SANS OSINT Summit 2023
OSINTコミュニティの発展に伴い、OSINTを遂行するための最良の方法についての概念、方法論、およびグッドプラクティスからなる倫理的枠組みが必要となってきました。あらゆる種類の OSINT 手法の改善に役立つと考えます。
OSINTの全貌: ObSINTガイドラインによる捜査力の強化
OSINTを支える一連の核となる横断的原則
- 正確性
- コミュニテイ
- ダイバーシティ(多様性)
- 説明責任
- バランスと責任
公共の利益に資するOSINT調査のガイドライン
公共の利益に資するOSINT調査のガイドラインがリリースされました。
このガイドラインの目的は、OSINTの調査・研究をどのように行うかについて、一方的なアプローチを提案することではなく、公共の利益のために活動する組織を支援し、その要件に基づいて採用または適応するための共通の倫理的枠組みを概説することです。また、組織に適用される現地の法律や規制を補完します。
Colette Cuijpers博士は「データがオープンに利用できるという事実は、法的・倫理的基準を無視して扱えることを意味しない。つまり公開されているというだけでリサーチする上で制約が無いことではない」と述べています。
私たちは、このガイドラインがOSINTコミュニティにおけるベストプラクティスと倫理に関する継続的で活発な議論を開始することを願っています。我々は、OSINT業務に携わる多様な利害関係者のコミュニティが本ガイドラインを使用し、我々全員がどのようにすればより良いことができるかについて追加のアプローチを提案することを期待しています。
Guidelines for public interest OSINT investigations
新たな攻撃ベクトル:Google Authenticatorのクラウド同期について
Retoolのレポート” When MFA isn’t actually MFA “(MFAがMFAでなくなるとき)から新たな脅威ベクトルとして、Google Authenticatorのクラウド同期について考察しました。
2023年8月29日、Retoolは27社のクラウド顧客に、不正アクセスがあったことを通知しました。なお、オンプレミスや管理アカウントへのアクセスはありませんでした。
12,000 台のJuniper SRX ファイアウォールおよび EX スイッチに CVE-2023-36845 の脆弱性
VulnCheckによる CVE-2023-36845 RCE の脆弱性スキャナーで、日本から約 188 台の脆弱な Juniper SRX ファイアウォールと EX スイッチが見つかりました。
既にwatchTowr LabsよりPoCが公開されていますので、お早めにアップデートをお勧め致します。
マイクロソフトのAI研究者が誤って流出させた38TBのデータ
WIZによれば、マイクロソフトのAI研究チームは、オープンソースのトレーニングデータをGitHubで公開していたところ、誤って38TBの個人データを公開してしまった模様です。
原因は、共有メカニズムとしてSASトークンを使用したこと。
MicrosoftはAzureポータル内でトークンを集中管理する方法を提供していないため、これらのトークンを追跡するのは非常に困難です。さらに、これらのトークンは、有効期限に上限がなく、事実上永久に存続するように設定できます。したがって、アカウント SAS トークンを外部共有に使用することは危険であり、避けるべきです。
対策としては、AIの研究開発プロセスを可視化することで、同様のインシデントを防ぐことができます。AI開発プロセスのあらゆる段階でセキュリティ・リスクに対する認識を高め、適切なガードレールを定義する事が重要です。
シスコがSplunkを買収、AIを活用した世界における組織の安全性と耐障害性の向上を目指す
この買収は、両社の能力を結集して次世代のAIを導入することを目的としています。Ciscoは、セキュリティ企業であるSplunkを約280億ドルで買収することで合意、ソフトウェア事業を強化するために行った最大規模の取引です。
2017年に性能監視ツール大手のAppDynamicsとSD-WAN市場をリードしてきたViptela社を買収し、運用監視ソフトウェア分野に本格的な取り組みを始めました。
「生成AIに聞けるので」と値下げ求められ ”士業”壊滅 に危機感
ゴールドラッシュとどう向き合うか
かつてリーバイ・ストラウスは金鉱で働く人の為に、リーバイス501を商品化しました。 子供に生成AIを与えても弁護士にはなれない…生成AIを活かすにはノウハウが必要です。
士業は個人で事務所を経営される方も多い為、AIはスタッフとして草案作りや壁打ちに使うことをお勧めします。
AIは教科書通りの答えは出せますが、回答の品質を上げるには、その分野の専門知識を持ち、壁打ちしながら誘導する必要があるためコストが掛かります。
「生成AIに聞けるので」と値下げ求められ 士業壊滅 に危機感https://t.co/PskVYIFevG
— 毎日新聞 (@mainichi) September 19, 2023
「機械じゃ代わりが利かないと思っていたが…」
新技術が生まれるたびに、士業は「なくなる職業」として取り沙汰されてきました。しかし生成AIの登場は、これまでの変革とは状況が違うようです。
GitHub Copilot Chat ベータ版がすべての個人に利用可能に
GitHub Copilot Chat ベータ版がすべての個人に利用可能になりました!
