ソフトウェアのサプライチェーンが長大化し、相互接続が進むにつれて、企業はサードパーティの脆弱性から自社を守る必要性を強く認識するようになりました。しかし、AIチャットボットやAIエージェントの急速な普及により、その実現に苦戦しています。
その一方で、多くの組織は、従業員がAIサービスやAI統合を含むソフトウェアパッケージにほとんど監督なしでアクセスできるようにすることで、未知のリスクに自らをさらしています。
この事実は、Panoraysの最新のサードパーティ・サイバーリスク管理に関するCISO調査の主要な発見の一つであり、CISOの60%がAIベンダーを「特有にリスクが高い」と評価していることが明らかになりました。主な理由は、その不透明さにあります。
しかし、その危険性を理解しているにもかかわらず、AI技術ベンダーを審査するための適切なプロセスを確立しているCISOは22%にとどまっており、従業員が入力するプロンプトを通じて、意図せず機密情報を漏えいしてしまう可能性がある危険な状況につながっています。
Panoraysによると、これは従来のサードパーティ脆弱性評価ツールでは適切に捉えられないリスクを生み出し、組織は自分たちがさらしている危険を実質的に把握する手段がないことを意味します。
組織はAIによって新たなリスクに直面
米国のCISO 200人を対象とした調査では、62%がAIベンダーは従来のサードパーティソフトウェアベンダーとは異なるリスクプロファイルを持つと見ており、9%は「大きく異なる」、53%は「やや異なる」と回答しました。
AIチャットボットの問題は、その多くがクローズドソースであり、基盤となるコードがプロプライエタリである点です。その結果、セキュリティチームはチャットボットが投入されたデータをどのように処理しているのかをほとんど理解できません。また、組織がそれらを適切に監査するための容易な方法もありません。
さらに、AI利用者はチャットボットに関するセキュリティ意識が不足していることが多く、企業秘密や顧客データなどの機密情報を、意図せずこれらのモデルに入力してしまうリスクが高まります。
AIシステムが投入されたデータをどのように利用するのかについては不確実性が大きい一方で、後にそれがどのように露出し得るかに関する逸話的な証拠は心強いものではありません。最も悪名高い例の一つが、2023年に起きたSamsungに関するインシデントで、従業員がプロプライエタリなコードをChatGPTに貼り付けただけでなく、経営幹部が参加する機密性の高い社内会議の議事録まで貼り付けていたことが判明しました。
いずれのケースでも、ChatGPTはこのデータを保持し、基盤となる大規模言語モデルの改善のための学習に使用したように見えます。つまり、後のプロンプトに対する出力に影響を与え得るということです。プロンプトインジェクションやプロンプト漏えいはLLM開発者から報告されることは稀ですが、実際に発生することが知られています。
CISOの取り組みは不十分
最も憂慮すべきなのは、CISOがこれらのリスクに対処するためにほとんど何もしていないように見える点です。AIチャットボットの危険性を理解しているにもかかわらず、組織の52%はAIツールを導入する際、従来のサードパーティソフトウェアベンダーを審査するのと同じ一般的なプロセスに依存しています。しかし、従来のソフトウェアと比べたAIチャットボットの予測不能な性質を考えると、汎用的なオンボーディングが明らかに不適切であることは明白です。
Panoraysは、AIツールを審査するための専用かつ文書化されたポリシーを策定しているCISOは22%にすぎず、25%は非公式またはケースバイケースの評価に依存していることを明らかにしました。これは望ましい場合もありますが、標準化が欠けるため依然としてリスクを伴います。
サードパーティAIツールを導入するための適切なプロセスが欠如していることは、CISOがサードパーティの脆弱性に関する可視性の低下を認める主因の一つです。調査では、こうした脅威について「完全な可視性」があると主張した回答者はわずか17%で、83%は自組織の攻撃対象領域が実際にどれほど大きく広範であるかを本質的に把握できていないことを意味します。
それはおそらく、CISOの60%が、過去1年間でサードパーティの脆弱性に起因するインシデントの増加を目撃したと述べた理由を説明しています。
このレポートに明るい材料が一つあるとすれば、CISOが少なくともAI導入に対する新しいアプローチの必要性を認識している点であり、より大規模な組織の一部が体制を整えつつあることを示す証拠もあります。結果を分解すると、Panoraysは、従業員1万人以上の企業の38%がAI特化のオンボーディングポリシーを確立しているのに対し、従業員5,000〜9,999人の組織では26%、5,000人未満の企業では10%にとどまると述べています。
これらの発見は、CISOの役割が進化していることを浮き彫りにしています。AIツールは非常に便利で、意思決定の迅速化と生産性の加速を可能にするため、企業の従業員の間で極めて人気が高まっています。
要するに、AIは生活を楽にし、従業員がより多くの仕事をこなせるようにします。こうした利点は簡単には無視できません。しかし同時に、CISOにはより大きな負担がかかります。コンプライアンスを維持し、機密データが漏えいしないようにするために、AIの統合と、より強固な審査およびセキュリティ対策とのバランスを取らなければならないからです。
導入がポリシー整備を上回る
Panoraysが指摘するように、調査結果は、組織がAIツールを安全に確保できる速度を上回って導入していることを示唆しており、適切な精査なしにリスクの高いモデルがあらゆる種類の機密情報へアクセスできてしまうという危険な可視性ギャップを生み出しています。
幸いにも、CISOは少なくともAI特化のオンボーディングポリシーが緊急に必要であることを認識しているようで、これらの実装は今後数か月における最優先事項の一つになる可能性が高いでしょう。
翻訳元: https://hackread.com/survey-rapid-ai-adoption-cyber-risk-visibility-gaps/
