SSL ในงานประชุม RSAC 2026: บันทึกประจำวันของเรา

ข่าวสารล่าสุด ข้อมูลเชิงลึก และสิ่งที่เราได้ยินระหว่างช่วงพักการประชุม บันทึกประจำวันของเราส่งตรงจากศูนย์ประชุม Moscone รวบรวมโดยทีมงานภาคสนามของเรา รวมถึง Leo Grove ประธานและซีอีโอของ SSL 

วันพฤหัสบดี, มีนาคม 26, 2026

ราคาเริ่มต้น แดเนียล เรนดอน รองประธานบริหารฝ่ายความร่วมมือเชิงกลยุทธ์และการพัฒนาธุรกิจของ SSL:

ในวันสุดท้ายของการเข้าร่วมงาน RSAC 2026 ฉันได้เข้าร่วมการบรรยายเกี่ยวกับ CVE ในฐานะ... สมาคมลายเซ็นคลาวด์ ในฐานะกรรมการ ผมสนใจเป็นพิเศษในเรื่องมาตรฐานและความสามารถในการทำงานร่วมกันของเทคโนโลยี เพื่อส่งเสริมการสร้างนวัตกรรมร่วมกันและการสื่อสารข้ามพรมแดนที่มีประสิทธิภาพ

คณะกรรมการ CVE ทำหน้าที่กำกับดูแลเชิงกลยุทธ์ของ พันธกิจของโครงการช่องโหว่และความเสี่ยงทั่วไป (CVE) คือการกำหนด นโยบายสำหรับการระบุ การตั้งชื่อ และการแบ่งปันช่องโหว่ระหว่างภาครัฐและภาคเอกชน

ในขณะที่ MITER Corporation โครงการนี้ดำเนินงานโดยได้รับการสนับสนุนด้านเงินทุนจากกระทรวงความมั่นคงแห่งมาตุภูมิของสหรัฐฯ มาโดยตลอด ซึ่งได้วางโครงการนี้ไว้ภายใต้รูปแบบการกำกับดูแลแบบผสมผสานระหว่างภาครัฐและเอกชน ซึ่งมีความสำคัญต่อการประสานงานด้านความมั่นคงทางไซเบอร์ระดับโลก ในช่วงไม่กี่ปีที่ผ่านมา ความกังวลได้เกิดขึ้นเกี่ยวกับเสถียรภาพด้านเงินทุนและการแตกแยกทางภูมิรัฐศาสตร์ ซึ่งเพิ่มความเสี่ยงที่ระบบ CVE แบบรวมศูนย์อาจอ่อนแอลงหรือแตกแยกได้

การอัปเดตและกำกับดูแลฐานข้อมูล CVE อย่างต่อเนื่องเป็นสิ่งสำคัญอย่างยิ่ง เนื่องจาก CVE ทำหน้าที่เป็นชั้นอ้างอิงสากลสำหรับการจัดการช่องโหว่ หากไม่มี CVE การเปิดเผยข้อมูล การแก้ไขช่องโหว่ และข่าวกรองภัยคุกคามข้ามพรมแดนอย่างเป็นระบบจะช้าลง ไม่สม่ำเสมอ และมีประสิทธิภาพน้อยลงมาก

ความท้าทายเหล่านี้ได้รับการกล่าวถึงอีกครั้งในระหว่างการประชุม ซึ่งผู้เข้าร่วมได้ตั้งคำถามถึงบทบาทของรัฐบาลในการกำหนดมาตรฐานเพื่อรับมือกับภูมิทัศน์ด้านความปลอดภัยทางไซเบอร์ที่เปลี่ยนแปลงอย่างรวดเร็ว ผมเห็นด้วยกับความคิดเห็นของคณะผู้ร่วมอภิปรายว่า รัฐบาลมีบทบาทในการพัฒนามาตรฐานเมื่อผลประโยชน์ส่วนรวมเป็นสิ่งสำคัญ และผลประโยชน์ที่ขัดแย้งกันอาจขัดขวางแรงผลักดันในการนำมาตรฐานร่วมกันมาใช้ เป็นเรื่องยากมากที่จะแยกการเมืองออกจากบทบาทนี้ แต่กรอบมาตรฐานที่เป็นของเอกชนโดยสมบูรณ์ย่อมมีแรงจูงใจส่วนตัวและทางการเงินที่ไม่สอดคล้องกับผลประโยชน์ส่วนรวมอย่างหลีกเลี่ยงไม่ได้

