セキュリティ専門家の最新情報発信！RSA Conference 2024 現地レポート

　JTPで技官を務めている山田と申します。特にセキュリティを専門としています。

　RSA Conference 2024 に参加するため、サンフランシスコに来ています。RSA Conference 2024 の最終日の夜に筆を取って、最新情報をお届けしたいと思います。

　私は、2024年5月4日（土）夕方にサンフランシスコ入りをしました。何度も来ているサンフランシスコですが、こんなに大雨にあったことがないというほどの天気の悪さで、凍えるような寒さでもありました。週が明け、日が経つにつれ、徐々に本来の天気の良さが戻ってきたように思います。

　さて、RSA Conferenceは、プロフェッショナル、エキスパート、業界リーダーが集まり、サイバーセキュリティに関連する現在および将来の懸念事項について話し合う、一連の国際的な IT セキュリティカンファレンスです。

　RSA Conferenceの他に有名なセキュリティイベントには、Black Hatがあります。Black Hatがレッドチームやセキュリティ専門家が集まり、ペネトレーションテクニックやハッキング技術のトレーニング、最新の研究成果の発表、オープンソースソフトウェアツールの展示、新しい脆弱性や攻撃手法という技術的要素が強いという特徴がある一方で、RSA Conferenceは、よりビジネス志向のカンファレンスであり、セキュリティのビジョンや戦略、製品、ソリューションに焦点を当てており、業界のトレンドやビジネスの展望について議論されるという特徴があるように思います。

1. RSA Conference 2024 概要
2. 基調講演ピックアップ
3. セッションピックアップ
4. 新製品とサービスピックアップ
5. OWASP Top 10 for Large Language Model Applications（OWASP Top 10 for LLMs）
6. RSAC Innovation Sandbox
7. あとがき

1. RSA Conference 2024 概要

RSA Conference 2024は、5月6日から9日までカリフォルニア州サンフランシスコのモスコーンセンターで開催されました。今年のカンファレンスでは、35の基調講演、425のセッション、650人のスピーカー、25のトラック、600の企業がブースを出展し、開催期間中は130か国から4000人以上が集まりました。

今年のテーマは「The Art of Possible」です。このテーマは、サイバーセキュリティにおいて、私たちは1と0を超えて考える必要があることを示しているようです。

「今日の脅威に先んじ、明日の課題を予測するためには、直感を信じ、協力的な経験を活かす必要があります。私たちの集合的な強さは、私たちが築く絆と共有する知恵にあり、これによって適応力のあるエコシステムを形成しています。コミュニティの力を受け入れることで、私たちは想像できないことを可能にし、より安全な世界を築るために共に作品を創り出しているアーティストと言えるでしょう。」とありました。

イノベーションとセキュリティのバランスを強調し、課題に備えながら新たな地平を探求するよう私たちに促しているように思います。

2. 基調講演ピックアップ

RSA Conference 2024の基調講演は以下の方々によって行われました。

Hugh Thompson (RSACのエグゼクティブチェアマンおよびプログラム委員会議長): “The Power of Community”: 33年間にわたり共に働いてきた強力なコミュニティの一員であり、難しい問題を解決し、ベストプラクティスを共有し、革新し、政策を形成し、難しい問題に立ち向かってきた。私たちは協力することでより強くなる。
Antony J. Blinken (アメリカ合衆国国務長官): “Technology and the Transformation of U.S. Foreign Policy”: テクノロジーは外交政策に変革的な影響を与えており、アメリカ政府は革新的で安全で権利を尊重するテクノロジーの未来を実現するために外交を活用している。
Tom Gillis (Ciscoのシニアバイスプレジデントおよびゼネラルマネージャー): “The Time is Now: Redefining Security in the Age of AI”: AIは2年前には不可能だったセキュリティ機能を解放している。エッジを保護するだけでは不十分。AIを誇大広告以上のものとして活用し、セキュリティ全体を再考する時が来ている。
Kevin Mandia (MandiantのCEO, Google Cloud): “The State of Cybersecurity – Year in Review”: 2023年は国家と犯罪組織からの紛争とマクロ経済的な圧力が増加した年だった。攻撃者のテクニック、最も影響力のあるサイバーディフェンスのヒント、およびサイバーセキュリティが、取締役会と経営陣の意思決定に影響を及ぼしている。
Bryan Palma (Trellixの最高経営責任者): “CISO Confidential: What Separates The Best From The Rest” : AI、自動化、分析に溢れる世界で、最高情報セキュリティ責任者（CISO）は組織にとって違いを生み出す存在である。CISOは単なるテクノロジーエキスパート、リスクマネージャー、またはビジネス戦略家ではない。サイバーセキュリティの厳しいゲームで生き残ることが必要である。

