誤報、MFA 疑惑、AI: RSAC 2023 で見たすべて
最後のライブストリームが終わり、サンフランシスコではまた RSA カンファレンスが開催され、終わってしまいました。 今年は、AI の影響、誤った情報の継続的な拡散、多要素認証の失敗と将来、EV 充電ステーションのセキュリティなどに関するセッションが見られました。 RSAC 2023 で見られたすべての概要を以下に示します。
今週の RSAC の出席者の注目を集めた人の中には、Twitter の信頼と安全性の元責任者である Yoel Roth 氏も含まれていました。 彼は他のサイバーセキュリティ専門家数名とともに、オンラインでの偽情報や誤った情報の拡散を業界がどのように抑制できるかについて議論しました。 Kim Key が書いているように、「誤った情報は新しいマルウェアである」と題されたこのセッションは、業界がそれを実行できるかどうかについての議論ではなく、誰がそれを実行すべきかということに焦点を当てました。
弁護士で政策擁護者のキャサリン・ゲリス氏は、この問題を法律的な観点から見ると、合衆国憲法修正第1条はある種の偽情報や誤った情報を保護していると指摘した。 「時には人が間違っていることもあります」とゲリス氏は説明した。 「不正は起こるものであり、もし不正を訴え、それを禁じる法律があったとしたら、自分が正しいことを言っている人々に何らかの萎縮効果をもたらすだろう。」
ゲリス氏は、オンライン言論に関する真実の唯一の裁定者は政府であるべきではないとし、合衆国憲法修正第1条はプラットフォーム上での言論を制限する民間企業の権利も保護していると指摘した。
RSA Security CEO の Rohit Ghai 氏は基調講演で、AI がセキュリティ業界に大きな影響を与えるという不快な真実を認めました。 ガイ氏は「多くの雇用が失われ、多くが変化し、一部は創出されることを受け入れなければならない」と述べた。 (RSA Conference は RSA Security とは別のものです。)
ガイ氏によれば、なくなる可能性のある仕事は、「悪いAI」によって生み出される大量のフィッシング攻撃に対処するなど、AIが人間よりも速く、より上手にこなせる仕事だという。 サイバーセキュリティにおける新たな仕事には、AI が利用するデータを攻撃から保護することや、AI ツールが倫理的に機能することを保証することが含まれる可能性があります。
ベテランのコミュニケーションおよびセキュリティリーダーで構成された委員会によると、慎重な準備、迅速かつ効果的なコミュニケーション、および適度な柔軟性が、企業のサイバーセキュリティインシデント対応計画を成功させる主な特徴であると述べています。 プレゼンターたちは、オンライン攻撃の余波に対処する任務を負った業界の専門家たちにアドバイスを与えながら、ステージ上でサイバーセキュリティのインシデント対応に関するホラーストーリーを交換しました。
レイセオン テクノロジーズの最高情報セキュリティ責任者、ブラッド マイオリーノ氏は、自身の経験から、サイバーインシデントに謝罪し、事実に基づいた、迅速な声明を発表する企業リーダーを消費者はすぐに許す傾向にあると述べました。 「当時の私は『頭がおかしい、そんなことはできない!』と言っていたよ」 しかし最終的にはそれが有益であることが判明した」とマイオリノ氏は述べた。 「顧客は戻ってきて、それに対して会社に報酬を与えてくれました。」
ランサムウェア攻撃やその他のサイバー インシデントにビジネスを備えるための PCMag のガイドをご覧ください。
ある異例のセッションは、安全保障と法学の狭間で揺れ動いた。 この裁判では、無実の第三者が罠を仕掛ける可能性があることを考慮して、ハッカーを捕まえるためにトラップファイルを公開することが魅力的な迷惑行為となり得るかどうかという問題に焦点を当てた模擬裁判が提示された。 この裁判は論理的な結論に達しましたが、現実世界の状況を解析するのはさらに難しいことになるでしょう。
PCMag では、多要素認証 (MFA) が利用可能な場合は常にそれを利用することを強くお勧めします。 それでも、MFA が関係するデータ侵害の状況が見つかることはよくあります。 MFAはサメを飛び越えたのか? MFA に関する講演では、いくつかの侵害を詳細に分析し、MFA 自体ではなく、MFA 構成、MFA プロバイダー、または MFA ユーザーを攻撃することで成功したことがわかりました。 MFAはまだルールを守っています!
パスワードが問題であり、解決策はパスキー、つまりユーザー名やパスワードを使わずに個人を安全に認証し、多要素認証 (MFA) が組み込まれた暗号化資格情報を使用することにあると言われています。 RSAC のいくつかのセッションでは、パスキーの利点に焦点を当てながら、今後の課題についても検討しました。