プラットフォームの機能を機密性のない機能のみに制限すると、AI 操作に関連するリスクを軽減するのに役立ちます。AI 対応のデジタル ワーカーが機密データや重要なデータに関係しないタスクのみを実行できるようにすることで、組織はセキュリティ侵害や不正使用の潜在的な影響を軽減できます。
トレーニング モデルの有効性を高めること (オプション B) は重要ですが、セキュリティ ガードレールに直接対処するものではありません。システムに自己管理機能を与えると (オプション C)、組織の制御を超えて動作する可能性があるため、リスクが増大する可能性があります。エンド ユーザーに組織のポリシーの承認を要求すること (オプション D) は良い方法ですが、AI 環境を保護するための技術的なガードレールを実装するものではありません。
参考文献:
* CompTIA Security+ 学習ガイド
* NIST SP 800-53 Rev. 5、「情報システムおよび組織のセキュリティとプライバシー管理」
* ISO/IEC 27001、「情報セキュリティ管理」

エラー メッセージ「NET::ERR_CERT_WEAK_SIGNATURE_ALGORITHM」は、Web ブラウザーが証明書を拒否していることを示します。これは、古いアルゴリズムや安全でないアルゴリズムを使用していることが多い自己署名証明書でよく発生します。
自己署名証明書を廃止する理由は何ですか?
* セキュリティ コンプライアンス: 最新のブラウザは厳格なセキュリティ標準を適用しており、これらの標準に準拠していない証明書を拒否する場合があります。
* 信頼できる証明書: 信頼できる証明機関 (CA) からの証明書を使用すると、セキュリティ標準への準拠が保証され、安全でないとフラグが付けられる可能性が低くなります。
* 弱い署名アルゴリズム: 自己署名証明書では、安全ではないと見なされる MD5 や SHA-1 などの弱いアルゴリズムが使用される場合があります。
その他のオプションでは、証明書エラーの特定の原因は解決されません。
* A. レガシー Web 関数の書き換え: 証明書の問題は解決されません。
* B. 非推奨の暗号を無効にする: セキュリティの向上に役立ちますが、証明書エラーとは関係ありません。
* C. 必須でないポートのブロック: これは証明書の検証の問題とは無関係です。
参考文献:
* CompTIA SecurityX 学習ガイド
* 「SSL/TLS 証明書の管理」OWASP
* 「証明書管理のベストプラクティス」、NIST 特別出版物 800-57

特定の原産国に対する許可リストを含む、ハードウェア サプライ チェーンに対する厳格なリスク軽減策を実施している中央銀行に対するサイバー脅威を最もよく表すのは、物理的なインプラントと改ざんのリスクです。その理由は次のとおりです。
* サプライ チェーンのセキュリティ: サプライ チェーンは、ハードウェアの改ざんや物理的なインプラントの重要なベクトルであり、組織に到達する前にハードウェア コンポーネントの整合性とセキュリティが侵害される可能性があります。
* 標的型攻撃: 銀行や金融機関は価値の高い標的であるため、製造や出荷の過程で物理的インプラントが組み込まれるなど、高度な攻撃を受けやすくなっています。
* 厳格な緩和策: 特定の国に対する許可リストを実装することで、ハードウェアの供給元を制限し、サプライ チェーン攻撃のリスクを軽減することを目的としています。ただし、最大の懸念は、改ざんによる悪意のあるコンポーネントの導入です。
* 参考文献:
* Mike Chapple と David Seidl による CompTIA Security+ SY0-601 学習ガイド
* NIST 特別刊行物 800-161: 連邦情報システムおよび組織向けサプライチェーンリスク管理プラクティス
* ISO/IEC 20243:2018 - 情報技術 - オープンで信頼できる技術プロバイダー標準

入力サニテーションは、悪意のある入力による被害を防ぐために、ユーザーが提供するデータを検証およびクリーニングする、サイバーセキュリティにおける重要なプロセスです。AI の懸念事項の文脈では、次のようになります。
* A. モデル反転では、攻撃者がモデル出力から機密データを推測します。通常、入力データの操作以上の高度な方法が必要になります。
* B. プロンプト インジェクションは、敵対者が悪意のある入力を提供して AI モデル、特に自然言語処理 (NLP) を扱う AI モデルの動作を操作する攻撃の一種です。入力サニテーションは、入力がクリーンアップされ検証され、AI の動作を変更する可能性のある潜在的に有害なコマンドや指示が削除されるようにすることで、この問題に直接対処します。
* C. データ ポイズニングでは、悪意のあるデータをトレーニング セットに挿入してモデルを危険にさらします。
入力サニテーションは不良データを除外することで役立ちますが、データ汚染は通常、リアルタイムの入力サニテーションではなく、モデルトレーニングフェーズ中の堅牢なデータ検証と監視によって対処されます。
* D. 説明不可能なモデルとは、AI モデルが意思決定を行う方法の透明性が欠如していることを意味します。この問題は、モデル設計と解釈可能性の技術に関係するため、入力サニタリングでは対処されません。
入力サニテーションは、ユーザー入力の整合性が AI モデルのパフォーマンスとセキュリティに直接影響するプロンプト インジェクション攻撃を防ぐのに最も関連性が高く、効果的です。
参考文献:
* CompTIA Security+ 学習ガイド
* Battista Biggio、Blaine Nelson、Pavel Laskov 著「機械学習のセキュリティ」
* 入力検証とインジェクション攻撃に関する OWASP (Open Web Application Security Project) ガイドライン フォーム上部 フォーム下部

特定された脆弱性を軽減するには、次のソリューションが最も適切です。
* A. データ損失防止 (DLP) の実装: DLP ソリューションは、組織外へのデータの不正転送を防止するのに役立ちます。機密データの転送を監視、検出、ブロックすることで、知的財産の流出に直接対処します。
* E. 多要素認証 (MFA) をサポートする最新の認証を有効にする: これにより、パスワード以外の追加の検証方法が必要になるため、セキュリティが大幅に強化されます。これにより、たとえパスワードを入手したとしても、権限のないユーザーがアクセスすることがはるかに困難になるため、ユーザー パスワードの脆弱性の問題に対処できます。
その他のオプションは、特定の状況では役立ちますが、言及されているすべての脆弱性に対処するものではありません。
* B. ファイル整合性監視を導入すると、ファイルの変更を検出するのに役立ちますが、データの流出を防いだり、弱いパスワードに対処したりすることはできません。
* C. 重要なファイル サービスへのアクセスを制限するとセキュリティは向上しますが、特定されたすべての脆弱性を軽減するには十分ではありません。
* D. ディレクトリベースのグループ ポリシーを展開すると、セキュリティ ポリシーを適用できますが、データの流出を直接防止したり、強力な認証を確保したりできない可能性があります。
* F. バージョン管理システムを実装すると、ファイルへの変更の管理に役立ちますが、特定された脆弱性を防ぐためのセキュリティ対策にはなりません。
* G. CMDB プラットフォーム (構成管理データベース) を実装すると、IT 資産の管理に役立ちますが、前述の特定のセキュリティの問題には対処できません。
参考文献:
* CompTIA Security+ 学習ガイド
* NIST SP 800-53 Rev. 5、「情報システムおよび組織のセキュリティとプライバシー管理」
* CIS コントロール、「コントロール 13: データ保護」および「コントロール 16: アカウントの監視と制御」