ในบริบทขององค์กรต่างๆ เช่น The Cloud Signature Consortium เมื่อมีข้อตกลงทางการค้ามากขึ้น เช่น... ข้อตกลงการค้าเมอร์โคซูร์/คณะกรรมาธิการยุโรปเมื่อมีการนำมาตรฐานเหล่านี้ไปใช้ในสภาพแวดล้อมทางการค้าที่มีหลายขั้วมากขึ้น ความต้องการมาตรฐานที่สามารถใช้งานร่วมกันได้สำหรับเอกลักษณ์ดิจิทัลและลายเซ็นดิจิทัลก็จะเพิ่มมากขึ้น ผมตั้งตารอที่จะได้พูดคุยกันในหัวข้อนี้ กิจกรรม Trust Without Borders ของ CSCในวันที่ 13-14 พฤษภาคม ณ กรุงโบโกตา ประเทศโคลอมเบีย เราจะจัดการประชุมร่วมกับผู้มีส่วนได้ส่วนเสียจากภาครัฐ ภาคเอกชน และภาควิชาการ เพื่อหารือถึงวิธีการที่จะทำให้เราสามารถทำงานร่วมกันได้ข้ามพรมแดนมากยิ่งขึ้น และเพื่อร่วมกันลงมือปฏิบัติ 

วันพุธที่มีนาคม, ฮิต

ราคาเริ่มต้น แดเนียล เรนดอน รองประธานบริหารฝ่ายความร่วมมือเชิงกลยุทธ์และการพัฒนาธุรกิจของ SSL:

ลองพิจารณาประเด็นนี้ดู: LLM ควรผนวกการลงนามรหัสเข้ากับโค้ดที่สร้างโดย AI ที่มอบให้กับผู้ใช้หรือไม่? วิศวกรควรมีบทบาทรับผิดชอบมากน้อยเพียงใดในกระบวนการพัฒนาที่ขับเคลื่อนด้วย LLM?

หนึ่งในหัวข้อการอภิปรายที่น่าสนใจที่สุดของสัปดาห์นี้ในงาน RSAC ได้ช่วยลดความสับสนวุ่นวายเกี่ยวกับ GenAI ในการพัฒนาซอฟต์แวร์ลงได้มาก โดยเน้นไปที่ความเป็นจริงที่สำคัญ: GenAI ช่วยเร่งความเร็วในการเขียนโค้ด แต่ก็เพิ่มความเสี่ยงใหม่ๆ เข้ามาด้วย รวมถึงรูปแบบโค้ดที่เปราะบาง การโจมตีแบบ Prompt-injection และการพึ่งพาที่ไม่ปลอดภัย ซึ่งเป็นปัญหาที่สำคัญที่สุด การเน้นย้ำเรื่องการกำกับดูแล มาตรการป้องกัน และความโปร่งใส ทำให้เห็นชัดเจนว่าการนำไปใช้อย่างปลอดภัยนั้นไม่ใช่ทางเลือก แต่เป็นพื้นฐาน อย่างไรก็ตาม ในโลกแห่งความเป็นจริงนั้นยังต้องพัฒนาต่อไปอีกมาก

ช่วงเวลาที่น่าสนใจเป็นพิเศษคือการถกเถียงอย่างออกรสระหว่างผู้ร่วมอภิปรายเกี่ยวกับบทบาทที่วิศวกรควรมีในการเขียนโค้ดโดยใช้ GenAI ช่วยเหลือ บางคนแย้งว่าวิศวกรควรมีส่วนร่วมอย่างลึกซึ้งทั้งในการสร้างและตรวจสอบโค้ด โดยมองว่า LLM เป็นเครื่องมือเพิ่มประสิทธิภาพการทำงานมากกว่าผู้ตัดสินใจ ในขณะที่คนอื่นๆ สนับสนุนอนาคตที่เน้นระบบอัตโนมัติมากขึ้น โดยให้ LLM จัดการส่วนใหญ่ของการสร้างโค้ด และวิศวกรจะเปลี่ยนบทบาทไปเป็นการกำกับดูแลและตรวจสอบเป็นหลัก นอกจากนี้ยังมีการพูดคุยกันว่าความเชี่ยวชาญในภาษาและเฟรมเวิร์กบางอย่างอาจไม่สำคัญอีกต่อไป

