クラウドセキュリティ製品とインシデント対応時に生成AIを活用
―日本マイクロソフト
昨今では、業務にAIや生成AIを活用する流れが加速しています。日本マイクロソフトのセッションでは、Microsoft Corporation ASIA Security Solutions Security Global Black Belt 菅律子氏が、「AI for Security, Security for AI」と題してAI時代のマルチクラウド、ハイブリッドクラウド環境におけるセキュリティ対策を紹介しました。
菅氏は、マルチクラウド環境を想定したセキュリティの課題について、次のように指摘します。「クラウドネイティブなアプリケーションには、コードの時点から約65%に脆弱性が含まれ、うち13%しか修正されていません。インターネット接続で攻撃表面も広くなる中で、約98%の組織がマルチクラウド・ハイブリッドクラウドを利用していて、守る側が不利な状況になっています。さらに生成AIアプリケーションを業務やサービスに利用するようになったため、新たなリスクや脅威も想定しておく必要があります」(菅氏)
その際の対策としては、①「開発時点からセキュリティを組み込んだ安全な開発環境を実現」し、②「脆弱性や構成の不備を評価して継続的にリスクを低減」させて、③「脅威を検知し迅速に修復につなげていく」ことが重要と説明します。その3点を踏まえたマルチクラウドサービス対応の包括的なクラウドネイティブ・アプリケーション・プロテクション・プラットフォーム(CNAPP)が、「Microsoft Defender for Cloud」です。その特徴について菅氏は、「エンドツーエンドの保護で幅広い領域をカバーしつつ、それぞれのソリューションから得られるインサイトを裏側で連携させて分析し、総合的に判断した対策を講ずることができます。コードからクラウドまでリスクを追跡し、攻撃の経路もある程度ビジュアライズして洞察として提供します」と説明します。
Defender for Cloudの保護対象は、AIワークロードにも及びます。生成AIの活用においては、悪意のあるプロンプトを入力して情報を引き出す「プロンプトインジェクション」や、設定されているルールを回避する「脱獄」などへの対策もさることながら、「関連するワークロードをまとめて全方位でセキュリティをカバーできるような全体的なアプローチが必要」と菅氏は説明します。その点を踏まえてDefender for Cloudには、AIアプリを安全な構成でリリースできる「AIセキュリティ態勢管理(AI-SPM)」と、インシデント検出と修復を行う「脅威保護」の2つの機能が備わっています。
Microsoft Corporation
ASIA Security Solutions Security Global Black Belt
菅律子氏
マイクロソフトでは生成AI向けのセキュリティ対策に加えて、生成AI自体をセキュリティ向上に活用するというアプローチも実施しています。それが、「Microsoft Copilot for Security」です。Copilotシリーズのセキュリティ版で、「セキュリティ運用の監視や分析に人が対応しきれていない領域や、経験不足を補うことができる製品」(菅氏)となります。
例えば、Copilot for Securityに対して「検出されたセキュリティの構成不備に関して要約して」という指示を出せば、修復アクションについて自然言語によってガイドを得ることができます。
「Copilot for Securityは、セキュリティの効果的な運用を実現するツールです。さらにマルチクラウド環境を考えると、全てのクラウドプラットフォームに専門性を持つ人材を育成していくことは非常に困難なので、そこにCopilotの力を活用するという利用例も有効でしょう」(菅氏)
講演の最後に菅氏は、「Azure Open AI上でのDefender for Cloudによるアラート検出」、「セキュリティ管理者に対して構成不備と解決策を伝えるインストラクション」、「Copilotと連携してAIアプリケーションリスクの修復方法の情報を得て修復する」デモの様子も紹介しました。
