズセキュア株式会社法人営業本部　もうすぐ年末年始休暇で温泉とスキーとサウナの休暇を楽しみにしている、河野真一郎と

トゥオミ:
同じく、ウィズセキュア法人のサイバーセキュリティコンサルタントのアンッティです。年末年始は今回はスノーボードをしに行きますので、スノーボードのあとの温泉も楽しみにしています。

河野:
今日の『Cyber SecurityサウナJapan』は12月20日のプレスリリース、「ウィズセキュア、2024年のサイバーセキュリティ動向予測を発表」の内容をもとに、アンッティさんと河野でお話していきます。

まず1個目のトピックなんですが、サイバー犯罪の専門化というものがあります。専門化はプロフェッショナルになっている、というところですね。プレスリリースの文書を取り上げてみると、

「近年、APT (高度で持続的な脅威) グループ、ランサムウェア攻撃グループ、イニシャルアクセスブローカーなどにより、企業内の貴重なデータに到達するためのネットワークへの侵入経路として、インターネット境界に面したサービスの大規模な悪用が急増しています。」

というものが取り上げられてます。

サイバー犯罪の専門化というのは、今年たびたび『Cyber SecurityサウナJapan』の中でも取り上げてきたテーマでありますが、ランサムウェアの攻撃により、身代金を要求してくるというような行為を、サイバー犯罪でお金儲けをしようとしている悪いことを考えている犯罪者とかが、残念なことに、サイバー攻撃をやることによって企業にダメージを与えたり、何らかの金銭を取ってしまったりといったところが進んでるというのは、サイバーセキュリティサウナのポッドキャストが始まった去年から考えてみても、どんどん増えつつあるし報道とかが増えてきてるなというふうに思いつつあります。お客様からのお問合せといったところもそういった観点の質問が多い状況ですが、アンッティさんはこのトピックについてはどう考えますか？

トゥオミ:
犯罪が増えているということは、確かにあってると思いますね。最近かなり話題になっているのは、インターネットに直接アクセスできる、いわゆるエッジサービスとかエッジデバイス経由の侵害も多くなっていますよね。例えば最近あったこととしては、Citrixの脆弱性とかその他のその他の脆弱性が侵入経路になってしまっていますよね。前回もちょっと話はしましたが、攻撃者に対して、セキュリティのサイクルがありますよね。一番狙いやすいところを狙って侵入することがありますよね。それは本来はまず直接アクセスできることを、直接アクセスできるシステムが一番標的になりましたが、それからまた接続されているシステムのセキュリティ的な向上によって、人を狙ったりとか、その他のシステムを狙ったりするとか、サイクル的に標的が変わるっていうことがありますよね。また、最近はかなりいわゆるエッジデバイスも攻撃の標的になっていますよね、ということは実感しています。

河野:
エッジデバイスも含めた攻撃みたいなところで、サイバー攻撃されるところ、お客様が気にならなければいけない点といったところもやはり領域増えつつあるんじゃないかなというふうに、いつもお客さんからお問合せいただいてる営業の私も考えたところでした。

トゥオミ:
エッジデバイスへの攻撃は元々から多かったんですが、最近このサイバーセキュリティ犯罪者でも、プロたちは、おそらくパッチが出たときに、パッチの中身は実際にどういう脆弱性を治しましたか、ということを確認することが上手くなっているかもしれませんね。それを確認したらまだパッチが当てていないサービスに対してその既存の中身で、内容で攻撃できてしまいますので、そういう方法を使ってさらにこの早くパッチを当てていないと、やはり攻撃されてしまいますよという傾向が増えてるかなと。思ってます。

河野:
やっぱりセキュリティアップデートを継続的に今使ってる環境に、何らかのセキュリティアップデートエラーが出たかどうかチェックして、それを当てるっていうのは本当にこれだけサイバー犯罪が増えている状況からすると、一番コストが低くて、かつ効果的な対策なんだろうなと思います

トゥオミ:
そうではありますが、この間他のセキュリティ企業の中でも話題になっているのは、昔から「パッチを当てて、パッチを当てて、早くパッチを当てて」っていう話ばっかりしてて、もう20年間ぐらいそれ言ってますが、あまりそう言われても実際に現場でパッチを当てられるかどうかとかいろいろ検証がありますよね。問題が起きたらビジネスが止まっちゃいますので、「すごく簡単に言うよね～」っていう声も多いですよね。なので、パッチを当てることもすごく重要ではありますが、個人的には多層防御、パッチをとりあえず早く当ててみて、さらに攻撃が万が一何かが起きたときにそちらを検出して対応できることは、その全部の段階が重要になっていますよね。なので、「パッチ当てろ」って言っても実際にそれができるかどうかは実際の状況によって変わりますよね、と思っていました。

河野:
次のトピックとしては、「オープンソースは汎用なAGI (汎用人工知能) 作りに貢献できるのか」というのがあります。プレスリリースの文書を取り上げてみると、

「サイバー犯罪者は効率化のためにAIを活用し、生成モデルを用いてフィッシングコンテンツ、ソーシャルメディアコンテンツ、ディープフェイク、合成画像／動画を作成するでしょう。こうしたコンテンツの作成にはプロンプトエンジニアリングの専門知識が必要であり、それさえもサービス化されていくかもしれません。今後登場するサービスや製品ではAI機能の搭載の有無が購入／導入決定の要素の1つになりますが、初期のIoTデバイス同様、セキュリティを軽視した製品も市場に出てくることが予想されるため、ユーザーはこうした点も十分考慮する必要があります。」

