今宵のサイバーセキュリティについて気になること:特定高度情報通信技術活用システムの開発供給及び導入の促進に関する法律, Rust, ChatGPT, CDM, NISC, PSYOP, MIST

特定高度情報通信技術活用システムの開発供給及び導入の促進に関する法律

サイバーセキュリティを確保しつつ適切に行われることを基本とし、新たな事業の創出及び事業の革新の促進に資するとされており認定申請に関する申請要領 令和4年4月28日 版において、サイバーセキュリティの確保に関する運用を的確に行うに足りる知識及び技能を有する者として、情報処理安全確保支援士又はこれと同等以上の知識及び技能を有すると認められる者を配置していること【配置している資格等保有者のリスト】が明記されました。

申請要領(開発供給計画)【令和4年4月28日版】

PDCAサイクルの循環により、継続的なサイバーセキュリティの水準の向上につながる仕組み を構築し、その有効化を図るため、次のいずれかを実施していること【ISO27001 認定書若しくは それと同等のチェックを行ったことの証明】

  • サイバーセキュリティの確保のための管理体制について、第三者認証(ISO 27001)を取得し、維持していること
  • 定期的に、サイバーセキュリティに関する外部監査等(当該監査を受けられないやむを得ない事情がある場合は、外部監査に準じた措置として組織内において講じるものを含む。)を実施するとともに、当該外部監査等の結果に基づき、サイバーセキュリティ対策の改善を行っていること
  • 開発供給を行うシステムについて、サイバー攻撃に対するリスク分析を実施し、リスクを認識し た上で、当該リスクに応じた技術的及び組織的な脆弱性対策を実施すること【リスク分析の結果 及びそれを踏まえた脆弱性対策の概要】

など

Memory Safe Languages in Android 13 – Rust

https://security.googleblog.com/2022/12/memory-safe-languages-in-android-13.html

これまでのところ、Android の Rust コードでメモリの安全性に関する脆弱性は発見されていません。

Android では、メモリの安全性に関する脆弱性は、10 年以上にわたり脆弱性の 65% 以上を一貫して占めてきましたが大幅に減少しました。

C/C++ から Java/Kotlin/Rust へ

ChatGPT shows promise of using AI to write malware

ChatGPTに悪意のあるコードを書かせるために、単純なcapture-the-flagの課題を解くように指示したところ、コードにバッファオーバーフローの脆弱性があることを正しく認識し、その欠陥を悪用したコードを書き上げました。

例えばadversarial attacksは学習精度を上げるためのGAN:敵対的生成ネットワークの延長線上にあるものです。近い将来にAIが人間よりも早くゼロデイを発見し、AIが防御する時代が来ると思います。

https://openreview.net/pdf?id=BkJ3ibb0-

US National Cyber Director plans Japan trip to bolster digital cooperation

米中間の緊張した関係の中で、U.S. National Cyber Director の Chris Inglis は、今月末に日本を訪問しサイバー防衛の強化に向けて日本政府関係者に助言する予定です。

中国と北朝鮮のハッカーが今後数年間でさらに大きな脅威になることが予想されるため、サイバーセキュリティ協力体制を改善するため、ホワイトハウスの重要な目標である「サイバー・レジリエンスと準備」を推進しており、日本政府は2024年までにNISCを拡張し米国とのコミュニケーションを円滑にするだけでなく、作戦上のコラボレーションを推進する模様です。

Internet Explorer 0-day exploited by North Korean actor APT37
https://blog.google/threat-analysis-group/internet-explorer-0-day-exploited-by-north-korean-actor-apt37/

DADCが進める日本版CDMの構築が急務だと思います。

デジタル庁 第1回次世代セキュリティアーキテクチャ検討会https://www.digital.go.jp/councils/5589466b-5eb7-447d-9164-2cfa048a0d0f/

防衛省、世論工作の研究に着手 AI活用、SNSで誘導

2022/12/12 防衛省は、「AI技術を使って国内世論を誘導する工作の研究に着手した」などとする一部報道について「全くの事実誤認であり、防衛省として、国内世論を特定の方向に誘導することを目的とした取り組みを行うことはありえない」と明確に否定しました。

そのうえで、「厳しさを増す安全保障環境やIT技術を含む技術革新の急速な進展等に伴い、認知領域を含めて、これまでの戦い方の抜本的変化に対応していくことが重要となる中、防衛省としては、情報戦対応も含め、必要な体制整備を適切に実施していく」とコメントしております。
https://news.yahoo.co.jp/articles/d8b038939ca726e825eb51090fe0c9fd5e3bb924

いよいよ防衛省がAIを活用して、ナッジ理論を応用したフレーミングやラベリング、アンカリングなどのテクニックを駆使してPSYOPすることになりそう。新たな職業としてマインドハッカーが必要とされる時代に。

なお、副産物として世論操作している人物も特定できます。

参考:MINDHACKの認知がSNSとゲームによって広がりそうです。

『MINDHACK』は、現代社会とファンタジーを融合させた世界の物語です。 ギャングのヘッドを務めるウニ、カルト宗教の信者、世界の破滅を目論む魔王…… 素性も姿も多種多様な悪人たちを、精神を書き換えることによって 無害な善人に更生させていきます。

USASOC 4th Psychological Operations Group (空挺部隊)

PSYOP フォースは影響力のマスターであり、情報戦の中核です。私たちは、心理的な脆弱性を標的とし、敵対する組織に亀裂、混乱、疑念を生じさせたり強化したりする影響活動を行います。

https://www.soc.mil/4thPOG/4thPOGhome.html

医療機関向けセキュリティ教育支援ポータルサイト – MIST

厚生労働省委託事業 医療機関向けセキュリティ教育支援ポータルサイト「MIST」Webページが公開されました。

https://mhlw-training.saj.or.jp/about-business/

医療機関の方がサイバーセキュリティに関する研修情報を収集または受講申し込みなどができるサイトです。またインシデント発生時の通報などにも利用できます。

投稿者: 二本松 哲也

SPbD:Security&Privacy by Design Founder ー OWASP Member ー ITは人々の生活をあらゆる面でより良い方向に変化させること ー 競争原理から共創原理へ