AI 主導のローコード/ノーコード開発におけるセキュリティ上の最大の課題を克服する

ローコード開発プラットフォーム アプリ、ワークフロー、副操縦士などのカスタム ビジネス ソリューションを作成する方法が変わりました。これらのツールはシチズン開発者に力を与え、アプリ開発のためのより機敏な環境を構築します。そこに AI を追加することで、この機能が強化されるだけです。イノベーションを推進するために必要な多数のアプリや自動化などを構築するためのスキル (および時間) を備えた人材が組織内に十分にいないという事実により、ローコード/ノーコードが生じています。パラダイム。現在、正式な技術トレーニングを必要とせずに、シチズン開発者はユーザーフレンドリーなプラットフォームと生成 AI を活用して、AI 主導のソリューションを作成、革新、展開できます。

しかし、この行為はどれほど安全なのでしょうか?現実には、多くの新たなリスクが生じています。良いニュースがあります。セキュリティとビジネス主導のイノベーションが提供する効率のどちらかを選択する必要はありません。

従来の範囲を超えた変化

IT チームとセキュリティ チームは、次のことに重点を置くことに慣れています。 コードに書き込まれた脆弱性をスキャンして探す。彼らは、開発者が安全なソフトウェアを構築していることを確認し、ソフトウェアが安全であることを確認し、実際に運用に入ったら逸脱や不審な点がないかを事後的に監視することに重点を置いています。

ローコードとノーコードの台頭、従来よりも多くの人々が、従来の開発プロセスの外でアプリケーションを構築し、自動化を使用してアプリケーションを作成しています。これらはソフトウェア開発の経験がほとんどまたはまったくない従業員であることが多く、これらのアプリはセキュリティの範囲外で作成されています。

これにより、IT 部門が組織のすべてを構築できなくなり、セキュリティ チームの可視性が欠如する状況が生じます。大規模な組織では、専門的な開発を通じて 1 年に数百のアプリが構築される場合があります。コードが少ない、またはコードがない場合は、それ以上のものを得ることができます。これには、セキュリティ チームが気づかなかったり監視されなかったりする可能性のあるアプリがたくさんあります。

新たなリスクが山積

 ローコード/ノーコード開発に関連する潜在的なセキュリティ上の懸念には、次のようなものがあります。

1. IT 部門の管轄外 – 先ほど述べたように、市民開発者は IT 専門家の枠外で作業するため、可視性の欠如とアプリ開発の影が生じます。さらに、これらのツールを使用すると、無数の人々が数回クリックするだけでアプリや自動化を迅速に作成できるようになります。つまり、IT 部門が全体像を把握できないまま、無数のアプリが無数の人々によって猛烈なペースで作成されているということです。
2. いいえ ソフトウェア開発ライフサイクル (SDLC) – この方法でソフトウェアを開発するということは、SDLC が整備されていないことを意味し、リスクに加えて、不一致、混乱、説明責任の欠如につながる可能性があります。
3. 初心者開発者 – これらのアプリは技術的なスキルや経験が少ない人によって構築されていることが多く、間違いやセキュリティ上の脅威にさらされています。彼らは、セキュリティや開発への影響について、プロの開発者やより技術的な経験のある人が考えるような方法で必ずしも考えているわけではありません。また、多数のアプリに組み込まれている特定のコンポーネントに脆弱性が見つかった場合、複数のインスタンスにわたって悪用される可能性があります。
4. ID の悪い慣行 – ID 管理も問題になる可能性があります。ビジネス ユーザーにアプリケーションの構築を許可したい場合、それを妨げる可能性がある最大の要因は、権限の欠如です。多くの場合、これは回避できますが、ユーザーが他人の ID を使用する可能性があります。この場合、彼らが何か間違ったことをしたかどうかを知る方法はありません。許可されていないものにアクセスした場合、または何か悪意のあることを行おうとした場合、両者を区別する方法がないため、セキュリティが借用ユーザーの ID を探しに来ます。
5. スキャンするコードがない – これにより透明性が欠如し、トラブルシューティング、デバッグ、セキュリティ分析が妨げられるだけでなく、コンプライアンスや規制上の懸念も生じる可能性があります。

これらのリスクはすべて、潜在的なデータ漏洩につながる可能性があります。アプリケーションの構築方法に関係なく、ドラッグ アンド ドロップ、テキスト ベースのプロンプト、コードのいずれで構築されたとしても、アプリケーションには ID があり、データにアクセスし、操作を実行でき、通信する必要があります。ユーザーと一緒に。データは組織内の異なる場所間で移動されることがよくあります。これにより、データの境界や障壁が簡単に破られる可能性があります。

データのプライバシーとコンプライアンスも危機に瀕しています。機密データはこれらのアプリケーション内に存在しますが、それを適切に保存する方法を知らない (あるいは保存しようとさえ考えない) ビジネス ユーザーによって扱われています。これにより、コンプライアンス違反など、さらに多くの問題が発生する可能性があります。

可視性を取り戻す

前述したように、そのうちの 1 つは、 ローコード/ノーコードの大きな課題は、それが IT/セキュリティの管轄下にないことですこれは、データがアプリを通過していることを意味します。これらのアプリを実際に誰が作成しているのかが常に明確に理解されているわけではなく、実際に何が起こっているのかが全体的に把握されていません。そして、すべての組織が何が起こっているのかを完全に認識しているわけでもありません。あるいは、自分たちの組織では市民の育成が行われていないと考えていますが、ほぼ確実にそうなっています。

では、セキュリティリーダーはどのようにしてリスクをコントロールし、軽減できるのでしょうか?最初のステップは、組織内のシチズン開発者の取り組みを調査し、これらの取り組みを主導しているのが誰か (いる場合) を見つけて、彼らとつながることです。これらのチームが不利益を被ったり、妨害されていると感じたりすることは望ましくありません。セキュリティ リーダーとしての目標は、彼らの取り組みをサポートすると同時に、プロセスをより安全にするための教育と指導を提供することです。

セキュリティは可視化から始める必要があります。その鍵となるのは、アプリケーションのインベントリを作成し、誰が何を構築しているのかを理解することです。この情報があれば、何らかの侵害が発生した場合に手順を追跡し、何が起こったのかを把握することができます。

安全な開発がどのようなものかについてのフレームワークを確立します。これには、ユーザーが正しい選択をできるようにするために必要なポリシーと技術的制御が含まれます。プロの開発者でも機密データに関しては間違いを犯します。ビジネス ユーザーの場合、これを制御するのはさらに困難です。しかし、適切なコントロールを設置すれば、間違いを犯しにくくすることができます。

より安全なローコード/ノーコードを目指して

従来の手動コーディングのプロセスは、特に市場投入までの時間が競争的なシナリオにおいて、イノベーションを妨げてきました。今日のローコードおよびノー​​コード プラットフォームを使用すると、開発経験のない人でも AI 主導のソリューションを作成できます。これによりアプリ開発が効率化されましたが、組織の安全性とセキュリティが危険にさらされる可能性もあります。ただし、市民の発展と安全のどちらかを選択する必要はありません。セキュリティ リーダーはビジネス ユーザーと提携して、両方のバランスを見つけることができます。