というような内容があります。かなり今、営業の人も技術の人も、実際ビジネスに携わってる人、仕事の中で何らかの形でAIを使う機会っていうのは増えてきたと思うんです。ChatGPTにこんなことやりたいんだけどどうしたらいい？っていうふうに問合せしたり。ChatGPTってリリースされたの去年の11月末で、まだ1年ちょいしか経ってないんですよね。今までパソコンだったりインターネットだったりスマホだったりって、いろんなものが普及されていく中で、1年間でこんなに生活あるいは仕事に密接に絡んで普及したテクノロジーっていうのはなかなかなかったんじゃないかなというふうに まずこのプレスリリースの内容を見て思ったのと、プラス、今後登場するサービスや製品ではAI機能の搭載の有無が購入の決定の要因となるという一文。これは確かに、例えばこの先、何らかの社内コミュニケーションツールとかチャットツールを使うとか、文章や表計算のデータを作るスライドを作るって機能で、「AIの機能が搭載されてます。これが便利なんですよ。」っていうプロモーションを見かけることもあるし、そういうのを活用して自分の仕事をもっと効率化したいというふうに考えてる人は非常に多いと思うんですね。これに対して、AIの技術はもちろん便利だけれども、サイバー犯罪者が悪用するっていう危険性だったり、AIの技術が搭載されているけれどそのAIのサイバーセキュリティの機能、セキュリティの機能がちゃんと実装されてるかっていったところは、考慮しなきゃいけないってのはそうだなというふうに思いました。

トゥオミ:
基本的に、AIについての1年間ぐらいの進化がかなり多くて、これからどうなるかっていうことさえ上手く予想できないことになってますね。今までの1年間の進化がこのまま続けたらどうなるかは、面白いかつちょっと怖くもありますよね。ただ、この話に出てるのはこういうプロンプトエンジニアリングとか何かでこういう悪用のコードを書かせるとか、そういうことが話題になってますが、個人的にはですね、AIも使い方次第ですよね。包丁って調理もできますし犯罪もできますけど、AIも同じですよね。だから、この特にこのLLM (Large Language Model) で、言語モデルではありますので、ChatGPTでは言語でプロンプトを入れて何かの回答が出るっていうことなので、それは当然悪用コードの生成にも使われるでしょうと思います。そこで使った人が悪いっていうことが、私の個人的な意見ですよね。そういう悪用のコードを実際に書かせて、それをばらまく人が悪いですよね。AIが悪いかどうかっていう話ではなくて、用途次第だと思ってますね。なので、そこでAIでマルウェアのコードを書けないようにするとかっていう話は、フォーカスがちょっと違うかなと思います。書きたい人は書けますし、他の人に依頼してもらうとか、そういうことができますので、そこでAIが特に革命しているというわけはないと。まだ、革命してないですよねと、個人的には思ってますね。導入についてなんですが、さっきのAIによって製品とかサービスを選ぶっていうことは確かにありますが、既にいろいろな企業の中で、とりあえずAIが入っていないものを優先するという傾向もありますよね。少なくとも自分が扱ってるデータがAIモデルのトレーニングに使わないサービスしか選べないという傾向がありますよね。なぜならば自分のお客さんのデータが第三者のAIのトレーニングで使われたら、自分のお客さんのデータがそこに流れてしまいますということもありますので、それがかなり今の企業の中でのセキュリティの観点で重要なポイントになってますよね。

河野:
最後に、グリーンコーティングというトピック。アンッティさん、すいません。グリーンコーディングってあまり日本では私は聞いたことがない言葉なんですけど、これはどういう意味合いで使われる話なんですか？

トゥオミ:
先ほどAIとか、回しているプログラムとかもエネルギーを消化しますよね。最近話題とか、開発者が意識するようになっているのは、このいわゆるグリーンコーディングですね。つまり、エネルギーを余計に消化しない開発の仕方という話ですね。これも既にヨーロッパとかアメリカの方でちょっと話題になってたり意識になってたり、開発者が意識しているようになっていますが、これから日本とか、国際的にもちょっと増えたら面白いかなと思います。やはり温暖化も重要ですよね。

河野:
環境に配慮したコーディング、環境に配慮したプログラミングっていうのも考えられているところなんですね。

河野:
ということで、本日は『Cyber SecurityサウナJapan』第14回をお届けしました。2023年は10回実施したこのポッドキャスト、来年2024年も引き続き、サウナのように熱いサイバーセキュリティのトピックをお届けしたいと思ってます。

トゥオミ:
可能であれば、来年はフィンランドのサウナの方でも録音してみましょう。

河野:
そうですね。アンッティさんとまだフィンランドに行ってこの『Cyber SecurityサウナJapan』収録してないので、来年2024年は「目指せヘルシンキ」というのを目標に頑張ってみましょうか。

トゥオミ:
そうですね。甲子園ではなくて、ヘルシンキですね。

河野:
本日のポッドキャストは、

トゥオミ:
アンッティ・トゥオミと

河野:
河野真一郎でお送りしました。みなさま、Happy Holidays！

Cyber SecurityサウナJapan エピソード#14はYouTubeでもご覧いただけます。

https://youtu.be/vy0qW7zSdM8