「生成AIアプリケーションはもちろん、関連ワークロードもまとめて堅牢化し、脅威を検出しましょう。その際に複数のリソースを使っていると対策が分散しがちなので、できるだけまとめていった方がセキュリティ運用の効率化につながります。生成AIもセキュリティ文脈で活用することができるので、効果的に運用してセキュリティ人材不足や経験を補う目的でもマイクロソフトのソリューションをご活用ください」(菅氏)
いま、企業のインシデント対応の最前線で起きていること―YONA
国内ではほぼ毎日、何らかのセキュリティ事故が起きています。各企業はその状況を自分事と捉えて注視すべきでしょう。セミナーを締めくくる特別講演に、企業の事故対応や復旧を担当しているYONA 代表取締役社長 三国貴正氏が登場。「いま企業のセキュリティ最前線で起きていること―情シスの“駆け込み寺” YONA三国氏に聞くリアル」と題して、セキュリティインシデント対応のリアルが語られました。
ここ数年、ランサムウェア攻撃が猛威を振るっています。三国氏は、2018年のDXレポート以降クラウドの利用が増え、コロナ禍でのテレワークが増えた結果として2020年から攻撃が増えたと語ります。手法に関しては、以前はメールやWebサイトを経由してマルウェアに感染させ、そこから内部に広げていく形でしたが、最近は人手による「標的型ランサムウェア」が増えていると解説します。
「VPN機器の脆弱性を突いたり、機器で使われているアカウント情報が漏れ、それを悪用して侵入しデータの窃盗や暗号化を実行する攻撃が増えています。脆弱性という言葉には、システム関連だけでなく人や運用管理の手順的な部分に起因する不備も含まれますが、そこでの対応ができていなかったり、漏洩した情報を使った次の攻撃を想定した対応が遅れている企業が多いため、被害が拡大しています」(三国氏)
DXの進展によってクラウドの利用が増えた中で、オンプレミスからクラウドへのシステム移行に端を発したインシデントも多く発生しているといいます。
「スピード重視でクラウド移行した企業が多かったせいかアクセス制御の状態がゆるく、そこが入口にされたり、落とし穴となったりして攻撃を受ける結果となっています。運用管理時にも、組織内における利用のルールやクラウドサービス側が提示する推奨された使い方をしていないため、インシデントが起きてしまった際に責任の所在の部分で問題になるというケースも散見されます」(三国氏)
このような状況のなかYONAでは、ランサムウェアに関するインシデント相談をこの3年で毎年平均50件以上受けているといいます。ニュース発表では大企業の被害が目立つ中で、同社には中小企業からの相談が多いとのこと。対応依頼を受けるフェーズは、PC画面に脅迫文が表示されたりプリントアウトされたりする初期段階から、組織内で調査し行き詰った状態まで様々であるそうです。
暗号化対策手段としては、三国氏は身代金を支払ったケースも見てきたと言いますが、「お金を払っても追加で要求されるという事例を見ています。元に戻すことができたという事例は一件もありません」とくぎを刺します。
「実際に必要な作業としては、攻撃者と交渉してお金を払うより、まずは原因を明確に調査することが大切です。次々と内部に入られてしまうとどんどんお金を要求されるので、侵入されないようにするための仕組みや環境づくり、データのバックアップ、インシデントが発生した際の体制や回復するための方法をどうするか検討することの方が重要になります」(三国氏)
また、事故に遭うと自称セキュリティ専門会社から急に連絡が来るようになるそうです。その際、経営者が慌てずにどのような対応をすべきか判断するための材料として三国氏は、日本ネットワークセキュリティ協会が公表している「インシデント損害額調査レポート」を参考にすることを勧めます。その上で同氏は、改めて事前の対策の重要性について次のように語ります。
「最近では経産省もASMを提唱していますが、まずは外から見えるところに脆弱性が含まれていないかどうかというチェックを定期的に行うことが大切です。組織の中は、EDRを活用する余裕がない中小企業では、IT資産管理と次世代型アンチウイルスを組み合わせたエンドポイント対策が有効です。クラウドに関しては設定に起因したインシデントが多いので、まずクラウドのリスク評価サービスを活用し、そこから継続的に管理を進めていける体制を整えていきましょう」(三国氏)
YONA 代表取締役社長 三国貴正氏(右)、ZDNET Japan 編集長 國谷武史(左)
