NCA Annual Conference 2024 レポート
1.はじめに
SHIFTのナショナルセキュリティ事業部所属の松尾です。
先日(12/19-20)開催された『NCA Annual Conference 2024』のうち、私は12/20のみ参加してきましたので、レポートしようと思います。当カンファレンスは日本シーサート協議会主催によるもので、コンピュータセキュリティインシデント対応(CSIRT活動)の内容を中心としたカンファレンスとなっています。わかりやすくいうと情報セキュリティ周りの内容となります。
私は、普段の業務で、組織・ITガバナンスやRisk Management Framework(RMF)を取り扱っているほか、情報セキュリティ全般の知見としてCISSP(Certified Information Systems Security Professional)を取得しています。
思えば、それなりの知見をつけてからカンファレンスに参加するのは、JAWS FESTA 2024が初めてでごく最近のことでした。好奇心ももちろんありますが、自身の知見と照らし合わせてセッション内容を聴講することができるようになった、という楽しみが増えました。
ここまでこれたのも、新卒のときにAWS Summit Tokyoに参加したときに初級セッションを聴いても何が何だかサッパリわからなかったのがきっかけで、AWS資格を取得しはじめたことがすべてのはじまりだったように思えます。行動しないとわからないものですね。
宣伝となりますが、弊社では「RMF対応支援コンサルティングサービス」を取り扱っていますので、RMFの概要説明と併せてご参考まで。
2.聴講セッション
聴講したセッションのうち、以下抜粋したものをそれぞれ簡単にご紹介します。
2.1.企業経営者がCSIRTに求めるもの ー CSIRT2.0への提言
私はCISSPで経営者視点での一般的にセキュリティ対応の知見はありますが、有識者の知見を得たく、本セッションを聴講しました。セキュリティ事故は会社が倒産するリスクがあり、これを防ぐための対策を伝統的な定義のほかDXにあたる新しい定義のハイブリッドの形で対応するというものでした。
まず、伝統的な定義にあたるものですが、セキュリティ業務の方ではご存知のNIST Cyber Security Framework(NIST CSF)をベースに組織および技術のインシデント対応(事前・事後)を取り決めるというものです。新しい定義とはNIST CSF範囲外にあたるAIなどの最新技術を取り入れてインシデント対応のDX化を図るというものでした。
また、インシデント対応はこれといった具体的な施策というものは存在しないが、定石はあり、具体的には「現場をねぎらう」「被害最小化」「公表(報告)するに足るサブスタンス」「現実性のある防止策」とのことでした。
確かにインシデント対応は組織規模や守る対象の資産価値によって対応方法が変わってきます。定石どおりにやらないといけないんだ!といって俗にいう原理主義に走り、運用がまったく回らないことになると元も子もありませんから、インシデント施策は組織の特性を分析し、取り決めることが重要であると改めて考えました。とても面白いセッション内容でした。
【出典】"企業経営者がCSIRTに求めるもの ー CSIRT2.0への提言(NCA Annual Conference 2024)"
2.2.XSS攻撃から考察するAWS設定不備の恐怖
大瀧(弊社メンバー)による登壇項目のため内容は割愛するとして、本セッションは、NCA Annual Conference 2024のセッションの中では唯一タイトルからAWSを中心とした内容であり、異色でしたが、満席で立ち見する方もいる状況に驚きました。脆弱性攻撃を起点としたAWS周りの内容に興味がある方がたくさんいることに勉強になりました。
また、聴講者より、システム運用中のAWS WAFのルールアクションについて、BlockよりもCountを中心とすることが通例なのかという質問がありました。これに対して大瀧は、「Blockを中心とした運用であると正常動作がAWS WAFにより停止するリスクがあるため、通常はCountで悪意ある攻撃を検知する形で運用し、攻撃された場合のリソース復旧はバックアップを常に取得して対応するものとしたほうがよい」と回答。私もその場で考えてみましたが、バックアップに対してリスク移転することがベターという同じ結論に至りました。ただ、定期と不定期(インシデント発生時)のルールの見直しは必要ですね。
【出典】"AWS WAF でのルールアクションの使用(AWS)"
【出典】"XSS攻撃から考察するAWS設定不備の恐怖(NCA Annual Conference 2024)"
2.3.セキュリティアナリストの頭の中をRAGにしてみた<最新AIで業務効率UP>
本セッションも幸加木(弊社メンバー)による登壇項目のため内容は割愛するとして、インシデント対応の第一歩であるSOCアラートハンドリング業務をRAGによるAI化により業務効率化を図るというものです。SOC対応では、SOCチームが人力で対応するものであり、実践までに人材育成はもちろんのこと、定期的な訓練などが必要となり、セキュリティ人材不足・後継者問題があります。この人によるオペレーションを、AI化することで業務効率化を図ることができれば、これらの問題を解消する手立てとなるということです。
なかなか、SOC対応のインプットとなる情報(実績のあるケース)をそのままAIに取り込んでも、実践レベルのアウトプットが得られず、インプットを具体的に明示して取り込む必要があることがポイントだということがよくわかりました。一般的に、AIによる業務効率化は精度の問題で一筋縄ではいかない苦労があるとよく聞きますが、どこでもこの課題はつきものですね...。AI勉強しないと。
【出典】"SOC(Security Operation Center)とは(docomo business)"
【出典】"セキュリティアナリストの頭の中をRAGにしてみた<最新AIで業務効率UP>(NCA Annual Conference 2024)"
執筆者プロフィール:松尾光敏
過去にアプリケーション開発・基盤構築を経て、いまはコンサルとしてメインクライアントの官公庁案件のほか、社内AWS CCoEに関わっています。最近は週末に、コンサルのための体力づくりと歳による体力低下を補うために趣味のサイクリングを再開しました。
■保有資格
・CISSP
・CISA
・PMP
・AWS認定全冠(2023/2024 Japan AWS All Certifications Engineers)(※2025も条件満たしました)
・Azure Solutions Architect Expert
・Google Cloud Professional Cloud Architect
お問合せはお気軽に
SHIFTについて(コーポレートサイト)
SHIFTのサービスについて(サービスサイト)
SHIFTの導入事例
お役立ち資料はこちら
SHIFTの採用情報はこちら