#Infosec2024: 慈善団体がデジタル格差を埋め、新たなサイバー人材を育成 デジタル格差との闘いにおいて、Infosecurity Europe 2024に参加しているある団体は、解決策を提供するだけでなく、未来のサイバーセキュリティ人材を育てているのかもしれません。 英国拠点の慈善団体Every Child Onlineは、Infosecurity EuropeでのIT資産処分サービスを無料で提供しています。これらの資産はその後、整備され、慈善団体を通じて恵まれない子どもたちに配布されます。 「基本的な考え方は、いまや非常にデジタル化した時代において、すべての子どもが自分の可能性を発揮できるよう、必ず端末にアクセスできる状態にすることです」と、Every Child Onlineの共同創設者兼CEOであるマイク・ターバード氏はInfosecurityの取材で語りました。 「次の音楽プロデューサーや次の映画プロデューサーになるかもしれない子どもの話です。あるいは、サイバーセキュリティの分野に入りたい人もいるでしょう」と同氏は述べました。 サイバーセキュリティのスキルギャップを埋める Every Child Onlineは、必要としている人々に中古端末を届けるだけでなく、若者と協力してさまざまなIT職種のトレーニングも行っています。 Every Child Onlineの支援を受けている学生たちとマイク・ターバード（提供：Every Child Online） 同団体は、就業体験（ワークプレースメント）を行っている大学生を招き、端末の整備プログラムを手伝ってもらっています。作業内容には、Windows 10へのソフトウェア更新、ドライブの更新、コンピューターの修理、RAMの増設などが含まれます。 「私たちが始めようとしているのは、IT企業と連携・提携し、これらの学生が就業体験の期間中に企業のオフィスで働けるようにすることです」とターバード氏は説明しました。 企業とのパートナーシップを通じて、ターバード氏は、学生が大学から職場へとつながっていく流れを作りたいと考えています。 「あなたの目の前に座って仕事を求めてくる子どもが、私たちへの寄付のおかげでより高いスキルを身につけている可能性があるのです」と同氏は述べました。 安全な資産消去の仕組み 処分のために端末を持ち込む際は安全な方法で行う必要があり、Every Child OnlineはプロのIT資産処分会社と同様に運営されています。 端末を回収した後、ハードドライブは消去するか、破壊するかを選べます。同団体は、携帯電話やタブレットなどの端末のデータ消去を完了するために、業界で認められたソフトウェアを使用しています。 同様に、デスクトップPCやノートPCについても、同団体は3回消去プロセスでハードドライブを消去し、一度に数十台の端末を消去できます。 「Infosecurity Europeでは、会場内に機械を設置し、誰かが端末を寄付してから3分以内にハードドライブを破壊できます。これを無料で行います」と同氏は述べました。 「あるいは、端末を車両に積み込み、展示会終了後の夕方に（当オフィスの）施設へ持ち帰ります。その後に消去プロセスを実施し、消去ログや消去証明書を提供します。そしてハードドライブを再利用できるようになります」と同氏は述べました。 パートナー募集 端末の回収に加え、ターバード氏は、Infosecurity Europeへの出展が、企業にIT資産処分のパートナーとして同団体を検討してもらうきっかけになることを期待しています。 「本質的に、私たちとパートナーになることで恩恵を受けない組織はありませんし、地域社会にも貢献できます」とターバード氏は語りました。 デジタル格差の解消に協力するため、不要になった携帯電話、タブレット、ノートPC、デスクトップPCを持ってブースA174のEvery Child Onlineを訪れてください。こちらからInfosecurity Europeに登録してください。 翻訳元:

#Infosec2024: 慈善団体がデジタル格差を埋め、新たなサイバー人材を育成

デジタル格差との闘いにおいて、Infosecurity Europe 2024に参加しているある団体は、解決策を提供するだけでなく、未来のサイバーセキュリティ人材を育てているのかもしれません。 英国拠点の慈善団体Every Child Onlineは、Infosecurity EuropeでのIT資産処分サービスを無料で提供しています。これらの資産はその後、整備され、慈善団体を通じて恵まれない子どもたちに配布されます。…