ความตึงเครียดนี้แสดงให้เห็นว่าอุตสาหกรรมยังคงกำลังหาจุดสมดุลระหว่างความเร็วและการควบคุม สิ่งที่ผมได้เรียนรู้ก็คือ GenAI ไม่ใช่แค่การเปลี่ยนแปลงเครื่องมือเท่านั้น แต่ยังแสดงถึงความท้าทายด้านการกำกับดูแลขั้นพื้นฐาน องค์กรที่จะประสบความสำเร็จคือองค์กรที่กำหนดความรับผิดชอบอย่างชัดเจน บังคับใช้กระบวนการตรวจสอบที่เข้มแข็ง และหลีกเลี่ยงการใช้ระบบอัตโนมัติมากเกินไปก่อนเวลาอันควร

ดังนั้นผมจึงถามอีกครั้งว่า LLM ควรนำการลงนามรหัส (code signing) มาใช้ในโค้ดที่มอบให้ผู้ใช้หรือไม่? วิศวกรควรรับผิดชอบมากน้อยแค่ไหนในกระบวนการพัฒนาที่ขับเคลื่อนด้วย LLM? ผมอยากพูดคุยกับคุณและรับฟังความคิดเห็นของคุณในเรื่องนี้ครับ

วันจันทร์ที่มีนาคม 23, 2026

ราคาเริ่มต้น ดัสติน วอร์ด รองประธานบริหารฝ่ายเทคโนโลยีของ SSL:

งานประชุม RSA Conference (RSAC) เป็นงานด้านความปลอดภัยทางไซเบอร์ที่ใหญ่ที่สุดในโลก ทุกปี ผู้เชี่ยวชาญด้านความปลอดภัยหลายหมื่นคนมารวมตัวกันที่ศูนย์ Moscone Center ในซานฟรานซิสโก เพื่อหารือเกี่ยวกับสิ่งที่จะเกิดขึ้นในอนาคต สิ่งที่ยังคงมีปัญหา และสิ่งที่เราต้องทำเพื่อแก้ไข งานนี้เป็นสถานที่ที่อุตสาหกรรมกำหนดวาระการประชุม

นี่คือสิ่งที่ผมได้ยินมาจากทั่วทั้งวงการ:

•  องค์กรต่างๆ รู้ดี การเข้ารหัสหลังควอนตัม กำลังจะมาถึง แต่ไม่รู้ว่าจะเริ่มต้นจากตรงไหน (หรืออย่างไร)
• ปัญญาประดิษฐ์กำลังสร้างช่องโหว่การโจมตีใหม่ๆ และข้อกำหนดด้านความน่าเชื่อถือใหม่ๆ ไปพร้อมๆ กัน
• C2PA และแหล่งที่มาของเนื้อหา กำลังเปลี่ยนจากสิ่งที่ "น่าสนใจ" ไปเป็นสิ่งที่ "จำเป็น"
• การจัดการวงจรชีวิตของใบรับรองมีความซับซ้อนมากขึ้นทั้งในด้านความน่าเชื่อถือสาธารณะและ ส่วนตัว PKI
• ทีมส่วนใหญ่จัดการทุกอย่างที่กล่าวมาข้างต้นได้ด้วยเครื่องมือเก่าเมื่อวานนี้

มีช่วงการสัมมนาหนึ่งที่ติดอยู่ในใจผมมากกว่าช่วงอื่นๆ โดยเน้นไปที่การเปลี่ยนไปใช้ใบรับรองที่มีอายุการใช้งาน 47 วัน จากเดิม 398 วัน เหลือ 200 วัน 100 วัน และสุดท้าย 47 วัน นั่นหมายถึงความถี่ในการหมุนเวียนใบรับรองเพิ่มขึ้นถึง 8 เท่า และนี่ไม่ใช่ปัญหาด้านการปฏิบัติตามกฎระเบียบ แต่เป็นปัญหาด้านการปฏิบัติงาน หากคำตอบของคุณยังคงเป็นกระบวนการแบบแมนนวลและเครื่องมือที่เชื่อมต่อกันอย่างหลวมๆ คุณก็ล้าหลังไปแล้ว และการพึ่งพา CA เพียงรายเดียวจะกลายเป็นความเสี่ยงที่แท้จริงเมื่อคุณอาจต้องเปลี่ยนใบรับรองทั้งหมดภายใน 24 ชั่วโมง

