レポート

レポートは、エンタープライズのセキュリティチームが可視性とガバナンスに苦労していることを明らかにし、AI対応ギャップを暴露する

mm
Published
Updated

Manifest社のレポート「Beyond the Black Box: How AI Is Forcing a Rethink of the Software Supply Chain」は、エンタープライズのセキュリティチームがAIのセキュリティ対応に苦労していることを明らかにしています。このレポートは、300人以上のセキュリティリーダーと実務家に対する調査に基づいており、エグゼクティブの自信と現場の現実の間にギャップがあることを示しています。

調査結果は、エンタープライズ技術における中心的な緊張を浮き彫りにしています。AIの採用は製品とワークフロー全体で急速に進展していますが、セキュリティとガバナンスのためのメカニズムはこれに追いついていないのです。

AIはサプライチェーンのセキュリティ問題を新しい形で再現している

10年以上にわたり、組織はソフトウェアサプライチェーンのセキュリティを向上させるために、依存関係を追跡し、脆弱性を監視し、ガバナンスフレームワークを確立してきました。しかし、Manifestのレポートは、AIがこれらのリスクを再び導入していることを示しています。

AIコンポーネントは、不透明なシステムとして動作することがよくあります。企業は、モデルがどのようにトレーニングされたか、どのデータセットが使用されたか、またはアプリケーション内にどの外部サービスが組み込まれているかを完全に説明できないことがよくあります。その結果、組織は新しい種類のサプライチェーンリスクに直面しています。ソフトウェアシステムを信頼性高く検査、検証、または監視することができないのです。

レポートでは、可視性がすでに低下していることも強調しています。 63%の組織は「影のAI」の存在を報告しています。これは、セキュリティ、調達、またはリスク管理チームからの監視なしに採用されたAIツールまたは統合を指します。

Daniel Bardenstein氏、ManifestのCEO兼共同創設者は、データがエグゼクティブの認識と現場の現実の間にギャップがあることを示していることを述べています。 「エグゼクティブはAIの準備ができていると考えていますが、現場のチームは管理されていないAIの使用、所有権の不明確さ、製品やベンダー全体で実行されているものに対する盲点を目にしています」

エグゼクティブは準備できていると考えていますが、セキュリティチームは異議を唱えています

レポートの最も注目すべき発見の1つは、エグゼクティブの自信と現場のセキュリティ評価の間の乖離です。

ほぼ 80%のセキュリティエグゼクティブは、組織が成熟したAIセキュリティ慣行を持っている と述べています。しかし、 アプリケーションセキュリティチームの約40%のみがこの評価に同意しています

アプリケーションセキュリティチームは、ガバナンスフレームワークの運用上の故障に最初に遭遇することがよくあります。なぜなら、彼らは直接ソフトウェアサプライチェーンとやり取りするからです。これらの実務家は、高いボリュームのアラート、セキュリティ責任の所有権の不明確さ、開発とセキュリティ環境全体にわたる断片化されたツールを報告しています。

レポートによると、 47%の回答者は、チームの断片化と所有権の不明確さがソフトウェアサプライチェーンのセキュリティを改善するための最大の障害である と述べています。

その結果、組織はセキュリティプログラムが強力であると考えるかもしれませんが、可視性、説明責任、運用上の調整という点で重要なギャップが残っていることになります。

SBOMパラドックス:生成されているが、ほとんど使用されていない

レポートから得られるもう1つの重要な洞察は、ソフトウェアビルオブマテリアル(SBOM)に関するものです。SBOMは、組織が依存関係と脆弱性を追跡するのに役立つソフトウェアコンポーネントのインベントリです。

SBOMの採用は、規制上の圧力とサプライチェーン攻撃により、近年大幅に拡大しています。しかし、Manifestの調査によると、多くの組織はSBOMの生成を運用上の能力ではなく、コンプライアンスのチェックボックスとして扱っているようです。

