LACWATCH 「情シス部門のゼロトラスト導入に向けて#3 権限付与について考えてみよう」
執筆致しました!
微力ですが情シス部門や一人情シス、セキュリティ担当者の方に届けられたらと願っております。お役に立ちましたら幸いです。
「最近のAIの進歩が社会と人類に重大なリスクをもたらす」
イーロンマスクらは独立した有識者が先端AI開発の安全性に関する共通規範を策定、実行、検証するまでAIの開発を停止するよう呼びかけました。
研究者の間でAGI(人間の認知能力を超える人工一般知能)の到来する予想が繰り上げられました。
An open letter with signatures from the biggest names in tech has urged the world’s leading AI labs to pause the training of new super-powerful systems for 6 months, saying that recent advances in AI present “profound risks to society and humanity” https://t.co/ovsQ0vG647
— TIME (@TIME) March 30, 2023
署名はこちら👇
AIエージェントがX-62A VISTAを操縦して高度な戦闘機操縦を行う12の飛行テストを実施
国防総省の合同チームは、2022年12月1日から16日まで、カリフォルニア州エドワーズ空軍基地で、AIエージェントがX-62A VISTAを操縦して高度な戦闘機操縦を行う12の飛行テストを実施しました。
その一つである、DARPAのAir Combat Evolution(ACE)のAI駆動型自律化エージェントは、レッドチームの実験用AIエージェントに対してドッグファイトを行いました。
我々はさまざまな開始条件の下で出撃を実施し、敵に対して武器を使用して様々なアルゴリズムを多数テストしました
DARPA Hefron 中佐
AI駆動の自律エージェントによって、将来的には人間を超える戦闘能力を持つAIが生まれると思います。
Congratulations to the combined team from @DARPA, @AFResearchLab and the USAF Test Pilot School on another Edwards AFB milestone!@HQ_AFMC @AFTestCenter @usairforce @aircombatcmd #historymaker #AI https://t.co/CcT0oVBXEX
— Edwards Air Force Base (@EdwardsAFB) February 13, 2023
イタリアのデータ保護機関がOpenAIを調査
イタリアのデータ保護機関は、OpenAIを調査の間ChatGPTがイタリアのユーザーのデータを収集するのをブロックすると発表しました。
ChatGPT is temporarily banned in Italy amid an investigation into data collection
npr.org
AI ホワイトペーパー案 ~AI新時代における日本の国家戦略~がリリース
- 新たなAI国家戦略の策定の必要性
- 国内におけるAI開発基盤の育成・強化
- 行政における徹底したAI利活用の推進
- 民間におけるAI利活用の奨励・支援
- AI規制に関する新たなアプローチ
日本の学際的な知識・先端技術を集積、国際的な連携を東ロボで行ってきました。学習で量が質を変える現象「相転移」を踏まえDFFTコンセプトに基づく「国際データ流通網」をAIに広げていく。G7で国際的な連携のもと真のOpen AIを目指し、日本が主導することを期待します。
Microsoft Security Copilot
Microsoft Security Copilot は、AI を利用したセキュリティ分析ツールであり、迅速にアナリストが脅威に対処し、シグナルをマシンパワーで処理し、リスクを数分で評価できるようにします。
Security Copilot と対話してアドバイスが得られます。
- インシデント対応
- 脅威ハンティング
- セキュリティ レポート
Uncover, investigate, and respond to threats in minutes with intelligent guidance informed by 65 trillion daily signals: https://t.co/ru18U1BBuh #AI #InfoSec
— Microsoft Security (@msftsecurity) April 6, 2023
一般ユーザーにとって、パソコンをかったら「これだけはやっておけ」というセキュリティ対策は何ですか?