3. セッションピックアップ

RSA Conference 2024では毎日100以上のセッションやイベントがありました。なかでもセッションは非常に広範囲の内容を扱っています。

Analytics & Intelligence
Cloud Security
Network & Infrastructure Security
Privacy & Data Protection
Security operations & Incident Response
Security Strategy & Architecture
Human Element
Hackers & Threats
DevSecOps＆Application Security
Fraud Prevention
Governance Risk &Compliance
Laws　などなど

私は、JTPのセキュリティビジネスの現状と今後を考慮して、予め”Human Element”, ”Cloud Security”, “DevSecOps&Application Security”にターゲットを絞り、セッションを受けることにしました。

Human Element に関するセッション紹介

"Human Element"に関連するいくつかのセッションを紹介します。

“How Large Language Models Are Reshaping the Cybersecurity Landscape”: 大規模言語モデル（LLM）はサイバーセキュリティを含む社会の多くの側面に影響を与えており、このセッションでは、LLMの機能が攻撃的および防御的の観点からサイバーセキュリティをどのように再構築しているかを検証していました。
“The Human Impact of Cyberattacks: Reframing the Defender Role”: セキュリティチームは攻撃の責任の矢面に立たされ、厳しい立場にあります。このセッションでは、サイバー攻撃後に CISO と CIO がどのように評価されるかを再考する時期に来ているという指摘がありました。
“Inside Payback: Using Metrics to Demonstrate Insider Risk Program Value”: このセッションでは、インサイダーリスクプログラムのシナリオを利用して、サイバーセキュリティの有効性の測定基準の特定と開発の関連付けを行い、組織のニーズに基づいた定性的・定量的測定の価値を学ぶ機会になりました。
“Data-Driven Cyber Indicators of Malicious Insider Threat”: このセッションでは、MITRE’s Insider Threat Research & Solutions team が2021年～2023年にかけて行った悪意を持って組織の実際の運用ネットワークから機密の内部情報を検索、収集、抽出する 100 人の実際の従業員に関する調査データの分析により、インサイダーリスクコミュニティを前進させる新しい観察とアプローチとともに、証拠に基づいたデータ主導型のPotential Risk Indicators (PRIs)の提供の試みについて紹介がありました。

Cloud Secuirty に関するセッション紹介

次に、"Cloud Security"に関連するいくつかのセッションを紹介します。

“Building a Cloud security Flywheel: Lessons from the Field”:このセッションでは、セキュリティフレームワークとセキュリティ改善の迅速な実装とテストを融合し、実環境にクラウドセキュリティプログラムを実装するための青写真を描いていました。
“What’s In your Burrito?”: このセッションでは、CISコントロールをSDLCパイプラインにマッピングすることで安全なKubernetes環境を構築する方法に焦点を当て、セキュリティ管理、ビジネスの優位性、成熟度レベルを使用する方法について、共有がありました。

DevSecOps & Application Security に関連するセッション紹介

セッションピックアップの最後として、"DevSecOps & Application Security"に関連するいくつかのセッションを紹介します。

“The End of DevSecOps?”: このセッションでは、GenAIを利用してデータを強化し、労力を削減する可能性についての話し合いがありました。DevSecOpsを進化させ、開発者へのフィードバックループを強化し、問題を効率的に修正できるようにすることの指摘がありました。
“Securing AI Apps with the OWASP Top Ten for Large Language Models”: このセッションでは、Large Language Models（LLMs）に関連するリスクを軽減する戦略に焦点を当てており、OWASP Top 10 for LLMsを活用して、AIアプリケーションのセキュリティを向上させる方法について探求しました。
“Building AI Security In: MLSecOps in Practice”: このセッションでは、AIとMLにおけるリスクを把握し、MLOpsとDevOpsの違いを理解しながら、セキュリティをMLパイプラインに組み込むことについての議論がありました。

“CISO Liability” に関するセッション

その他、RSA Conference 2024では、セキュリティ担当役員（CISO）の役割に焦点を当てたいくつかの興味深いセッションが行われていました。キーワードは、“CISO Liability” です。

“CISOs Unchained”というセッションやCISO Breakfast & Panel Discussion: From AI in Code to Hidden Risks in the Software Supply Chain: Balancing Speed & Security in Software Development”というパネルディスカッションがありました。CISOは、新しい技術トレンドに対応し、アプリケーションのセキュリティを確保するために、技術的な知識とビジネス洞察を組み合わせる必要があると指摘していました。