NEWS: GitHub Copilot Chat is now available free in public beta as part of your GitHub Copilot for individuals subscription. https://t.co/3edcSIMhpL
— GitHub (@github) September 20, 2023
GitHub Copilot Chat と Visual Studio Code について
👉 https://docs.github.com/en/copilot/github-copilot-chat/using-github-copilot-chat
GitHub Copilot for Business のプライバシーについて、データはどのように使用され、共有されますか?
👉 Copilot for Business ユーザーの場合、コンテキストプロンプトと提案は保存されません。
GitHub Copilot for Individuals のプライバシーについて、データはどのように使用され、共有されますか?
👉Copilot for Individuals ユーザーの場合、コンテキスト プロンプトと提案を GitHub が保持する選択可能なオプションがあります。
デジタル化に伴うビジネスの多様化を踏まえた不正競争防止法の在り方
不正競争防止保護法の隙間「秘密として管理されているものを除く」要件(不競法第 2 条第 7 項)の見直しへ
不競法第 2条第 7 項を改正し、限定提供データの保護範囲について、「秘密として管理されているものを除く」要件を、「営業秘密を除く」と改める、又は「秘密として管理されているものを除く」要件を削除する、との 2 案を検討し、いずれかの案により改正する方向で検討されています。
限定提供デー タの転得者の取引の安全、継続的なデータ取引の増加を踏まえ、転得者の善意・悪意の判断基準時を現在の限定提供データ取得時から繰り上げ、契約締結時へと整理する方向で検討しています。
転職先への個人情報データベース不正提供等被疑事件について
これからのCRMは、取引先情報の取得日時、場所、担当者などエビデンスを記録し、ヒューリスティックに不正取得の疑いがある場合は、内部通報する仕組みが必要だと思います。
また「秘密管理性」の要件を緩和し、不正競争防止法の観点で実態解明すべきでは。
例えば、仕入先情報に関する不正競争防止法上の「営業秘密」該当性が問題になった裁判例があります。
ここでは、秘密管理性の認定が認められず、仕入先情報が不正競争防止法上の「営業秘密」に該当することを否定しています。
デジタル庁「国・地方ネットワークの将来像及び実現シナリオに関する検討会」開催
令和5年9月12日、検討会は非公開のため内容は不明ですが、ゼロトラストの参考資料を元に、構成員・準構成員による意見交換を行った模様です。
日本を代表する有識者が集まり議論されております。
- 全体最適かつ効率的なネットワーク構成
- 強固なセキュリティ基盤 ・ユーザー利便性の向上
- 安定的な運用体制
- 強靭性の確保
国・地方公共団体・民間を通じたトータルデザインによって、誰一人取り残されない、人に優しいデジタル化を願っています。
誰一人取り残されない、人に優しいデジタル化を
品質を確保するためには、レガシーシステムを紐解いた解像度の高いフィジビリティ・スタディによって、適切なスケジュールと予算を確保する必要があります。
デジタル庁のトータルデザインで描かれる官民連携エコシステム、ベンダーを導くアーキテクトが必要だと思います。
誰一人取り残されない、人に優しいデジタル化を
システムベンダーが見る、ガバメントクラウドの風景-第4回富士通Japan株式会社-[#インタビュー]#デジタル行政 #行政DX #行政デジタル化 #富士通Japanhttps://t.co/0RQtdTbvz3
— デジタル行政 (@digitalgyosei) March 4, 2022
コンビニ交付サービスにおける住民票等誤交付事案に対する個人情報の保護に関する法律に基づく行政上の対応について(令和5年9月20日)
デジタル庁は、国民向けサービスから省庁向け業務システムまで、幅広い範囲のシステム構築に責任を負っています。これら複数のシステム構築におけるレガシーな問題点を把握し、あるべき将来のシステムアーキテクチャを描くことは重要な役割だと思います。
別人の証明書が発行されるコンビニ交付の不具合といった非機能要件、本人ではない家族名義の口座を紐付けない機能要件など、システム構築の目的と要件を見極めたアーキテクチャの検討と実行にアカウンタビリティーを持ち、いつの日かベンダーを導くアーキテクトが現れることを願っています。
新しい資本主義に向けて
Cool Japan 戦略によって世界から注目を集め、ITによって言葉の壁が無くなりつつあります。
また、外国人材の受入れ・共生のための総合的対応策によって、外国人労働者は令和4年(2022年)10月末において過去最高の約182万人となり、こちらも更に増えていくことが予想されます。
一方で、集団思考と呼ばれるリスキーシフトによって、組織の論理 > 倫理 となる場合もあります。
例えばSNSなどで、特定の個人に対して組織的な集団(profession)が相手の社会的評価を下げる行為も見受けられ、今回の社会問題にもつながっております。
世界に認められる Cool Japan として、グローバルから見た日本のギャップを乗り越え、新しい資本主義が実現することを期待しております。
岸田総理は国連総会で一般討論演説を行いました。 国際社会が対立や分断を乗り越え、「人間の尊厳」に光を当て、人間中心の国際協力を進め、協調の国際社会を実現していきます。 pic.twitter.com/HKGbvfv8V6
— 首相官邸 (@kantei) September 20, 2023