レポートでは、以下の重要な統計が強調されています。

  • 60%の組織はSBOMを生成しています
  • そのうち半分以上は、実際にはSBOMを管理または使用していません
  • 79.6%の組織はソフトウェアコンポジション分析(SCA)ツールを使用しています
  • SBOMの運用上の使用率は41.8%で、SCAツールの使用率よりも低い

中央集権的な取り込み、正規化、ポリシーの施行、継続的な監視がなければ、SBOMは静的なアーティファクトではなく、活用可能なリスク管理ツールになります。

セキュリティチームは、従来のソフトウェアコンポジション分析プラットフォームに対しても懐疑的です。 56.3%の回答者は、SCAツールがノイズを生成したり開発チームを遅らせたりする と述べています。また、 46.4%の回答者は、これらのツールが実際のソフトウェアリスクを軽減するのに役立つとは考えていない です。

この断絶は、組織が大量のセキュリティデータを生成できるものの、運用上のインフラストラクチャが不足していることを示しています。つまり、セキュリティシグナルを実際のリスク軽減に翻訳することができないのです。

透明性データはセキュリティと展開の高速化を改善する

これらの課題にもかかわらず、調査結果は、組織がソフトウェアサプライチェーン全体で有意義な透明性を達成した場合に、計測可能なメリットが得られることを示しています。

ほぼ 半数の回答者(49.4%)は、ベンダーからSBOM、プロバンスレコード、または署名付きバイナリなどの検証可能な透明性データを受け取った と報告しています。

この情報が信頼性が高く、運用可能であれば、その影響は大きいです。

  • 64%の組織は、新しいテクノロジーの導入が速くなったと報告しています
  • 61.6%の組織は、セキュリティ問題の解決が速くなったと報告しています
  • 15.5%の組織は、ダウンタイムが減ったと報告しています

透明性が不足している組織は、「透明性税」と呼ばれる追加の時間、コスト、リスクを負担することになります。つまり、不透明なソフトウェアコンポーネントを手動で調査することになります。

規制が厳格な業界では、この課題が特に明らかです。金融サービスとヘルスケアの組織は、ベンダーから検証可能な透明性データを受け取る率が最も低いと報告しています。金融サービスでは14.3%、ヘルスケアでは19.5%です。これらの業界は、実際にはこれらのデータが最も必要です。

エンタープライズ全体でAIの採用が進んでいる

調査結果はまた、AIがエンタープライズのソフトウェアエコシステム全体でどれほど急速に浸透しているかを強調しています。

調査対象となった組織のほとんどは、AIを完全に避けていると報告していません。代わりに、企業はさまざまなアプローチを試しています。

  • 80.2%の組織は、内部で承認された商用AIモデルを使用しています
  • 79.9%の組織は、ChatGPTやCursorなどの商用ツールを広く使用しています
  • 56.7%の組織は、内部データでオープンウェイトモデルをトレーニングしています
  • 29.3%の組織は、スクラッチからカスタムAIモデルを構築しています

金融サービスとテクノロジー企業がAIの採用をリードしています。金融サービス企業の約90%が内部で承認されたAIモデルを使用しており、46.9%がスクラッチからカスタムモデルを構築しています。これは、全体的な平均を大幅に上回っています。

これらの業界には、AIを迅速に採用する強いインセンティブがあります。金融サービスでは、AIは直接、不正検出、リスク管理、収益生成に影響します。テクノロジー企業では、AIは製品とプラットフォームのコアになりつつあります。

しかし、AIの採用のスピードはしばしばガバナンスを上回ります。

影のAIは広範囲にわたる問題になりつつあります

調査結果は、影のAIがすでに広範囲にわたる問題になっていることを確認しています。影のAIとは、正式な監視なしに導入されたツールやモデルです。

34.8%の回答者は、組織内に影のAIがない と報告しています。残りの回答者は、少なくともある程度の管理されていないAIの使用を認めています。

このパターンは、従来の「影のIT」の波に似ています。従業員が公式の調達プロセスの外でクラウドサービスまたはSaaSツールを採用した場合です。

地域による違いも出てきています。EMEAの組織は、影のAIなしで運営している割合が高い(45.7%)と報告しています。規制フレームワークが強く、調達プロセスが厳格であるためです。

