2025年に使用する重要なセキュリティツールの大半には、社内で検査または完全に制御できないAIモデルが含まれるようになります。そのため、企業の取締役会は、次の重大ニュースとして報道されるようなセキュリティ侵害の発生を防止する対策を最高情報セキュリティ責任者(CISO)に求めています。その一方で、競合他社はAIを用いて、ほんの数か月前には不可能だった規模でセキュリティの自動化を進めています。さらに、欧州連合(EU)や米カリフォルニア州が定めた新たな規則がAIシステムの使用方法に影響を及ぼす中、変化する規制要件によってさらに複雑さが増しています。
セキュリティに関する状況は急速に変化していますが、適切なアプローチを取ることで、これらの課題を好転させて、新たなサイバー脅威からシステムを保護しながら、より強固な防御体制を構築することが可能です。ここでは、今年の企業セキュリティの分野で主流となる3つのトレンドをご紹介します。
1. プロプライエタリLLMの脆弱性
現在、多くのベンダーが、自社製品の基盤となる独自の大規模言語モデル(LLM)を使用していますが、これにより、新たなリスクが生じています。これらのLLMの大半はブラックボックスです。つまり、どのように動作するのか、またどのような安全制御がなされているのかについて多くを確認できません。AIのガードレールの脆弱性は、セキュリティ研究者によって実証されています。LLM自体、またそのLLMを使用する製品に対するアタックサーフェス(攻撃対象領域)が拡大しつつあります。
多くの製品が同じようなプロプライエタリLLMを使用しているため、あるLLMが攻撃を受けた場合、同時に多数のシステムに影響が生じる可能性があります。重要なビジネス機能においてAI搭載ツールへの依存度が高まる中、このようなリスクの集中は特に懸念されます。そのため、以下の対応が必要です。
- LLMを使用しているベンダーを確認する
- LLMを使用しているベンダーが行っているセキュリティ制御を評価する
- LLMを用いたサービスの障害発生時にシステムが停止状態に陥る場合に備えて、計画を立てる
- AIに依存する重要なシステムのバックアッププランを立てる
詳細については、「透明性を重視したAI戦略を立てる:DevOpsプロバイダーに尋ねるべき7つの質問」をお読みください。
2. アイデンティティ管理における課題
クラウドとAIシステムによって、日常的に使用するシステムへのアクセスの管理方法が変わりつつあります。企業のアイデンティティシステムは、以下のような課題への対応が求められます。
- サービスベースの非人間アイデンティティの増加
- マシン間の接続の増加
- ユーザーのアクセス対象の迅速な変更対応
- サービス間の複雑な権限チェーン
- さまざまなレベルのデータアクセスを必要とするAIシステム
従来のアイデンティティおよびアクセス管理(IAM)ツールは、このような課題に対応できるようには作られていませんでした。今後はニーズの変化に応じて迅速に適応できる、より柔軟なアイデンティティ管理ツールが必要となります。このようなダイナミックな環境をより適切に管理できるよう、ゼロトラストの原則とジャストインタイムアクセスの導入をぜひご検討ください。
また、セキュリティチームは人間のユーザーに適用するのと同レベルの厳密性と可監査性を備えた戦略を策定し、自律型AIの複雑化に備える必要があります。AIシステムが急速に普及するにつれて、こうした非人間アイデンティティの追跡と保護は、人間のユーザーのアクセス管理と同様に重要になります。
3. DevOpsにおける適切なセキュリティ対策の実施
最近行った調査では、デベロッパーの58%がアプリケーションのセキュリティに対して何らかの責任を感じていると回答しました。その一方で、セキュリティスキルがあるDevOps担当者を確保するのは依然として困難です。AI搭載ツールは、以下のような場面で便利です。
- 開発の初期段階でセキュリティの脆弱性や脅威が潜んでいないかコードをチェックし、問題を未然に防ぐ
- 安全なコーディングパターンを提案する
- 適切なアクセス権限を自動的に設定する
- 開発プロセス全体を通して繰り返しの作業を自動化する
