CPEチャレンジ:これからの3年間を考えたときに、CISOが行うべき事は何か

視聴動画

これからの3年間を考えたときに、CISOが行うべき事は何か

獲得CPE

1.5CPE

内容

生成AIの動向とセキュリティへの影響 ~大衆化する専門性への懸念と期待~ Preferred Networks 高橋 正和, CISSP

ChatGPTをはじめとした生成AIが活発に利用され、セキュリティ領域においても、攻撃者が生成AIを悪用することに伴う新たなリスクの発現、既存リスクの拡大や深刻化が懸念されています。 本講演では、まず、生成AIの概要として、構成や構造、ブレークスルーがどこにあるかを解説します。また、生成AIに伴う脅威については、CSAやOWASPが公表した資料を考察し、生成AIに関わるセキュリティ上の懸念について解説します。

CISOパネルディスカッション「今後3年間でCISOが行うべきことは何か」 Preferred Networks 高橋 正和, CISSP 日本マイクロソフト 河野 省二, CISSP 株式会社サイバーセキュリティクラウド 桐山 隼人, CISSP

生成AIを活用し、企業におけるITシステムの使い方も変化していくと考えられます。今後3年間を考えたときに、CISOがすべきことについてディスカッションします。

メモ

  • 経営者がセキュリティをわからないと感じているというアンケートだと「Yes」の回答が多いが、経営者がリスクを意識していないと感じているアンケートだと「No」の回答が多い
  • 経営者向けにセキュリティを説明するには、リスクを含めて説明すると良さそう

CPEチャレンジ:第12回情報セキュリティマネージャーISACAカンファレンス in Tokyo

セキュリティ

参加イベント

第12回情報セキュリティマネージャーISACAカンファレンス in Tokyo

獲得CPE

4CPE

内容

プログラム詳細パンフレットはこちら ●開会の挨拶(ISACA東京支部 会長 喜多 理)

●セッション1.クラウドセキュリティの基本: ベストプラクティスとポイント 日本クラウドセキュリティアライアンス 諸角昌宏 氏 資料: こちらからダウンロードください。

●セッション2. 今知っておくべきサイバーセキュリティの脅威実態        ~ランサムウェアランサムウェア以外の話~ 株式会社マクニカセキュリティ研究センター 瀬治山 豊 氏 資料: こちら からダウンロードください。

●CISM資格のご紹介(ISACA東京支部 CISM委員会) 資料: こちらからダウンロードください。

●セッション3.パネルディスカッション        「DX 時代の内部不正対策 組織を守り、強くする対策とは何か 」 パネリスト ノートルダム清心女子大学 小松 文子 氏 情報処理推進機構IPA) 佐川 陽一 氏 資料: こちら からダウンロードください。

メモ

  • クラウドサービスのセキュリティ評価方法のCSAは要チェック
  • セキュリティ攻撃は夜間・早朝・休日の人が休んでいる時の発生率が多い
  • ビジネス環境の変化で不正を行う機会が増えて、セキュリティリスクが増加する傾向にある

CPEチャレンジ:De-Mystifying Generative AI

セキュリティ

視聴動画

De-Mystifying Generative AI

獲得CPE

1CPE

内容

Hey, LLM, How Much Trouble ?Are We In? Is Generative AI simply the most modern of modern apps? Are we prepared as an industry to safely unlock its potential? Explore the promises and perils of GenAI, including key considerations for visibility and security across highly-connected ecosystems. Dive into real-world examples of how GenAI can go awry through analysis of recent vulnerabilities and attacks on AI-based applications.

On January 25, 2024 at 1:00 p.m. Eastern/10:00 a.m. Pacific, join F5 and ISC2 to hear more about: • The business and societal impacts of GenAI • Important considerations for protecting the conduit to AI workloads: app and API interfaces • Top security and safety risks including The OWASP Top 10 for Large Language Model Applications (Disclaimer: this webinar is not generated by AI (but it could be)!)