CISO（Chief Information Security Officer）の責任は、データセキュリティとサイバーセキュリティを担当する役職であり、企業のセキュリティ戦略を策定し、実行する役割を果たしています。最近、CISOの責任は大きく変化しており、これに伴い法的責任も増加しています。

CISO（Chief Information Security Officer）の責任を果たすために、以下の具体的なセキュリティ対策が重要であり、これらの対策を実施することで、CISO Liabilityを維持し、組織のセキュリティを強化できるとのことです。

データ保護とセキュリティ対策の強化: データ保護とセキュリティ対策を強化し、データ漏洩を防止するために、適切な技術とポリシーを実装する。セキュリティベストプラクティスを遵守し、脆弱性のあるシステムやアプリケーションを修正する。
リスク評価とリスク管理:セキュリティリスクを定期的に評価し、優先順位をつけて対処する。ビジネスリスクとセキュリティリスクを統合的に考慮し、適切な対策を講じる。
法的規制とコンプライアンスの遵守: サイバーセキュリティ法や規制に準拠し、違反を防止する。データ保護法（例：GDPR）に従って、個人データの適切な取り扱いを確保する。
セキュリティ意識の向上: 従業員に対してセキュリティ意識を高めるトレーニングを実施する。セキュリティポリシーと手順を明確に伝え、遵守を促す。
インシデント対応計画の策定: セキュリティインシデントが発生した場合の対応計画を策定する。インシデント対応チームを組織し、迅速かつ効果的に対処できるようにする。
法的リスクの最小化: データ漏洩やセキュリティ違反に対する法的リスクを最小化するために、適切な保険を検討する。

4. 新製品とサービスピックアップ

RSA Conference 2024では、数百社が自社の製品やサービスを展示していました。イベントに発表された最も重要な新製品とサービスのいくつかをまとめてみたいと思います。

シスコが Splunk の統合を発表: Splunk の買収後、シスコは、XDR と Splunk Enterprise Security (ES) の統合、および Cisco の Panoptica による新しいクラウド検出および応答機能を発表しました。ネットワーキング大手である同社は、統合された AI Assistant for Security が Cisco XDR で利用可能になったことも発表しました。さらに、Cisco Identity Intelligence が Duo で利用可能になり、継続的 ID セキュリティを有効にして ID ベースの攻撃から組織を保護します。
CrowdStrike がクラウドの検出と対応を強化し、Falcon ASPM を開始: CrowdStrike は、Microsoft Azure 環境のクロスドメイン脅威ハンティングを含む新しいクラウド検出および対応 (CDR) イノベーションを発表し、クラウドコントロールプレーンのアクティビティの可視性を拡大しました。同社はまた、Falcon Cloud Security の一部として CrowdStrike Falcon Application Security Posture Management (ASPM) の一般提供を発表しました。
Cloud Security Alliance が AI 導入を成功させるためのガイダンスを発行: Cloud Security Alliance (CSA) は、AI 実装ガイダンスに焦点を当てた 3 つの文書を発行しました。それは、「AI の組織的責任 – 中核的なセキュリティ責任」、「AI レジリエンス: AI の革新的なベンチマークモデル」、および「実践すべき原則: 動的な規制環境における責任ある AI」です。この文書では、セキュリティとコンプライアンスの主要分野にわたる推奨事項について概説しています。
IBM と AWS が生成 AI の保護に関するレポートをリリース: IBM と AWS は、生成 AI の保護に関する研究で提携しました。調査によると、経営幹部の回答者の 82% は、安全で信頼できる AI がビジネスの成功に不可欠であると信じていますが、回答者の 69% は、生成型 AI に関してはセキュリティよりもイノベーションが優先されることを認めています。この調査では、現在のGen-AIプロジェクトのうち確保されているのは25％未満であることも判明しました。
Microsoft、新しいセキュリティ機能を発表: Microsoft は、組織が AI で使用されるデータをより適切に保護および管理し、SOC 内のデータを管理し、サイバー攻撃をより効果的に阻止できるようにする新しいセキュリティ機能を発表しました。 Microsoft Defender for Cloud を使用すると、お客様は新しい AI 攻撃対象領域を発見し、AI セキュリティ態勢を強化し、AI アプリを保護できます。 Microsoft Purview AI Hub を搭載した Copilot for M365 は、規制および行動規範のポリシーに準拠して AI の使用を管理するように設計されています。テクノロジー大手はまた、Microsoft Copilot for Securityが同社のセキュリティポートフォリオのより多くに統合されるだろうとも述べました。
Proofpoint が電子メールセキュリティ向けの適応型脅威保護機能を発表: Proofpoint は、電子メールセキュリティソリューション向けの新しい適応型脅威保護機能を発表しました。 Proofpoint のソリューションは、配信後の段階で行動 AI ベースの防御層を提供し、内部の横方向のフィッシングや電子メール詐欺を阻止します。同社はまた、ソーシャルエンジニアリングと悪意のあるリンクを対象とした配信前防御機能も追加しました。
プロアクティブなリスク軽減のための新しい Splunk ソリューション: Splunk は、組織がコンプライアンスを合理化し、サイバーセキュリティのリスクを軽減し、シャドー IT と戦うのを支援する新しいソリューションである Splunk Asset and Risk Intelligence を開始しました。この製品により、顧客は可視性の向上、より正確な調査、コンプライアンス体制を評価および強化するためのダッシュボードを通じて、サイバーセキュリティに対して積極的なアプローチをとることができます。
SentinelOne が Purple AI を発表: SentinelOne は、セキュリティチームのスキルを強化するための専門家による分析を提供するチャットボット、Purple AI を発表しました。 Purple AI は、異常検出、自動アラートトリアージ、対応の推奨、調査、脅威インテリジェンスの機能も提供します。
カーネギーメロン大学 SEI が新しいツールを発表: カーネギーメロン大学ソフトウェア工学研究所は、DevSecOps ツールのリリースを発表しました。 Polar と呼ばれるこのフレームワークは、ソフトウェアシステムの導入プラットフォームの包括的な全体像を提供し、組織内の異なるツールによって取得されたデータのロックを解除する可観測性フレームワークであると説明されています
Trellix がデータベースのセキュリティを強化: XDR 企業 Trellix は、コンプライアンスの取り組みをサポートしながら、レガシーデータベースを含む広く使用されているデータベースタイプの機密データを保護するように設計された、強化されたデータベースセキュリティを発表しました。 Database Security は、アクティビティ監視、脆弱性マネージャー、および仮想パッチ適用機能を提供します。
Zscaler が Google と提携し、VPN リスクレポートを公開: Zscaler は、Chrome Enterprise を使用したゼロトラストアーキテクチャに関して Google と協力してきました。このソリューションは、プライベートアプリケーションへのゼロトラストの安全なアクセスを可能にする Zscaler Private Access と、Chrome Enterprise Premium の脅威およびデータ保護機能を組み合わせています。 Zscaler は年次 ThreatLabz VPN リスクレポートも発表しており、大多数の組織が VPN が侵害につながることを懸念していることが明らかになりました。