セキュリティチームはAI搭載ツールを使用することで効率化を図れます。また、デベロッパーはAI搭載ツールを用いれば、コードが本番環境に到達する前に、一般的なセキュリティ問題を発見できます。つまり、チームが緊急に対処しなければならない状況が減り、全体としてセキュリティが向上します。
デベロッパーのワークフローに直接統合可能なツールへの投資を検討することをおすすめします。デベロッパーが安全に作業できるような環境を整えれば、安全に作業が行われる可能性が高まります。
行動を起こす:脅威が増す状況への対策としてAIを活用する
これらの変化に遅れを取らないようにするには、以下のように対応する必要があります。
- 自社のシステムでAIツールが使われている場所を洗い出し、リスクを評価する
- クラウドとAIのニーズに合わせて、アイデンティティ管理のアプローチを見直す
- AIによってセキュリティ関連の作業を強化できる方法を探る
- 新たなAIのリスクや規制について、取締役会に情報を随時知らせる
- 主要ベンダーとの関係を構築して、各社のAIセキュリティ対策を把握する
- AIセキュリティのリスクと機会について、社内のチームを教育する
AIによって新たなリスクが生じる一方で、AI搭載の新たなツールによって組織を保護できるのも事実です。新たな脅威に注意しながら、AIを活用してセキュリティ対策を強化することに注力しましょう。AIセキュリティ対策を定期的に見直すことで、新たなリスクへの対策を事前に行えます。
今後の展望
AI技術の進化に伴い、今後もセキュリティに関する状況は変化し続けるでしょう。新たな脅威や機会の発生に備えて、セキュリティ戦略を柔軟に適応できるように準備しておくことをおすすめします。組織全体、特に法務、開発、運用の各チームと強固な関係を築きましょう。このような協力体制を育めば、セキュリティ上の課題により効果的に対応できます。
テクノロジーが変化しても、組織の資産を守り、安全な事業運営を実現するという中核的な使命は変わらないことを忘れないようにしましょう。新しいツールやアプローチは適切なタイミングで使用してください。ただし、AIの導入を急ぐあまり、セキュリティの基本を見失うことのないようご注意ください。
次のステップ
ソフトウェアイノベーション戦略に適したAIアプローチの構築
生成AIツールは今後も次々と開発・提供されるでしょう。ソフトウェアエンジニアリング部門において優秀な人材の採用・維持が必要な企業では、他社との競争に打ち勝つためにAIの導入はもはや必須と言えるでしょう。AIの力を安全、確実かつ責任を持って引き出すためには、継続的にスキルアップ・導入・サポートを行うことが不可決です。エンタープライズリーダー向けのガイドをダウンロードして、ソフトウェア開発を加速するためにAIによって今行えること、そして近い将来行えるようになることに向け、経営幹部や経営陣、開発チームがどのように準備できるかを学びましょう。
ガイドを読む
生成AIツールは今後も次々と開発・提供されるでしょう。ソフトウェアエンジニアリング部門において優秀な人材の採用・維持が必要な企業では、他社との競争に打ち勝つためにAIの導入はもはや必須と言えるでしょう。AIの力を安全、確実かつ責任を持って引き出すためには、継続的にスキルアップ・導入・サポートを行うことが不可決です。エンタープライズリーダー向けのガイドをダウンロードして、ソフトウェア開発を加速するためにAIによって今行えること、そして近い将来行えるようになることに向け、経営幹部や経営陣、開発チームがどのように準備できるかを学びましょう。
主要なポイント
- AIの導入は、セキュリティリスクと機会の両方をもたらします。そのため、組織はベンダー製品におけるAIの使用状況を確認し、システム停止の可能性に備えて準備し、AIを活用してセキュリティ管理を強化する必要があります。
- マシン間の複雑なやり取り、動的な権限管理、AIシステムへのアクセスに対応できるよう、アイデンティティ管理のモダナイゼーションを行う必要があります。これに伴い、より柔軟で適応性の高いセキュリティツールも必要となります。
- AIツールによって、セキュリティチェックの自動化、安全なコーディングパターンの提案、ソフトウェア開発ライフサイクル全体へのセキュリティ統合を行うことで、DevOpsのセキュリティスキル不足を補えます。