นี่คือสิ่งที่เราให้ความสำคัญเป็นอย่างมากที่ SSL.com: ส่วนตัว PKI สำหรับกรณีการใช้งานที่ความไว้วางใจสาธารณะไม่ใช่รูปแบบที่เหมาะสม และความพร้อมของ CA สำรองที่แท้จริง ซึ่งมีการตรวจสอบความถูกต้องแล้ว มีเส้นทางการออกใบรับรองที่กำหนดไว้แล้ว และคุณสามารถเปลี่ยนเส้นทางการรับส่งข้อมูลหรือออกใบรับรองแบบขนานได้เมื่อจำเป็น

นอกเหนือจากใบรับรองแล้ว หัวข้อสองอย่างที่ครอบงำการสนทนาเกือบทุกเรื่องในวันนี้ ได้แก่ AI และ PQC (Professional Quality Certification)

ในด้านปัญญาประดิษฐ์ (AI) ปัจจุบัน AI ที่ทำหน้าที่เสมือนตัวแทน (agentic AI) ปรากฏอยู่ทุกหนทุกแห่ง เป็นการปฏิวัติประสิทธิภาพการทำงานที่มาพร้อมกับความเสี่ยงร้ายแรงหลายประการ ตั้งแต่การโจมตีที่ขับเคลื่อนด้วย AI ไปจนถึงความท้าทายในการกำกับดูแลตัวแทนอัตโนมัติที่ทำหน้าที่แทนคุณ เราจะทำอย่างไร ตรวจสอบความถูกต้องของเนื้อหาที่สร้างโดย AI ได้อย่างไร? เราจะรักษาความปลอดภัยของแบบจำลองเหล่านั้นได้อย่างไร? นี่คือจุดที่มาตรฐานต่างๆ เช่น... ซี2พีเอ และแข็งแรง PKI สิ่งเหล่านี้ไม่ใช่แค่สิ่งที่ควรมี แต่กำลังกลายเป็นสิ่งสำคัญพื้นฐาน

ในส่วนของ PQC นั้น NIST ได้สรุปมาตรฐานหลังควอนตัมแล้ว นาฬิกาแห่งการเปลี่ยนแปลงกำลังเดินอยู่ หากคุณมีหน้าที่รับผิดชอบใดๆ ที่เกี่ยวข้องกับใบรับรอง ไม่ว่าจะเป็นใบรับรองความน่าเชื่อถือสาธารณะหรือไม่ก็ตาม TLS/SSL ส่วนตัว PKIไม่ว่าจะเป็นการลงนามรหัส การตรวจสอบความถูกต้องของเนื้อหา C2PA คำถามไม่ใช่ว่าคุณต้องการแผนการเปลี่ยนผ่าน PQC หรือไม่ แต่เป็นว่าคุณมีแผนดังกล่าวอยู่แล้วหรือเปล่า

นี่คือสิ่งที่เราและทีมงานทำกันทุกวันใน SSL.com หากมีหัวข้อใดที่คุณสนใจเป็นพิเศษ โปรดอย่าลังเลที่จะติดต่อเรา

บันทึกประจำวันฉบับนี้จะอัปเดตทุกวันตลอดสัปดาห์ RSAC โปรดกลับมาตรวจสอบอีกครั้งในวันพรุ่งนี้สำหรับการรายงานข่าววันที่ 2 และติดตามเราได้ทาง LinkedIn เพื่อรับชมไฮไลท์แบบเรียลไทม์จากในสนาม

ต้องการพูดคุยเกี่ยวกับวิธีที่องค์กรของคุณเตรียมความพร้อมสำหรับวงจรชีวิตใบรับรองที่สั้นลง ความพร้อมสำหรับ CA หลายแห่ง หรือการวางแผนหลังยุคควอนตัมหรือไม่? ติดต่อเราได้เลย