Amazonのセキュリティディレクターが語る、エンタープライズAIのロックダウン

サイバーセキュリティは、企業がAIを導入する中でますます重要な懸念事項となっています。

導入の取り組みが進む中、AIのセキュリティ問題は、約3分の1のセキュリティ責任者にとってランサムウェアを上回る懸念事項となっています。Arctic Wolfのデータによると、この技術が正確な結果を生み出すために企業データに依存していることが、サイバーセキュリティを最重要課題にしています。

2024年6月、CIO DiveはAmazonのセキュリティディレクター、マーク・ライランド氏に、AIの急速な台頭、経営層の懸念の変化、そしてこの技術がサイバーセキュリティ防御に与える影響について話を聞きました。

編集部注：このインタビューは、内容を明確にするために編集されています。

INDUSTRY DIVE：生成AIやエージェント型AIなど、最新のAIが特定の面でより大きなセキュリティ課題となるのはなぜでしょうか？なぜAIに関する懸念が高まっているのでしょうか？

マーク・ライランド：これらが非決定論的システムであり、同じ入力でも異なる結果を返すという事実です。これは、コンピュータ業界の人々がこれまで慣れていなかったことです。また、人々がこれらのツールを幅広いビジネス課題に適用しようとしていることも要因です。これまでにも流行のサイクルはありましたが、今回は少し違います。確実に大きな変革が起きており、構造化データと非構造化データの両方を活用できる強力な技術によって、ビジネスも大きく変わるでしょう。

AIは企業のサイバーセキュリティ業務をどのように変えましたか？今後、最も大きな影響を与えるのはどこだと考えますか？ 

すでに大きな影響が出ています。例えば、分析ツールへの自然言語によるクエリのような非常にシンプルなものから始まっています。サイバーセキュリティアナリストを育成する際、今では人間の言葉で知的な質問をして、非常に効率的に優れた結果を得ることができます。もう一つの即効性のある分野は、文脈に応じた要約です。セキュリティ上の問題が発生し、人が「ここに何か問題があると思う」とチケットを発行した場合、AIシステムが人間ではテキスト検索で見つけられなかった類似のチケット全体を引き出すことができます。プロアクティブなセキュリティの面では、私たちのAppSecチームがAIを使ってより良い自動テスト生成を行っています。すでに多くのメリットが見られますが、まだ始まったばかりだと感じています。

これらの技術の導入は、サイバーセキュリティ分野の人材にどのような影響を与えるでしょうか？

望ましい結果、そして私たちが目指しているのは、人間の専門家の能力を大幅に高め、これまで難しかった仕事をより効率的にできるようにすることだと思います。同時に、人間がこれらの分野で専門性や判断力を身につけるプロセスを止めたくはありません。業界全体として、人材育成を続ける方法を見つけつつ、同時にツールがこれまで人間が行っていた多くの作業を担えることを認識する必要があります。人間の専門性を高いレベルで維持するという目標を持ち続けることが重要だと考えます。

エージェント型AIを導入する際、組織はどのようにサイバーセキュリティ体制を強化できますか？

私たちが推奨しているのは、エージェント型システムにも決定論的なチェックポイントを継続して使うことです。アイデンティティベースの制御を使えば、「このアイデンティティはこのデータセットだけにアクセスできる」といった形で制限をかけることができます。エージェントがそのアイデンティティで動作している場合、エージェントが望ましくないことを行う能力を制限できます。エージェント自体をミスを犯す可能性のある人間のアクターとして扱うべきです。「人間が介在する仕組み」も当面は重要です。人間が監督するフィードバックも、モデルの一部となり、エージェントの精度向上につながります。

IT部門とセキュリティ部門がより協力的に働くためのアドバイスはありますか？

セキュリティを、パフォーマンスやコスト、その他のエンジニアリングにおける基準と同じくらい、達成すべき目標の一部にしなければなりません。最も簡単な道が安全な道となるようにし、ソフトウェアエンジニアがビジネスロジックを書く環境の中で、その他の要素はすべて組み込まれている状態にする必要があります。また、効果的だったもう一つのパターンは、クラウド・センター・オブ・エクセレンスを作ることです。CTO、CIO、CISOなどの専門家が参加する合同スキルチームが、エンジニアリングチームのクラウド技術へのモダナイズや導入を支援できます。