5. OWASP Top 10 for Large Language Model Applications（OWASP Top 10 for LLMs）

OWASP Top 10 for Large Language Model Applications（OWASP Top 10 for LLMs）は、Large Language Models（LLMs）を利用するアプリケーションにおいて最も重大な脆弱性のリストです。

このプロジェクトは、開発者、データサイエンティスト、セキュリティ専門家が、複雑で進化するLLMセキュリティの領域をナビゲートするための実用的で具体的なセキュリティガイダンスを提供することを目的としています。

具体的な脆弱性の例には、プロンプトインジェクション、データ漏洩、不適切なサンドボックス化、および不正なコード実行などがあります。

このプロジェクトは、LLMアプリケーションのセキュリティポストを向上させるために、これらの脆弱性についての認識を高め、対処方法を提案することを目指しています。

LLM（Large Language Model）セキュリティのベストプラクティスについての説明がありました。

モデルの選択と構成: セキュリティを考慮して、適切なモデルを選択します。モデルのサイズ、トレーニングデータ、およびパラメータを慎重に検討します。モデルの構成には、適切なトークン数、隠れ層の数、およびその他のハイパーパラメータを含めます。
データの前処理: トレーニングデータの前処理を行います。不適切なコンテンツや攻撃的なテキストを除外するために、適切なフィルタリングを実施します。
モデルのトレーニングとファインチューニング: モデルのトレーニング中に、セキュリティを考慮したファインチューニングを行います。不適切な応答を最小限に抑えるために、適切なデータセットで再トレーニングを行います。
アウトプットのフィルタリング: モデルの出力をフィルタリングして、不適切なコンテンツを除外します。プロンプトインジェクションや攻撃的なテキストを防ぐために、適切なフィルタリングルールを適用します。
モデルの監視と更新: モデルの運用中に、不適切な応答やセキュリティ上の問題を監視します。必要に応じてモデルを更新して改善します。