#Infosec2024: 将来のサイバーセキュリティチームを育成する方法 執筆者 Infosecurity Europeの基調講演パネルで、セキュリティ責任者たちは、依然として競争の激しい市場において、熟練人材の採用と定着で直面している課題を概説しました。キャリアの進展、新しいスキルを身につける機会、そして良好なワークライフバランスはいずれも重要な要素です。 これらの要素を適切に組み合わせられる企業は、大企業の給与水準に及ばない場合でも、雇用市場で魅力的であり続けることができます。 まず第一に、セキュリティリーダーは採用の方法について考える必要があります。 コミュニケーション能力や、職務の中で成長していける力といったスキルは、技術資格よりも重要な場合があります。 「私はいつも、基準ではなく、求める人物像と、その人が担う仕事に基づいて採用するのが良い考えだと思っています」と、Vix Technologyの英国・アイルランド担当プロダクトディレクターであるSue Walnut氏は述べました。「どのスキルを求めて採用するのかを考えてください。」 「定着戦略の一部は、やや逆説的ですが、次へ進む時期であることを尊重することです」と、Smart DCCのCISOであるIan Spiller氏は述べました。「本人に成長の機会があり、それが［あなたの組織では］現実的でないのなら、それで構いません。」 これは、スタッフと企業の間に相互の尊重を育むことの一部だと同氏は言います。「給与面では最大額は払えませんが、家族的な組織としてもう少し手厚くすることはできます。それが人を引き留めるうえで大きな効果があります。」 Walnut氏はまた、まず社内で欠員を埋めることを検討するのが有効だと付け加えました。スタッフはすでに事業についての知識を持っており、キャリアの進展にもつながるからです。「研修コースに参加させて、会社への忠誠心を身につけさせることはできません」と同氏は述べました。 テクノロジー企業Paddleでは、インフォセキュリティおよびエンタープライズテクノロジー担当VPのJonny Herd氏が、セキュリティ職に最適な人材は、必ずしもすでにセキュリティ業界にいる人とは限らないと付け加えました。 「セキュリティをやるにはサイバーの仕事に就いている必要がある、と思い込まないでください」と同氏は述べました。「ITの人や、ヘルプデスクの人に目を向けてください。私たちはそこで多くの人を採用しており、セキュリティへ移れる方向に進んでいきます。」 ITからセキュリティへの移行はよくある道筋ですが、Herd氏はdevsec ops や、開発チーム内でセキュリティスキルを高めていくことも不可欠だと見ています。Paddleで同氏が最初に構築したチームはアプリケーションセキュリティ向けで、プライバシーなどの領域は後から加わりました。「目の前にある課題に対してチームを作るのです」と同氏は述べました。 サイバーセキュリティのスキル不足について詳しく読む：企業の40%以上がサイバーセキュリティ人材不足に苦戦 しかし、企業はスタッフを定着させる必要もあります。そのためには、給与、ワークライフバランス、成長機会の適切な組み合わせを見つけることが重要です。場合によっては、大切なチームメンバーが次へ進む時期であることを受け入れることを意味します。 左から右へ：Sue Walnut（Vix Technology 英国・アイルランド担当プロダクトディレクター）、Ian Speller（Smart DCC Ltd CISO）、Johnny Heard（Paddle 情報セキュリティ＆エンタープライズテック担当VP）、Barry Coatesworth（英国政府 サイバーセキュリティアドバイザー） 翻訳元:

#Infosec2024: 将来のサイバーセキュリティチームを育成する方法

執筆者 Infosecurity Europeの基調講演パネルで、セキュリティ責任者たちは、依然として競争の激しい市場において、熟練人材の採用と定着で直面している課題を概説しました。キャリアの進展、新しいスキルを身につける機会、そして良好なワークライフバランスはいずれも重要な要素です。 これらの要素を適切に組み合わせられる企業は、大企業の給与水準に及ばない場合でも、雇用市場で魅力的であり続けることができます。 まず第一に、セキュリティリーダーは採用の方法について考える必要があります。…