しかし、レポートは、従来のセキュリティツールがAIモデル、データセット、サービスを分散開発環境全体で追跡するように設計されていないことを警告しています。

ライセンスと法的リスクは別の大きな盲点です

技術的なガバナンスのほか、調査結果はAIの採用に関連する法的およびコンプライアンス上の課題も強調しています。

AIモデルとデータセットのライセンス条件、知的財産権、使用制限を理解することは、多くの組織にとって困難です。調査結果は、以下のことを示しています。

  • 93%の回答者は、AIのライセンスと知的財産義務の管理には改善の余地があると述べています
  • 54.6%の回答者は、これが大きな課題であると強く同意しています

これらのリスクは、組織がオープンウェイトモデルを内部データでトレーニングしたり、独自のデータセットを第三者のAIコンポーネントと組み合わせたりする場合に、特に重大になります。

より強力なガバナンスフレームワークがなければ、企業はライセンス違反やコンプライアンス上の問題を本番システムに導入する可能性があります。

運用上の整合性が実際の課題かもしれない

セキュリティツールは進化し続けていますが、レポートは、AIサプライチェーンのセキュリティを効果的にするための最大の障害は、技術そのものではなく、組織的な問題である可能性があることを示唆しています。

多くの組織は、所有権の断片化、ワークフローの断片化、ソフトウェアとAIコンポーネントの共有システムの欠如に苦労しています。

最も頻繁に引用される制約は以下のとおりです。

  • 47.3%の組織は組織的な制約を報告しています
  • 36.3%の組織は、不足しているスキルを報告しています
  • 35.7%の組織は、予算の制限を報告しています
  • 34.8%の組織は、管理の理解不足を報告しています
  • 32.6%の組織は、人員不足を報告しています

これらの運用上のギャップは、セキュリティシグナルが一貫したポリシーの施行や実際のリスク軽減に翻訳されることを困難にします。

AIサプライチェーンのセキュリティが戦略的優先事項になる理由

AIがエンタープライズのソフトウェアのすべての層に浸透するにつれて、ソフトウェアサプライチェーンの概念は、モデル、トレーニングデータセット、推論サービス、第三者のAIプラットフォームを含むものになりました。

Manifestのレポートは、組織がポイントインタイムの可視性ツールを超えて、AIサプライチェーンに対する継続的な運用上のコントロールを構築する必要があることを結論付けています。

これには以下が含まれます。

  • 開発環境全体で使用されるすべてのAIモデルを追跡する
  • トレーニングデータのプロバンスとライセンスを検証する
  • 開発と展開中にガバナンスポリシーを施行する
  • AIコンポーネントのSBOMに相当する連続的なインベントリを維持する

これらのメカニズムがなければ、AIの採用とAIのガバナンスの間のギャップは拡大し続けるでしょう。

そして、調査は、すでにこのギャップが多くのエンタープライズ内に存在していることを明らかにしています。

データはガバナンスポリシーを開発と展開中に施行し、AIコンポーネントのSBOMに相当する連続的なインベントリを維持することなく、AIの採用とAIのガバナンスの間のギャップが拡大し続けることを示しています。

mm

アントワーヌは、Unite.AIの創設パートナーであり、ビジョナリーなリーダーです。彼は、AIとロボティクスの未来を形作り、推進するという、揺るぎない情熱に突き動かされています。シリアルエントレプレナーである彼は、AIは電気と同じように社会に大きな変革をもたらすと信じており、破壊的な技術やAGIの潜在能力について熱く語ることがよくあります。

As a futurist、彼は、これらのイノベーションが私たちの世界をどのように形作るかを探求することに尽力しています。さらに、彼は、Securities.ioの創設者であり、未来を再定義し、全セクターを再構築する最先端技術への投資に焦点を当てたプラットフォームです。