Connect with us

ソートリーダー

ソフトウェアサプライチェーンのセキュリティをAIで確保する

mm
Published
Updated

ソフトウェアは私たちの日常生活の一部であることは秘密ではありません。私たちは、スケジュールを管理したり、友人や家族とつながったり、財務を管理したり、仕事の日常タスクを実行したりするためにソフトウェアを使用します。ソフトウェアが私たちに提供する利便性とスピードは、サイバー犯罪者にも提供されます。特に過去数年間では、サイバー攻撃の影響を無視することはできません。サイバー攻撃は、公共のサービスを停止させ、主要企業の運営を凍結させ、高度に機密性の高い個人情報と競争上の情報を漏洩させ、数百万ドル相当の身代金を搾取するために利用されてきました。

AIの利点と課題

人工知能(AI)は、商業と日常の効率性において新しい可能性を生み出し、私たちの生活を変えてきました。また、サイバー犯罪者にも同様の影響を与えています。年々、攻撃の規模と複雑性は増大しています。エッジネットワークなどの革新的な技術の登場により、自動運転車や6Gなどの次世代技術が進化しますが、同時に脅威行為者が悪用できる攻撃ベクトルも増えています。サイバーセキュリティは、私たちの生活の基盤を保護する上で非常に重要であるだけでなく、将来の成功も保護する上で重要です。AIを活用したセキュリティは、この課題に対処する上で不可欠です。

AIは、攻撃者に対して同様の効果をもたらしますが、防御者にとっては力の倍増となるでしょう。規模はビジネスや複雑性の重要な要因であり、特にネットワークの場合です。AIは、優秀なセキュリティチームの能力を指数関数的に高め、以前は見落とされていたネットワークの脆弱性を特定、優先順位付け、修復することができます。ここでの重要な点は精度です。AIを使用して最も危険なリスクを優先順位付けすることで、セキュリティチームは継続的にリスクを減らすことができます。

技術的な側面を超えて、AIとセキュリティの統合は、ユーザーエクスペリエンスに大きな利点をもたらします。複数の異なるツール(時にはかなり複雑なツール)をマスターする必要性や、相互運用性のない個別のポータルを使用する必要性がなくなり、代わりに、AIツールを使用して直感的で会話型のインターフェースで作業できます。重要な点は、チームがセントラルなウィンドウからネットワーク全体を把握し、セキュリティを戦略的に計画および調整できることです。

これにより、統合とAIを使用せずに再現することができないワークフローの効率化が実現します。もちろん、私たちはソフトウェアの形でAIと関わることもあります。つまり、AIも悪用される可能性があります。セキュリティツールだけでなく、運用ツールにおけるAIのセキュリティも優先する必要があります。

実際、AIモデル自体が標的となり、敵対者がデータを汚染したり、弱点を直接探索したりして、AIのトレーニングと動作に影響を与えようとしています。デープフェイク技術を使用して、声やビデオチャットなどのセキュリティ対策を弱体化させることができます。生成的なAIを使用して、ソーシャルエンジニアリング用の文法的に完璧なフィッシングの罠を作成できます。専用のAIツールを使用して、ネットワークをスキャンし、以前には考えられなかった規模で脆弱性を探索、悪用することができます。組織がAIの使用をセキュアにするために取るべき重要なステップがあります。

AIに対するZero Trustの利点

まず、AIサービスとデータへのアクセスを厳格に管理することが重要です。Zero Trust Network Access(ZTNA)は、ほとんどの集中型、AIを活用したセキュリティプラットフォームの不可欠な部分であり、最も重要なものの1つです。厳格なセグメント化がなければ、企業は攻撃者に対して脆弱であり、攻撃者はさまざまなベクトル(最も一般的には侵害された資格情報)を介して侵入し、最も利益の大きい、そして被害の大きい運用やデータに横方向に移動することができます。Zero Trustでは、各人に仕事を実行するために必要なアクセスのみが許可され、1つの未承認アクセスからの被害が制限されます。さらに、Zero Trustは、ユーザーの通常の範囲外の行動を特定し、最もターゲット化されたユーザー侵害状況でも迅速に特定、修復することができます。

ZTNAは、AI固有のセーフガードと組み合わせる必要があります。組織が使用するデータ、データの出所、データの特定のユーティリティについての理解を得るために、AIパイプラインをセキュアにすることは優先事項です。ユーザー教育も、特にChatGPTのような生成ツールが日常の非技術的な従業員に広がるにつれて、ますます重要になります。セキュアなプロンプトのプロトコルを確立することは、従業員が意図せずに機密情報、競争上の情報、またはその他の機密データをパブリックAIエンジンにアップロードしないようにするための例です。すでにこれが企業に与える影響は明らかであり、特許の無効化に至ることもあります。

AIは一時的な流行ではなく、将来の革新の基盤となる基礎技術の特性を持っています。しかし、その利点を実現するには、セキュリティが主要な戦略的目標となり、革新の原動力となります。AIを活用したセキュリティシステムを実装することは、将来への第一歩です。組織はこのようなAIセキュリティを活用することで、ツールのフルスタックをより効率的に使用し、運用の質、成長、開発を向上させることができます。

Related Topics:
mm

Mark Ostrowskiは、Check Point SoftwareのUS東部地域のエンジニアリング担当者です。Markは、20年以上のITセキュリティの経験を持っており、国内で最大規模のセキュリティ環境の設計とサポートを行ってきました。Check Point Softwareのエバンジェリストとして、Markは、ITセキュリティ業界向けの思想的指導者となり、現在の脅威の状況を概説し、組織がデジタル変革の世界でリスクを積極的に軽減し、管理する方法を理解することを支援しています。Markは、UMass Dartmouthの工学部から学位を取得しています。