#Infosec2024: AI生成コードのサイバー課題に取り組む プログラマーは近い将来、ソフトウェア開発でAI生成コードを使用するようになる可能性があるが、その潜在力を最大限に引き出すには、サイバーセキュリティコミュニティがセキュリティおよびデータプライバシーのリスクを克服しなければならない。 Infosecurity Europe 2024での講演で、Synopsysのアプリケーションセキュリティエンジニアリング担当エグゼクティブディレクターであるルーカス・フォン・ストックハウゼン氏は、生成AIを業務で利用する際にプログラマーが直面する主な課題を共有した。 今日、AIがコーダーをどう支援しているか 元エンジニアである同氏は、コンサルティング会社Gartnerの見解を引用し、生成AIは間違いなくソフトウェアのコーディングを大きく変えると述べた。 「実際、AI技術はすでにプログラマーの生産性に大きな影響を与えています」と彼は続けた。 例えば、2022年のGitHub Copilotの分析では、AIによってコードのデプロイが25%改善し、開発者の全体的な生産性が50%向上したことが示された。 しかしストックハウゼン氏は、生成AIの採用が広がるにつれてこれらの数値はさらに増える可能性が高いとしつつも、完全にAI生成されたコードのユースケースはまだ存在しないとも認めた。 主な理由は、現在の生成AIツールは特定のタスクには強い一方で、複雑な要求にはあまり対応できないためだ。 「例えば、GitHub Copilotはクロスサイトスクリプティングや操作の不適切な制限といった特定のセキュリティ上の弱点を回避するのが得意であることが証明されていますが、不適切な入力検証やオペレーティングサービスのコマンドインジェクションなど、別の弱点には特に陥りやすいようです」とストックハウゼン氏は付け加えた。 他の理由としては、大規模言語モデル（LLM）ベースのツールが、脆弱なコードや不適切に書かれたコードを再利用しがちな点が挙げられる。これは、誤った情報やハルシネーションを提供することがあるのと同様だ。 「現在、コード生成におけるAIの利用は、AIコーディングアシスタント、AI対応アプリケーション、そして商用の大規模言語モデルがプログラマーを支援する、という3種類です」と彼は付け加えた。 AI生成コードの主な課題 コーディング向けに設計された生成AIツールは、いずれより効率的で正確になっていくとストックハウゼン氏は述べた。 こうした予測される進歩は歓迎すべきものだが、主にAIツールを用いてコードを生成することには、依然として重大な技術的リスク、セキュリティリスク、プライバシーリスクが伴うとも彼は付け加えた。 そのためサイバーセキュリティコミュニティは、すでに次のような主要課題の一部を緩和する方法を構築しておくべきだという。 AI生成コードの可視性の欠如 オープンソースソフトウェアのライセンス違反 コードのセキュリティと品質 技術的負債の指数関数的な増殖 LLMエコシステムへの知的財産（IP）の漏えい ストックハウゼン氏は、「LLM向けOWASP Top 10のようなリソースは始めるのに最適な場所ですが、これらの課題すべてに対処するには十分ではありません」と述べた。 明日のAI生成コードツールを安全にする ストックハウゼン氏は、AI生成コードが主流になる前にこれらのリスクに対処するための優先事項を3つ挙げて推奨した。 それは次のとおりだ。 IP保護を最優先事項として、AI利用のポリシーと実務を定義する AIコーディングアシスタントを慎重に選定する AI生成コードをただ信頼するのではなく、人間が生成したコードを検証するのと同じ方法で検証する 翻訳元:

#Infosec2024: AI生成コードのサイバー課題に取り組む

プログラマーは近い将来、ソフトウェア開発でAI生成コードを使用するようになる可能性があるが、その潜在力を最大限に引き出すには、サイバーセキュリティコミュニティがセキュリティおよびデータプライバシーのリスクを克服しなければならない。 Infosecurity Europe 2024での講演で、Synopsysのアプリケーションセキュリティエンジニアリング担当エグゼクティブディレクターであるルーカス・フォン・ストックハウゼン氏は、生成AIを業務で利用する際にプログラマーが直面する主な課題を共有した。…