パソコンをかったらパスワードの設定だけは正しくやっておくことをお勧めします。また、できる限りパスワードレス認証をお勧めします。
「エン転職」25万5765人分の履歴書が漏洩
パスワードの使い回しはやめましょう。
また、利用後は退会して個人情報を削除することをお勧め致します。
リスト型アカウントハッキングを試みた場合、短期間(2023年3月20日~27日)の間に同一の送信元IPアドレス群から、複数のログイン(255,765名分のアカウント)が行われたことで検知されます。これにより、一部のユーザーのWeb履歴書にアクセスされた可能性があります。
なお、不正ログインを試行していた送信元IPアドレス群からの通信をブロックした模様です。
「エン転職」への不正ログイン発生に関するお詫びとパスワード再設定のお願い
リスト型アカウントハッキングによる不正ログインへの対応方策について
エン転職「退会手続きを行ないますと、ご登録されている個人情報や応募履歴等が全て削除されます。」
転職支援サービス プライバシーポリシー
「医療情報システムの安全管理に関するガイドライン第 6.0 版」の骨子(案)に関する御意見募集の結果について
公示されましたので、ご報告いたします。
非常時の対応における、情報セキュリティ対策の遵守すべき事項としてサイバー攻撃におけるランサムウェアなどによる身代金の支払いを禁じることや、データ復旧をシステムベンダーへ依頼する際の透明性の確保が必要だと考えます。
大阪急性期・総合医療センター情報セキュリティインシデント調査委員会報告書について
システムベンダーの責任の重さを感じます。
まずはOSなどと連動したシステムライフサイクルを定め、既存の契約を見直すと共に、厚労省ガイドライン従ったセキュリティ対策を早急に提案し、病院側とのやりとりなどを記録しておく必要があると思います。
情報セキュリティインシデント調査委員会報告書
厚生労働省 医療分野のサイバーセキュリティ対策について
コンビニ交付で別人の住民票が発行されるバグ、富士通Japanが原因を説明
OS を熟知してなければファイルの非同期処理や排他制御は難しいと思います。
デッドロックを避けるには、タイムアウトも有効ではありますが、アトミック性など考慮する必要があり、色んな処理との兼ね合いもあると思います。なお、要件や設計段階での考慮が重要だと感じます。
「Fujitsu MICJET コンビニ交付」のアーキテクチャー
コンビニのマルチコピー機に印刷させるのですが、プリンタの状態は流動的ですし、他社の独立した複合機のサービスや機能に割り込む事になります。また、自治体とLAGWANを介して繋がる通信処理として捉えた上で設計するため、様々な状態遷移を考慮する必要があると思います。
2010年から導入されているコンビニのマルチコピー機に印刷させる既存のシステムです。よって
- 「システムにはタイムアウトの上限が設定されていたため」とは、他社の独立した複合機のサービスや機能に割り込む事になるため上限を設けていたのかも
- 「別の利用者がファイルをつかめてしまう仕様の詳細などについては回答を控えた。」とは印刷イメージファイルのロックはマルチコピー機の仕様に関わるものかも
木を見て森を見る
プログラマーは従順です。設計書を渡せばきちんと作ってくれます。 しかし、アーキテクトの解像度が低くいと、設計はあてになりません。非機能要件の考慮が甘くテストも見過ごされ、バグが生まれます。そして末端のプログラマーが責められ、徹夜で対応する光景を幾度と見てきました。
その時々の制度設計を反映し、設計として最善を尽くしたレガシーシステムを紐解き、分解し、その後、モダンアーキテクチャに接合していくのはやはり容易ではありません。
デジタル庁 はじめに、アーキありき。
「Fujitsu MICJET コンビニ交付」サービスは全国989団体の自治体で導入した既存の仕組みですが「デジタル社会の実現に向けた重点計画」によるトータルデザインで、証明書交付申請の量と負荷、印刷処理における遅延を想定したアーキテクトの解像度が要求されたと思います。
システムベンダーが見る、ガバメントクラウドの風景-第4回富士通Japan株式会社-[#インタビュー]#デジタル行政 #行政DX #行政デジタル化 #富士通Japanhttps://t.co/0RQtdTbvz3
— デジタル行政 (@digitalgyosei) March 4, 2022
そこで、標準化基準における共通事項で、先行事業において構築したシステムが非機能要件(セキュリティ、可用性、性能・拡張性、移行性、運用・保守性等) を満たすことの検証を行う事が明記されております。とても良い計画だと思います。
GitHub がワンクリックでNTIA準拠の SBOMを生成できるExport SBOM 機能をリリース
生成された JSON ファイルには、プロジェクトの依存関係とメタデータが業界標準の SPDX 形式で保存され、セキュリティやコンプライアンスのワークフローで使用したり、Excel でレビューできます。
警察庁 家庭用ルーターの不正利用に関する注意喚起について
ルーターメーカーに向けご提案です。これからは管理画面にログインしたり設定変更、ファームウェアのリリース、サポートの終了をメールなど自動通知する機能にニーズがあると思います。ぜひご検討ください。
#BUFFALO #IODATA #NEC #ELECOM #NETGEAR #TPLink #ASUS #LINKSYS 順不同
警視庁の新たな対策 2023年3月28日
・見覚えのない設定変更がなされていないか定期的に確認する。
※メールなど自動通知する機能にニーズ
ご参考:DLPA推奨Wi-Fiルーター
・自動ファームウェア更新機能
・管理画面へログインするためのIDまたはパスワードの固有化
