英国の国家サイバーセキュリティ機関の長は、セキュリティ専門家に対し、ソフトウェアをより安全にするために「破壊的なビブコーディングの機会を活かす」ことを呼びかけています。
しかし、AIコード生成ツールのビブコーディングセーフガード開発を急速に進める必要があり、これが「セキュリティへの純粋な利益」となる必要があります。
3月24日にサンフランシスコのRSAカンファレンスでキーノートスピーチを行った英国国家サイバーセキュリティセンター(NCSC)のチーフエグゼクティブであるリチャード・ホーン氏は、サイバーセキュリティ業界は急速に拡大しているAI支援ソフトウェア開発の使用(ビブコーディングとしても知られている)を活用して、サイバー攻撃への集団的な脆弱性を減らすべきだと述べました。
人間によるレビューなしで作成されたソフトウェアは潜在的に脆弱性を拡散する可能性がありますが、設計の段階でセキュアなソフトウェアを書く十分に訓練されたAIツールは、サイバーセキュリティの成果を変革する可能性があります。
「ビブコーディングの魅力は明らかです。常に脆弱である手動作成ソフトウェアの現状を打破することは大きな機会ですが、それ自体リスクがないわけではありません」と彼は述べた。
「コード開発に使用するAIツールは、意図しない脆弱性を導入または拡散しないように、最初から設計・訓練される必要があります。」
NCCSのセキュアビブコーディングの掟
同時に、NCCSのアーキテクチャCTOであるデイビッド・C氏は、3月24日にブログを発表し、AI生成コードは現在多くの組織にとって容認できないリスクをもたらしますが、ビブコーディングは「新しいパラダイムの兆し」を示し、「経験豊かな開発者が生産性を大幅に向上させる」ことを可能にすると主張しました。
CTOはコード書き込みにAIを使用することによるビジネス上の利点が採用を増加させると予測しました。彼は、セキュリティ専門家が今すぐリスクへの関与を開始し、ソフトウェアを攻撃に対してより脆弱でなくさせるコアセキュリティ原則を埋め込むことが重要であると主張しました。
彼がビブコーディングのセキュリティ確保のために提案した掟は以下を含みます:
- セキュアなデフォルトコーディング慣行をビブコーディングツールに統合する: AIモデルはそのまま安全で強化されたコードを生成する必要があります
- 「信頼しても検証する」アプローチを採用する: AI生成コード内に悪意のあるバックドアがないことを確認するために、証明可能なモデル由来を要求します
- AIを活用したコードレビューを実行する: AIを使用してすべてのコード(人間が書いたコードとAI生成コードの両方)を監査し、脆弱性をスキャンします
- 決定論的なガードレールを実装する: たとえコードが侵害されたとしても、コードが何ができるかを制限するための厳格なルールベースの制御を実施します
- ホスティングプラットフォームをセキュアにする: AI生成であるかどうかを問わず、悪いコードに対してサンドボックスで保護する環境を構築します
- セキュリティ衛生を自動化する: AIにドキュメント、テスト、ファジング、およびソフトウェアのすべてのピースの脅威モデリングを処理させます
NCCSのCTOは、「ビブな未来を5年待つことなく」、これらのガードレールのいくつかを今すぐ実装する必要があることを強調しました。
「ほんの一つの例として、レガシー(エンドオブライフでさえ)のクリティカルアプリケーションのホスティングまたはコードを強化するためにAIを使用する機能は、組織が抱える多くの技術およびセキュリティ債務を返済するでしょう」と彼は述べた。
彼はまた、AIはコーディング慣行のセキュリティを支援できると強調しました。アプリケーションが通信することが許可されるURLのアローリストを維持するなどの最小限のタスクから、デフォルトで一般的なセキュリティ問題から保護するフレームワークでクリティカルコンポーネントを書き直す、またはメモリ安全言語で書き直すなどのより大きなタスクまで。
彼は、AIコードが最高のオンプレミスまたはサービスとしてのソフトウェア(SaaS)製品よりもはるかに制限され、デフォルトでロックダウンされる「可能な将来」を想定しました。
「皮肉なことに、これまで多くの年月にわたって移行を避けてきたクラウドサービスに関する古い懸念についてまだ心配している組織に対するソリューションを提示する可能性さえあります」と彼は付け加えた。
翻訳元: https://www.infosecurity-magazine.com/news/rsac-uk-ncsc-urges-vibe-coding/
