さまざまな形態の生成AI(GenAI)に対するメディアの注目は、CISO、CIO、そしてセキュリティリーダーが直面する重要な力学を浮き彫りにしています。技術変化のスピードは速く――そしてそれが企業にもたらすリスクは重大です。
ブロックチェーンからクラウドのマイクロサービス、そしてGenAIワークロードに至るまで、セキュリティリーダーは組織を安全でレジリエントに保つ責任を負うだけでなく、新興技術や進化するビジネスモデルに伴うリスクを理解し、管理することも求められます。
あらゆるイノベーションは新たな懸念をもたらしますが、変わらないものもあります。スピード。自動化。アルゴリズム。これらの推進力が、エンタープライズAIの未来と、それに伴うセキュリティ要件を定義します。
スピードは必須です。
今日のビジネスは、ネットワークとマシンの速度で動いています。WebサービスやAPIはほぼ即時の応答を期待し、あらゆる同僚やシステムが迅速なパフォーマンスに依存しています。
その結果はどうでしょうか。ある時点におけるリスクレビューは、いまや時代遅れです。現代のセキュリティには、リアルタイムのコンテキストと洞察が求められます。
追随するために、CISOは次の3つの優先事項に注力すべきです。
- ランタイムのテレメトリとリアルタイムデータを中心にセキュリティ運用を構築する。
- 静的な評価を継続的な監視に置き換える。
- スピードを目標であると同時に脆弱性として扱う。
自動化はすでにここにあります。セキュリティのために機能させましょう。
自動化は新しいものではありません。あらゆる業界がそれに依存しています。組立ラインのロボットから銀行のキオスク端末まで、自動化は現代の仕事のあり方を形作っています。
サイバーセキュリティも例外ではありません。GenAIツールが業務運用に入り込むにつれ、新しい形の自動化が登場しています。インフラや運用の領域におけるシステム、コード、設定のレビューで、すでにそれが見られます。
自動化はセキュリティプログラムの中で受け入れ、ターゲット・オペレーティング・モデルに統合すべきです。
より賢い自動化のための指針:
- 自動化は、人間の意思決定を置き換えるのではなく、強化できる。
- 既存のワークフローに自動化を慎重に統合する。
- 自動化を用いて、スピード、一貫性、カバレッジを向上させる。
アルゴリズムがゲームを決める
私たちはアルゴリズム経済の中で生きています。データがビジネス判断を動かし、アルゴリズムがデータを洞察へと変換します。セキュリティでは、アルゴリズムがメール、トラフィック、行動を分析して脅威を見つけます。そして、何が安全で何が安全でないかを判断します。
課題は透明性です。多くのアルゴリズムは独自技術であり、その内部動作は隠されています。そして、この可視性の欠如がリスクを生みます。しばしば、証明の代わりに結果への信頼が置かれます。信頼されているモデルでさえ、ドリフトしたり、静かに失敗したりする可能性があります。
結論はこうです。セキュリティチームは結果を疑い、前提を検証し、妥当性確認を求めなければなりません。
新技術を評価する5つの方法
スピード、自動化、アルゴリズムは、あらゆる新技術を形作ります。CISOはAIツールを評価する際にも、同じ観点を用いなければなりません。
明確な方法論は、GenAIの導入が進む中での不意打ちを避けるのに役立ちます。各組織はそれぞれ異なる形で適用しますが、核となる原則はすべてに当てはまります。
新技術を評価する際の5つの重要な検討事項を見ていきましょう。
1. 主要なステークホルダーと話す
新技術はあらゆる部門に影響します。CISOは早い段階で意見を求めるべきです。
次のようなステークホルダーを巻き込みましょう:
- ITおよび運用
- 事業部門
- 人事
- 法務およびプライバシーチーム
定期的な対話は盲点の防止に役立ちます。AIがどのように使われ、次にどこへ向かうのかについて足並みをそろえるために、同僚と早期から、そして頻繁に話し合いましょう。
2. ベースラインの脅威モデリングを実施する
STRIDEやDREADのようなフレームワークを使って、リスクを素早く洗い出します。STRIDEは、なりすまし、改ざん、情報漏えい、サービス拒否、権限昇格といった潜在的な脅威タイプの特定に役立ちます。
次のような質問をします:
- ユーザーの活動はなりすまし可能か?
- データや取引は改ざん可能か?
- どこで情報が漏えいし得るか?
- サービス拒否や権限昇格は起こり得るか?
脅威が特定できたら、DREADが次の観点でスコアリングし、影響度の評価に役立ちます:
- 侵害された場合の潜在的な損害
- 攻撃を再現する容易さ
- 必要となるスキルやツール
攻撃者のように考えましょう。短く、探究的なセッションでも大きなギャップが明らかになることがあります。
3. テレメトリのリスクを評価する
多くのGenAIシステムには従来型のテレメトリが不足しています。そのため、可視性は最優先事項になります。
オープンな質問を投げかけましょう:
- 本来見えるべきなのに、何が見えていないのか?
- このアプリケーションについて何を知らないのか、そしてなぜなのか?
ランタイム、ワークロード、設定データを探索します。これにより、過剰な権限を付与されたアカウントや隠れた依存関係が、深刻化する前に露見することがよくあります。可視性は、不意を突かれるか備えられるかの分かれ目です。
4. リスク登録簿を使う
CISOはGenAIに紐づくすべてのリスクを文書化し、そのリストをアクティブで見える状態に保つべきです。
想定される項目には次が含まれます:
- 不正確または未検証のAI回答
- データまたは知的財産の損失
- ディープフェイクと高度なフィッシング
- 標的に適応するポリモーフィック・マルウェア
生きたリスク登録簿は、AIの実験的取り組みを継続的な説明責任へと結び付けます。
5. トレーニングと批判的思考に注力する
AIは、かつてインターネットがそうであったように、経済を深いレベルで作り変えています。もう後戻りはできません。
セキュリティチームは迅速に適応しなければなりません:
- 変化を受け入れ、抵抗しない。
- 新たなリスクを早期に特定し、対処する。
- ビジネスを前に進め続ける。
批判的思考と継続的なトレーニングがレジリエンスを築きます。セキュリティリーダーが学び、検証し、適応するスピードが速いほど、組織はより安全になります。
今後を見据えて
AIの影響範囲は拡大し続けます。新しいビジネスモデルや攻撃タイプも後に続くでしょう。
攻撃者はすでに、ソーシャルエンジニアリング、ゼロデイ攻撃、そして標的に合わせた攻撃にGenAIを利用しています。彼らは速く動きます。私たちもそうしなければなりません。
セキュリティリーダーはランタイム速度で運用しなければなりません。学び続ける。検証し続ける。改善し続ける。
なぜなら、適応が速いほど、安全でいられるからです。
翻訳元: https://www.sysdig.com/blog/urgency-of-securing-ai-workloads-for-cisos
