AI時代のセキュリティ責任者とチームが直面する試練
はじめに
急速に進化するAI時代において、企業のサイバーセキュリティ対策では、生成AIによる新たな脅威を理解しつつ、その脅威に先んじるために生成AI搭載のソリューション取り入れることが求められています。本稿では、昨今の注目セキュリティ動向を紹介しながら、企業が直面する新たなリスクや課題への対策を解説していきます。
企業のセキュリティ担当者は常に変化に対応してセキュリティ対策を講じていますが、今年は厳しい年になりそうです。生成AIの急速な進化、巧妙化するサイバー攻撃、新たな規制要件により、これまで以上に複雑な状況に対応しなければならないからです。
例えば、ベンダー各社は既存の製品に生成AI機能を次々と追加しています。これらの基盤となる大規模言語モデル(LLM)が新たなアタックサーフェス(攻撃対象領域)になってしまっており、悪意のある攻撃者による悪用が懸念されます。企業はこれらの脅威に対する自社の脆弱性レベルを理解し、適切なリスク緩和策を講じる必要があります。
また、海外では欧州連合やアメリカのカリフォルニア州などにおけるサイバーセキュリティ規制の改定が進んでいます。これに対応するためには、セキュリティチームと法務チームの連携を強化し、コンプライアンスを確保しつつリスクを緩和することが求められます。技術の進化に法律が適応していく中で、企業はコンプライアンス要件と新たなセキュリティ課題とのバランスを取りながら、セキュリティ対策を講じることが求められています。
進化する生成AI、
企業が注目すべき3つのセキュリティ動向
生成AIには潜在的なセキュリティ上のリスクが伴う一方で、ソフトウェア開発プロセスのセキュリティ向上には役立ちます。脆弱性を事前に検出してより高度な自動化を促進することで、デベロッパーとセキュリティチームの間の隔たりを縮める助けにもなります。
AI時代の企業のセキュリティにおいて、今年は以下の3つの動向が特に重要となるでしょう。
プロプライエタリな大規模言語モデル(LLM)の脆弱性により、
広範囲に影響を及ぼすセキュリティインシデントが発生する可能性がある
ソフトウェアベンダーは、基盤となるプロプライエタリな大規模言語モデル(LLM)を活用して、生成AI搭載機能を急ピッチで製品に導入しています。攻撃者がこれらのモデルに脆弱性を見つけると、新たな攻撃ベクトルを確立し、広範囲に影響を及ぼす可能性があります。業界の集約化が進むと、このリスクはさらに増大します。
プロプライエタリモデルは、その出自や内部の制御機能に関する情報をほとんど開示しないため、セキュリティ担当者が把握・管理するのが一層困難になります。そのため、攻撃者はモデルの機能領域にマルウェアを仕込んだり、あまり知られていないアタックサーフェス(攻撃対象領域)を悪用したりすることが可能になります。
業界が少数のプロプライエタリな大規模言語モデル(LLM)に大きく依存していることから、こうした攻撃はソフトウェアエコシステム全体に広がり、結果として大規模なシステム障害や被害をもたらす恐れがあります。
生成AIとクラウドネイティブ環境の発展で、
より柔軟なアイデンティティ管理への需要が高まる
クラウドネイティブや生成AIの活用が進む中、アイデンティティ管理システムに対する新たな課題が生まれています。今年は、人間ではない、サービス主体のアイデンティティが増加するため、アクセス制御をより柔軟に適応させることが求められます。
アイデンティティと権限を管理するシステムは、すでに従来の静的な状態から、より一時的で柔軟なフレームワークへと移行しつつあり、現代のデジタル環境に適した俊敏性を実現しています。こうしたニーズは今後1年でますます高まるでしょう。
特に、生成AIを活用したアプリケーションでは、推移的アイデンティティを正しく理解することが不可欠です。これらのアプリケーションでは、変化し続ける役割やニーズに対応しながら、安全かつ効率的なアクセスを確保できるシステムが求められます。
生成AIはDevOps環境におけるセキュリティの拡張を促進する
GitLabが2024年に発表した「GitLabグローバルDevSecOpsレポート」によると、デベロッパーの58%がアプリケーションのセキュリティに対して何らかの責任を感じていると回答しました。しかし、DevOpsを専門とし、セキュリティに精通した人材は、依然として不足しています。
生成AIは、ルーチンタスクの自動化、スマートなコーディングの提案、スキルギャップの解消を通じて、DevOpsチーム内でのセキュリティ専門知識の普及を促進します。デベロッパーのワークフローで繰り返し使えるセキュリティテンプレートを活用することで、ビルドパイプライン全体にセキュリティを組み込み、設計段階で潜在的な脆弱性を早期に特定できるようになります。
また、生成AIの活用により認証と認可の精度が向上し、クラウド環境でサービスがデプロイされる際に、役割と権限が自動的に割り当てられるようになります。その結果、セキュリティの向上、リスクの軽減、そしてデベロッパーとセキュリティチームの連携強化が実現します。
生成AI搭載のソリューションで
脅威の全体像に対応する
技術の進化とともにサイバー脅威が巧妙化する中、企業は生成AIが生み出す新たな脅威を理解しつつ、生成AI搭載のセキュリティソリューションを取り入れ、脅威を未然に防ぐ必要があります。
生成AIを活用してセキュリティ業務を自動化し、脆弱性を特定し、リアルタイムで脅威に対応することで、組織はセキュリティ体制を強化し、急速に進化する脅威の状況に先手を打てるようになるのです。
連載バックナンバー
Think ITメルマガ会員登録受付中
他にもこの記事が読まれています
全文検索エンジンによるおすすめ記事
- KubeCon North America 2024でGitLabのチーフプロダクトオフィサーにインタビュー。GitHubとの差別化について語る
- KubeConでGitLabのアライアンスVPに訊いてみた
- より包括的な視点での対応を可能にする、クラウド セキュリティの最新ソリューションを紹介
- ソフトウェア開発の生成AI導入による生産性向上を阻む「3つ」の課題
- OpenSSFを拡大・支援するため1,000万ドルの新規投資を調達、「The 2021 Open Source Jobs Report」を公開、ほか
- Akamai、クラウドとセキュリティにおけるトレンドを予測
- LF ResearchがLF AI & Data、Generative AI Commonsと共同で組織の生成AI導入に関する「2023年オープンソースの生成AIに関する調査レポート」を公開
- 【CNDW2024】金融システムにおけるクラウドネイティブ化を実現するEKSの最前線
- 米国のバイデン大統領が署名したことで話題となった「国家のサイバーセキュリティ改善に関する大統領令」とは
- 【事例】アジャイル開発を実践する老舗IT企業がCI/CDの効率化で生産性向上とコスト削減を実現