コピロットのセキュリティリスクに立ち向かう

企業は、コピロットとローコードプラットフォームを使用して、従業員が技術的な専門知識がなくても、強力なコピロットとビジネスアプリを作成し、膨大な量のデータを処理できるようにしています。Zenityの新しいレポート「2024年の企業向けコピロットとローコード開発の現状」によると、企業には平均して約80,000のアプリとコピロットが、標準のソフトウェア開発ライフサイクル（SDLC）の外で作成されています。

この開発は新しい機会を提供しますが、新しいリスクもあります。これらの80,000のアプリとコピロットの中には、約50,000の脆弱性があります。レポートによると、これらのアプリとコピロットは、非常に速いスピードで進化しています。したがって、多数の脆弱性が生じています。

企業向けコピロットとアプリのリスク

通常、ソフトウェア開発者は、定義されたSDLC（セキュア開発ライフサイクル）に従ってアプリを慎重に構築します。ここでは、毎回、アプリは設計、展開、測定、分析されます。しかし、今日、これらのガイドラインは存在しません。開発経験のない人も、Power Platform、Microsoft Copilot、OpenAI、ServiceNow、Salesforce、UiPath、Zapierなどの高性能コピロットとビジネスアプリを構築して使用できます。これらのアプリは、ビジネス運用を支援し、機密データを転送および保存します。この分野の成長は著しく、レポートによると、ローコード開発とコピロットの採用は、前年比39%増加しました。

SDLCを迂回することにより、脆弱性は普遍的です。多くの企業は、これらの機能を熱心に受け入れていますが、コピロットとアプリがどのように作成されているか、そのビジネスコンテキストを十分に理解していません。たとえば、どのアプリとコピロットが誰のために作成されたか、どのデータとやり取りするか、そのビジネス目的は何であるかを理解する必要があります。また、誰がこれらを開発しているかを知る必要があります。彼らはしばしばそうしないので、標準的な開発慣行が迂回され、シャドウITの新しい形態が生まれます。

これにより、セキュリティチームは、多数のコピロット、アプリ、自動化、レポートが、さまざまなLoBのビジネスユーザーによって、チームの知識の外で構築されているという難しい立場に置かれます。レポートによると、すべてのOWASP（オープンウェブアプリケーションセキュリティプロジェクト）トップ10のリスクカテゴリが、企業全体に普遍的に存在しています。平均して、企業には49,438の脆弱性があります。これは、ローコードを使用して構築されたコピロットとアプリの62%が、ある種のセキュリティ脆弱性を含むことを意味します。

さまざまな種類のリスクを理解する

コピロットは、資格情報を使用し、機密データへのアクセス権を持っており、内在的な好奇心が制御しづらく、重大な脅威をもたらします。実際、ローコードプラットフォームを使用して構築されたコピロットの63%は、他の人と共有されていました。また、多くのコピロットは、認証されていないチャットを受け入れることができます。これにより、プロンプトインジェクション攻撃の可能性が大幅に増加します。

コピロットがどのように動作し、AIが一般的にどのように動作するかという点で、厳格な安全対策を施行して、エンドユーザーのコピロットとのやり取りの共有、多すぎる人や間違った人とアプリを共有すること、AIを介した機密データへの不必要なアクセス許可などを防ぐ必要があります。これらの対策が施行されていない場合、企業はデータ漏洩と悪意のあるプロンプトインジェクションへのさらなるリスクにさらされることになります。

2つの他の重大なリスクは：

リモートコピロットの実行（RCEs）- これらの脆弱性は、AIアプリケーションに特有の攻撃パスを表します。このRCEバージョンにより、外部の攻撃者が、単に1つの電子メール、カレンダー招待、またはTeamsメッセージを送信するだけで、M365のコピロットを完全に制御し、コマンドを実行することができます。

ゲストアカウント: ゲストアカウントと、通常、無料で提供されるさまざまなツールの試用ライセンスを使用して、アタッカーは、企業のローコードプラットフォームまたはコピロットにログインするだけで済みます。そこで、アタッカーはターゲットディレクトリに切り替え、プラットフォームでドメイン管理レベルの特権を取得します。したがって、アタッカーはこれらのゲストアカウントを探し出し、これらのアカウントはセキュリティ侵害につながります。企業のリーダーとセキュリティチームにとって、恐怖を感じるべきデータポイントは、典型的な企業には、8,641以上の信頼されていないゲストユーザーがローコードとコピロットを使用して開発されたアプリにアクセスできることです。

新しいセキュリティアプローチが必要

セキュリティチームは、この普遍的で、曖昧で、重大なリスクに対して何ができますか？彼らは、資格情報の取得プロセスに不確実なステップがあるアプリや、ハードコードされたシークレットがあるアプリについて警告するコントロールを設置する必要があります。また、アプリの作成時に、機密データへのアクセス権を持つビジネスクリティカルアプリに対する適切な認証コントロールがあることを確認するために、アプリにコンテキストを追加する必要があります。

これらの戦術が展開されると、次の優先事項は、機密データへのアクセスが必要なアプリに対する適切な認証を設定することです。その後、ベストプラクティスは、資格情報をセキュアに取得できるように、資格情報またはシークレットの保管庫から資格情報を設定することです。これにより、パスワードがプレーンテキストやクリアテキストで保存されていないことを保証できます。

あなたの将来をセキュアにする

ローコードとコピロット開発のジェニーは瓶から出てきました。したがって、それを元に戻すことは現実的ではありません。代わりに、企業はリスクを認識し、データをセキュアに保ち、適切に管理するためのコントロールを設置する必要があります。セキュリティチームは、ビジネス主導の開発の新しい時代に多くの課題に直面していますが、上記の推奨事項に従うことで、企業コピロットとローコード開発プラットフォームが提供する革新と生産性を、セキュアに将来に向けて導くことができます。