これらのベストプラクティスを遵守することで、LLMアプリケーションのセキュリティを向上させることができるとのことです。

6. RSAC Innovation Sandbox

RSAC Innovation Sandboxは、サイバーセキュリティのイノベーターを集めて画期的なアイデアを披露するエキサイティングなプログラムです。

形式: 毎年、10 人のファイナリストが革新的なアイデアを審査員団に発表する機会を与えられます。彼らのピッチ時間はわずか 3 分です。
成功事例: コンテストの開始以来、トップ 10 ファイナリストは合計で 80 件以上の買収と 135 億ドル以上の投資を行ってきました。
参加者の資格基準

参加者の要件は以下の項目があります。
- 製品は 2022年12月1日から2023年12月1日までに発売されたもの。
- サイバーセキュリティ市場で特定された問題に対処する。
- 問題を解決するアプローチは独創的かつ健全なもの。
- この製品はサイバーセキュリティに大きな影響を与える可能性がある。
- 顧客による製品の購入と導入による検証は不可欠である。

　RSAC Innovation Sandboxは、最先端のソリューションを紹介し、サイバーセキュリティ業界のイノベーションを促進することで、引き続き多くの人気を集めていました。

　RSA Conference 2024 Innovation Sandbox のファイナリストトップ 10 と、そのサービスの概要をご紹介します。

Aembit（2位):
- サービス概要: アプリケーションやサービスなどの重要なソフトウェアリソース間のアクセスを管理し、保護する。ワークロード間のアクセスワークフロー全体を大規模に自動化および保護を実現する。
Antimatter:
- サービス概要: あらゆるデータストアやアプリケーションのデータの匿名化、ログ記録、暗号化、アクセス制御を提供する。AI と ML での使用を安全にする。
Bedrock Security：
- サービス概要: AI Reasoning Engine (AIR)を用いた、包括的なデータセキュリティプラットフォームを提供する。データのコンテキストとリスク要因に基づいて修復の優先順位を決定する。
Dropzone A.I.：
- サービス概要：高度な AI テクノロジーを使用してアラートを自律的に調査する。24/7 アラート調査を自動化する Tier-1 SOC アナリストを提供する。
Harmonic：
- サービス概要: 世界中の企業に対して安全な AI 採用を提供するため、機密データを監視および保護するデータセキュリティプラットフォームを提供する。
Mitiga：
- サービス概要: 革新的な Cloud Attack Scenario Library (CASL) データベースによって、クラウドと SaaS 全体でより迅速に、優先順位を付けて脅威を検出する。クラウドとSaaS環境向けの脅威検出、調査、対応を専門としている。
P0 Security：
- サービス概要: クラウドアクセスのガバナンスを支援し、開発者のワークフローに影響を与えずにすべてのクラウドアイデンティティをインベントリ管理し、特権のあるアクセスや未使用のキーなどのIAMリスクを特定する。
Rad Security：
- サービス概要: クラウドネイティブの検出と対応において、カスタムの行動アプローチをエンジニアリングチームとセキュリティチームに提供する。
VulnCheck：
- サービス概要: 包括的なエクスプロイトおよび脆弱性インテリジェンスを提供して、防御者が攻撃者に先んじるのを支援する。どの脆弱性を早急に修復する必要があるかについて決定する。
Reality Defender（優勝者）：
- サービスの概要: エンタープライズと政府がディープフェイクを検出できるようにするためのプラットフォームと API を提供しており、AI 生成メディアを対象とした堅牢なディープフェイク検出を実現する。AI の力を活用して、 AI の悪意のある悪用に対抗し、包括的で信頼性の高いディープフェイク検出プラットフォームを提供する。

　これらの最先端のスタートアップをさらに詳しく調べてみると新たな発見があるかもしれません。

7. あとがき

今回は、5月6日から9日までカリフォルニア州サンフランシスコのモスコーンセンターで開催されたRSA Conference 2024について、現地から報告しました。AIが台頭する中で、AIを使ってセキュリティをどう守るか（AI for Security）、またAIに対してセキュリティをどう守るか（Security for AI）について、議論されていたというのが全体的な印象です。

U.S.のビジネスマンはほぼほぼ名刺を持っておらず、LinkedInでつながることが普通のようで、彼らに対しては、日本から持参した名刺はあまり役に立ちませんでした。

また、RSAC Innovation Sandboを通じて、女性の起業家が多かったことも今回の新たな気づきでした。

RSC Conferenceは非常に多くのイベントやセッションが用意されていますので、予め自身の目的を定め、スケジュールを立てて臨むことが非常に有効だと思います。

サイバーセキュリティは非常に変化が激しい分野ですので、今回RSA conference 2024でつながったコミュニティを新たな武器として、引き続き、セキュリティ事業に取り組んでいきたいと思います。

是非、このブログをご覧頂いた方ともつながりたいと思っています。