日本語訳
ねえ、LLM、私たちはどれだけ困っているの? ジェネレーティブAIは、単に最も現代的なアプリなのだろうか?私たちは業界として、その可能性を安全に解き放つ準備ができているのだろうか?高度に接続されたエコシステム全体の可視性とセキュリティに関する重要な考慮事項を含め、GenAIの約束と危険性を探る。AIベースのアプリケーションに対する最近の脆弱性と攻撃の分析を通じて、GenAIがどのように失敗する可能性があるのか、実例を紹介します。

2024年1月25日午後1時(東部時間)/午前10時(太平洋時間)、F5とISC2に参加し、以下の内容をお聞きください: - GenAIのビジネスと社会への影響 - AIワークロードへの導線を保護するための重要な考慮事項:アプリとAPIインターフェース - 大規模言語モデル・アプリケーションのOWASPトップ10を含む、セキュリティと安全性のトップリスク (免責事項:このウェビナーはAIによって生成されたものではありません。

メモ

  • いろいろなインジェクション攻撃があるけど「Prompt Inhection Attacks」というのもあるらしい
    • Injecting malicious data into a prompt directly or via side channels to compromise system

CPEチャレンジ:Containing Attacks on Cloud Apps & Why the Cloud Needs Zero Trust Segmentation

セキュリティ

視聴動画

Containing Attacks on Cloud Apps & Why the Cloud Needs Zero Trust Segmentation

獲得CPE

1CPE

内容

Modern organizations rely on the cloud to run their critical systems and store their most valuable data. However; the shared responsibility model can create confusion and gaps in security practices. Although perimeter, identity and access, and runtime protection security are crucial, they are not sufficient on their own and it’s evident that today’s cloud security solutions are continuing to fail when it comes to safeguarding companies against breaches.

In this webinar brought to you by Illumio and ISC2, we'll cover issues plaguing cloud deployments and why segmentation using traffic flow telemetry and context-based labeling is critical for a strong approach to contain attacks and an essential part of any cloud security strategy.

日本語訳
現代の企業は、重要なシステムの運用や最も貴重なデータの保存をクラウドに依存している。しかし、責任共有モデルは、セキュリティの実践に混乱とギャップを生む可能性がある。境界、アイデンティティとアクセス、およびランタイム保護のセキュリティは極めて重要ですが、それだけでは十分ではなく、今日のクラウド・セキュリティ・ソリューションは、企業を侵害から守るという点で失敗し続けていることは明らかです。

IllumioとISC2がお届けするこのウェビナーでは、クラウドのデプロイメントを悩ませる問題と、トラフィックフローの遠隔測定とコンテキストベースのラベリングを使用したセグメンテーションが、攻撃を封じ込めるための強力なアプローチに不可欠であり、あらゆるクラウドセキュリティ戦略に不可欠な要素である理由を取り上げます。

メモ

  • AWSコンソールでポチポチ操作するのを ClickOps というらしい
  • Poll:世論調査

CISSPを維持するためにCPEが必要なので計画してみた

セキュリティ

はじめに

2022年4月18日にCISSP資格を取得しました。 この資格は、情報セキュリティの分野での専門知識と経験を証明するものです。 目標は、2025年3月末までに追加で89CPEを獲得し、合計で120CPE以上を達成することです。 現状のペースでは達成できないので今後のアクションプランを考えて見ました。

今後のアクションプラン

1. Webinarsの視聴

定期的なWebinarの視聴を通じて、最新のセキュリティトレンドや技術について学びます。これらのセッションは、業界の変化を理解し、専門知識を広げる絶好の機会です。

  • 頻度: 毎月1回
  • 予想CPE: 約15

2. Security Congressへの参加

毎年年末に開催されるSecurity Congressは、セキュリティ業界の最前線にいる専門家から直接学ぶことができる貴重な機会です。ネットワーキング、パネルディスカッション、ワークショップを通じて、実践的な知識を得ることができます。

  • 開催時期: 毎年年末
  • 予想CPE: 約40

3. ISC2 Japan Chapterのイベント

ISC2の日本支部が主催するイベントには、地域のセキュリティコミュニティが集まります。これらのイベントは、最新のセキュリティ問題に対する洞察や解決策を学ぶのに役立ちます。

4. Compass主催のセキュリティイベント

Compassが主催するセキュリティイベントは、現場の専門家から直接学べる絶好の機会です。毎月2回開催されるこれらのイベントに参加することで、業界の動向を把握し、新しい技術や戦略についての理解を深めます。

  • 参加頻度: 毎月2回
  • 予想CPE: 約30

まとめ

これらのアクションを通じて、合計で約95CPEを獲得することが予想されます。この計画は、CISSP資格の維持と専門知識の拡充に向けた具体的なロードマップです。このプロセスを通じて、情報セキュリティ分野における最新の知識とスキルを身につけ、専門家としての地位を保持し続けることが目標です。

参考