#Infosec2024 スパイウェア：市民社会への脅威であり、ビジネスへの脅威でもある Infosecurity Europe 2024の専門家パネルによると、商用スパイウェアは個人や市民社会だけでなく、企業にとっても脅威となっている。 セキュリティ研究者は、11社またはスパイウェア・グループに由来する16種類の異なるスパイウェア亜種を特定した。しかし、この総数は、悪意あるアプリケーションと、悪用されるリスクのある正規ソフトウェアの双方について、より広範な実態を覆い隠している。 これには、特にスマートフォンを標的とする「ワンクリック」および「ゼロクリック」スパイウェアのほか、いわゆる「ストーカーウェア」、さらには、情報機関や法執行機関、サイバーセキュリティチームが犯罪ハッカーと同様にデバイスを監視し機微データを収集するために利用し得るオープンソースツールまで含まれる。 「スパイウェアという言葉は、実にさまざまなものを意味し得ます」とBH ConsultingのCEO、ブライアン・ホーナンは述べた。「『ストーカーウェア』があります。これはパートナーや子どもの活動を監視するために購入でき、彼らの安全管理を助けるツールとして販売されていますが、悪意ある者の手に渡れば悪用され得ます。そして、サイバー犯罪者が情報窃取ツールやスパイウェアを使ってネットワークに侵入しているのです。」 商用スパイウェアは、その高コストも一因となり、市場がより限定的である。 「情報を盗み、活動や通話を監視するソフトウェアを書くために設立された企業があります」とホーナンは述べた。こうしたソフトウェアは、会議を盗聴するためにマイクやカメラを作動させることさえできる。 デュアルユースのスパイウェア GEODEのシニア研究員であるオード・ジェリーによれば、スパイウェアへの対処は、技術の「デュアルユース（軍民両用）」という性質と、スパイウェア開発が法的グレーゾーンに存在することによって、さらに困難になっている。ソフトウェアそのものを書くことは合法だが、その使用は人権法やデータプライバシー法制に抵触し得る。 「スパイウェアの開発自体は禁止されていませんが、だからといって法的空白があるという意味ではありません」とジェリーは説明した。「政府がこれらのツールを使用する方法を制約する、適用されるルールが存在します。」 これらのルールには個人のプライバシー権が含まれる。これは絶対的なものではないが、いかなる干渉も、正当な目的の追求において比例的であることを求める。法の専門家は、スマートフォンからすべてのデータを収集することは比例的ではないと示唆している。 「これらのツールが法執行機関によって使用されているという事実は、両者の間にミスマッチがあることを示しています」とジェリーは述べた。 Infosecurity Europeの関連記事を読む：#Infosec2024：増大する脅威にデータセキュリティが追いつく必要がある 人権とサイバーセキュリティ 一部の国家はスパイウェアの開発と使用を制限する方向に動いており、特に米国、フランス、英国が挙げられる。しかしホーナンが警告したように、EU内で公然と活動している開発者もおり、彼らはEU市場へのアクセスと、同ブロックの強力なプライバシー政策との結び付きの双方を得ている。「EUにいれば、その正当性が得られます。EUにはGDPRがあり、それに整合していなければならない」と彼は述べた。だが、実際にはそうなっていない。 ホーナンは、スパイウェアが流通している限り、サイバーセキュリティチームはそれに対抗して防御する必要があると警告した。たとえ企業がスパイウェアの標的でなくても、従業員が標的になる可能性がある。例えば、抗議活動の際に業務用デバイスを使用したためかもしれない。 「ベンダーに相談し、そのソフトウェアがスパイウェアを検知し防御できるか尋ねてください」と彼は助言した。「できないなら、できるところに相談してください。」 翻訳元:

#Infosec2024 スパイウェア：市民社会への脅威であり、ビジネスへの脅威でもある

Infosecurity Europe 2024の専門家パネルによると、商用スパイウェアは個人や市民社会だけでなく、企業にとっても脅威となっている。 セキュリティ研究者は、11社またはスパイウェア・グループに由来する16種類の異なるスパイウェア亜種を特定した。しかし、この総数は、悪意あるアプリケーションと、悪用されるリスクのある正規ソフトウェアの双方について、より広範な実態を覆い隠している。…

#Infosec2024: AIレッドチーミング提供企業Mindgard、英国で最も革新的なサイバーSMEに選出 英国の「Most Innovative Cyber SME」コンペティションの審査員は、Mindgardを2024年の受賞者に選出した。 この賞は、Reed Exhibitionsのポートフォリオ・ディレクターであるSaima Poorghobad氏により、Infosecurity Europeの会期中に発表された。 同氏は、コンペティションを審査したサイバーセキュリティ専門家パネルが、AIセキュリティ提供企業であるMindgardについて「独創性、インパクト、市場ニーズを示す非常に明快なピッチを行った」と称賛したと述べた。 また、同スタートアップが選ばれた理由として、「AI導入における最も差し迫った課題のいくつかに取り組んでいる」点を挙げた。 出典: Infosecurity Europe 学術研究に支えられたAIレッドチーミング・プラットフォーム Mindgardは英国拠点のスタートアップで、企業のセキュリティチームがさまざまなAIユースケースを展開できるよう、AIの脆弱性に対する継続的なレッドチーミングと修復を行うためのプラットフォームを提供している。 式典後にInfosecurityの取材に応じたMindgardのプロダクト責任者Nipun Gupta氏は、「私たちは、企業が利用するAIモデルを安全にテストすることで、AIから価値を引き出す支援をしています」と説明した。 Mindgardは、ワークフローにAIユースケースを実装する組織が、これらの異なるモデルを特定の敵対的攻撃に対してテストし、特定の脆弱性を見つけるのに役立つSaaS（software-as-a-service）プラットフォームを提供している。 「従来、レッドチーミングは、ITシステムに対して敵対者のような攻撃者の行動をシミュレートすることと結び付けられてきました。私たちはこれをAIモデルで行おうとしています」とGupta氏は述べた。 生成AIが世界を席巻する中で同スタートアップはステルスモードを脱したが、同氏は、レッドチーミング・プラットフォームの能力は生成AIや大規模言語モデル（LLM）にとどまらないと語った。 「私たちは、ディープラーニングモデルやLLM以外のGenAIアプリケーションを含む、あらゆる種類のニューラルネットワークに対する敵対的機械学習攻撃を理解できます。当社のプラットフォームは、ほとんどのAIモデルに見られるブラックボックス効果を打ち破れる形で攻撃を再現し、モデルがさらされているリスクに基づいてセキュリティ態勢を報告できます。」 Mindgardの創業機械学習エンジニアであるStefan Trawicki氏は続けてこう述べた。「機械学習の基礎を理解しているので、どのAIモデルを扱っているかは実際のところあまり気にしません。」 Mindgardのプラットフォームが用いるレッドチーミング手法には、モデルの入出力分析や、アプリケーション・プログラマブル・インターフェース（API）分析などがある。 「脱獄（jailbreak）のようなAIプロンプトハッキングの脆弱性を特定できるだけでなく、『モデル抽出（extract model）』や『学習データ抽出（extract training data）』といった、AIモデルのより根本的な欠陥も見つけられます」とTrawicki氏は付け加えた。 Gupta氏は、Mindgardのプラットフォームは社内のレッドチーミング作業を置き換えるのではなく、補完するよう設計されていると述べた。「それらを強化し、組織が依存しているAIモデルが脆弱な特定の攻撃に集中できるようにします。」 研究室からスタートアップへ Mindgardの物語は2018年にさかのぼる。ランカスター大学のコンピュータサイエンス教授であるPeter Garraghan氏が、2014年に設立した自身の研究室で、敵対的機械学習の研究を開始した。 「当初は、敵対的機械学習の研究がいかに断片的であるかに気づいたことから始まりました。当時のプロジェクトの多くは非常に学術的な書き方で、産業用途には適していませんでした。私たちは自分たちの研究を、AIモデルを迅速にテストできるユーザーフレンドリーなプラットフォームへと統合し始めました」と、Garraghan氏の学術チームの一員だったTrawicki氏は語った。 その後、ランカスター大学の研究者たちは、自分たちが構築しているものと同様の商用製品が存在しないことに気づき、2022年にMindgardを設立した。 同スタートアップは、Lakestar、IQ Capital、Osney Capitalから300万ポンド（380万ドル）を調達している。顧客は主に、あらゆる業種の大企業だ。 翻訳元:

#Infosec2024: AIレッドチーミング提供企業Mindgard、英国で最も革新的なサイバーSMEに選出

英国の「Most Innovative Cyber SME」コンペティションの審査員は、Mindgardを2024年の受賞者に選出した。 この賞は、Reed Exhibitionsのポートフォリオ・ディレクターであるSaima Poorghobad氏により、Infosecurity Europeの会期中に発表された。…

#Infosec2024: セキュリティ脅威に追いつくため、CISOはパスワードを超えた対策へ移行する必要がある 企業も消費者向け組織も、パスワードから離れ、より安全で利便性の高い認証方式へ移行することを検討すべきだ。 これは、Infosecurity Europe 2024で登壇した認証分野の専門家たちの見解だ。 平均的なビジネスユーザーや消費者が現在覚えなければならないパスワードの数は膨大で、実務上の困難だけでなくセキュリティリスクも生む。誰かが「パスワードをナプキンに書く」、あるいはオンライン上の文書に保存してしまう危険は常にある。 左から右へ：Parul Khedwal（Trainline セキュリティ運用リード）、Raul Zeppenfeldt（PA Consulting プリンシパル・コンサルタント）、David Savage（カンファレンス議長）（クレジット：Stephen Pritchard） 「認証は、数少ない“ユーザーへの依存度が非常に高い”コントロールの一つです」と、PA Consultingのプリンシパル・コンサルタントであるRaul Zeppenfeldtは述べた。「これは、コントロールできない根本的な欠陥です」 さらに、強固なパスワードであっても侵害され得るというリスクがある。このリスクは、量子コンピューティングのような新しい技術によって、今後さらに高まるだろう。 「使っている40個のアプリケーションのために40個のパスワードを覚えるなんて、誰にもできません」と、Trainlineのセキュリティ運用リードであるParul Khedwalは語った。「利便性の問題だけではなく、セキュリティの問題でもあります」 多要素認証（MFA）へ移行すれば状況は改善するが、Khedwalは、セキュリティ向上の最善策はパスワードレス認証だと示唆した。これが、銀行アプリのような機微な領域で採用が進んでいる理由の一つでもある。 「最も重要なのはそこです。銀行アプリのデータ、企業データは、パスワードレス化の主要なユースケースです」と彼女は述べた。「多くの銀行アプリはパスワードを廃止しています」。代わりに、生体認証やパスワードレス認証を利用している。 デジタル利用 認証を改善する必要性は、デジタルシステムの利用拡大によって、さらに切迫したものになっている。 これは、より多くのパスワードを設定し、覚えることを意味する。同時に脅威も増える。犯罪ハッカーは、機密データへのアクセスや企業システムへの侵入手段として、認証、特に弱いパスワードを標的にする。 Zeppenfeldtによれば、侵害の最大90%はパスワードの漏えいに起因すると追跡できるという。パスワードを廃止すれば、リスクを低減できるだけでなく、パスワードリセットのようなサービスに伴う運用負荷も削減できる。 Zeppenfeldtは、パスワードレス認証と同様に、ゼロトラストへの関心が高まっていると見ている。 「ゼロトラストの原則は、パスワードが推測されることを前提にしています」と彼は述べた。 その代わり、ゼロトラストのようなアーキテクチャは、通常と異なる時間帯のアクセスや、通常の勤務時間外からのアクセスといった行動パターンを用いる。「静的なセキュリティから適応型セキュリティへ移行しているのです」とZeppenfeldtは説明した。 TrainlineのKhedwalも、新しいアプローチが必要だという点で同意する。MFAでさえ、高度な攻撃によって、トークンやワンタイムパスワードを盗み取り、再実行される脆弱性がある。「全体としてより安全にするには、第二の層が必要です」と彼女は述べた。 ユーザー疲労の防止 パスワード、さらにはMFAから移行することは、ユーザー疲労への対処にも役立つ。Zeppenfeldtは、先進的な認証方法であっても「筋肉記憶」になり得ると警告した。 Infosecurity Europeの関連記事を読む：#Infosec2024: 意識向上トレーニングを超えてセキュリティ行動を変える方法 パスワードレスの仕組みは、完全なゼロトラスト環境に至らない場合でも、セキュリティだけでなく利便性も向上させる。CISOは、将来の認証システムの基盤として、FIDOモデルやWeb 3.0技術のようなアプローチを検討すべきだ。 さらにZeppenfeldtは、これによりAIや、将来的には量子コンピューティングシステムなどの新たな脅威に対しても備えられるはずだと付け加えた。量子コンピューティングは、数年のうちに一般的な暗号化や認証手法を破るリスクをもたらし得る。 翻訳元:

#Infosec2024: セキュリティ脅威に追いつくため、CISOはパスワードを超えた対策へ移行する必要がある

企業も消費者向け組織も、パスワードから離れ、より安全で利便性の高い認証方式へ移行することを検討すべきだ。 これは、Infosecurity Europe 2024で登壇した認証分野の専門家たちの見解だ。 平均的なビジネスユーザーや消費者が現在覚えなければならないパスワードの数は膨大で、実務上の困難だけでなくセキュリティリスクも生む。誰かが「パスワードをナプキンに書く」、あるいはオンライン上の文書に保存してしまう危険は常にある。 左から右へ：Parul…

#Infosec2024: 効果的なセキュリティ文化には協働が鍵 Infosecurity EuropeのCISOパネルによると、セキュリティリーダーは、同僚が単にルールに従うだけにとどまらない文化を育む必要がある。 セキュリティ文化の醸成は、社内の人々にインシデントを報告するよう促すことだけではない（それも依然として重要ではあるが）。CISOは、事業部門がセキュリティチームと積極的に協働しようとする環境を作ることも目指すべきだ。ひいては、セキュリティがどのようにして社内の誰もが目標を達成する助けになるのかを説明することを意味する。 「私たちの目標は、人々が『言われたから』ではなく、『理解していること』に基づいて、特定の行動を取るようになることです」と、法律事務所DentonsのCISOであるToks Oladuti氏は述べた。「なぜそうするのかを理解すれば、人はより行動を変えやすくなります」 左から右へ：Robin Smith（Aston Martin Lagonda Limited、CISO）、Toks Oladuti（Dentons、CISO）、Beth Maundrill（Infosecurity Magazine編集者）。クレジット：Stephen Pritchard Dentonsでは、Oladuti氏がフィッシング攻撃などの脅威について、定期的にライブで実践的なデモンストレーションを行っている。これらは好評で、攻撃がいかに簡単か――そして同時に、それに対抗することもいかに容易になり得るか――を目の当たりにした同僚は、助言を思い出して実行に移す可能性が高い。 Aston Martin LagondaのCISOであるRobin Smith氏は、より良いセキュリティの鍵は協働にあると述べた。セキュリティを孤立した集団として捉えるのではなく、プロジェクトのより早い段階で事業部門が自分のところに相談に来てほしいという。 Smith氏はフィードバックも積極的に求めており、そのフィードバックによって変更が生じた場合は、提供してくれた個人やチームに知らせるという。また、同僚がオンラインで自分自身を守るといったスキルを伸ばせる「デジタル・ガレージ」プロジェクトも実施している。「私たちは、セキュリティが組織の意識の一部になるようにしています」と同氏は語った。 Dentonsでは、弁護士は、それがクライアントに直接的な利益をもたらすこと（新規案件の獲得など）や、自分自身に利益があることが分かると、最もセキュリティに関与しやすいとOladuti氏は感じている。 「弁護士として、あるいは一人の人間として自分にとっての価値が見えなければ、抵抗が生まれます」と同氏は認めた。「クライアント業務、事業の成長、あるいは本人や家族の個人セキュリティに役立つものでなければなりません」 さらに、どのようなプログラムも短く、関連性がある必要がある。 Aston Martin LagondaのSmith氏は、デザインとイノベーションに強く注力する企業では、AIのような新技術や新たな動向に対して、すでに関心があると付け加えた。 「私たちは、サイバーがデザインプロセスにどのように価値を付加できるかという幅広いアジェンダを推進しています。私たちがこれまでそうしてきたように……AIを本当にうまく採用できれば、競合より先んじることができます。ビジネスに価値をもたらすのであれば、適応的であり、リスクに対して寛容である必要があります」とSmith氏は説明した。 Infosecurity Europeの関連記事を読む：#Infosec2024：専門家が共有する「唯一の定数」である変化をCISOがどう管理できるか それでも、安全な文化を金銭的な指標やその他の指標と照らして価値づけるのは容易ではない。 「測定するのは非常に難しいです」とOladuti氏は述べた。「私は自分がしていることの価値を理解したいのですが、文化は測りにくい。とても定性的で――多くは、どれだけ関与が得られているか、そしてより多くの人が私たちに［インシデントを］報告してくれるようになっているか、といった点に関わっています」 両CISOは、処罰を恐れることなく同僚がセキュリティインシデントを報告できる文化が、セキュリティを維持し改善するうえで不可欠だという点で一致した。 翻訳元:

#Infosec2024: 効果的なセキュリティ文化には協働が鍵

Infosecurity EuropeのCISOパネルによると、セキュリティリーダーは、同僚が単にルールに従うだけにとどまらない文化を育む必要がある。 セキュリティ文化の醸成は、社内の人々にインシデントを報告するよう促すことだけではない（それも依然として重要ではあるが）。CISOは、事業部門がセキュリティチームと積極的に協働しようとする環境を作ることも目指すべきだ。ひいては、セキュリティがどのようにして社内の誰もが目標を達成する助けになるのかを説明することを意味する。…

We had a great time @ #MISAon this past week! Thank you to MISA Ontario for a great event.

And CONGRATS to “Marc from the City of Kingston” on being the grand prize winner of the #GraylogCTF at #InfoSec2024! 💪🏆👏 We hope you enjoy the Steam Deck!

#cybersecurity #infosec @byteordermarc.bsky.social

🎙️ EM360Tech talked with #Graylog's Ross Brewer at #Infosec2024.

Watch & learn about:
💪 How orgs can strengthen their #cloudsecurity
⚠ Why #TIDR is so important in 2024
🎶 The one song that Ross would use to describe the current state of #cybersecurity(!)

www.youtube.com/watch?v=Aimc... #infosec

Text messages from InfoSec, failing to understand my "STOP" request.

Hey everyone, how's your day going?

#InfoSec #infosec2024

Commencing the annual pilgrimage to @Infosecurity.

Anyone else there today?

#infosecurityeurope #infosec2024

Fish, chips and beer at the Fox Connaught #InfoSec2024

Alright #InfoSec2024, I’m only on me flippin’ way Tucker!

#InfoSec2024 I’ll be there.

I’m not the most adept socialiser, but I’ll be happy to wade through my clumsiness, dislocation, social anxiety, and imposter syndrome to chat with you.

Will you be there?

Next week at #Infosec2024 don't miss our competition where you can be in with a chance of winning a one-of-a-kind, Cloudflare branded Brompton bike!
Get all the details: cloudflareatinfosec2024.splashthat.com

We're delighted to be part of #Infosec2024! Join us June 4-6 at ExCeL London to experience:

✔Expert industry insights
✔Endless networking possibilities
✔Hands-on learning opportunities
✔400+ top #cybersecurity exhibitors

Register here. 👉 www.infosecurityeurope.com/en-gb/lp/reg... #infosec