Amazonのセキュリティ責任者：AIがペンテストを40%効率化

インタビュー セキュリティチーフのCJ Mosesによると、Amazonは製品の発売前後にAIツールを使用してペンテストを実施することで、40パーセントの効率化を実現しました。

「効率化の加速期にまだ到達していないと思います」と、Amazon Integrated Securityの最高情報セキュリティ責任者であるMosesは、RSA Conferenceでのインタビューで『The Register』に語りました。「毎年より多くのものを発売し、毎年ペンテストを行うために必要なチームが大きくなっていき、すべての仕事を行うのに十分なペンテスターを確保できない状況の中にありました。」 

歴史的に、これは非常に人間集約的でリソース集約的な取り組みであり、クラウドおよびオンライン小売大手に「数百万ドルの人的コスト」がかかっています。これはAWS従業員と契約業者の両方で、開発プロセス中および顧客がそれらを使用する前に、製品、サービス、およびアプリケーション内のバグを積極的に発見して悪用するためです。

「AIを導入することで、実際に40パーセント以上効率化しました」とMosesは述べており、この効率化はペンテストに関連する人件費および運営費から来ていると指摘しています。 

Amazonはセキュリティスタッフを解雇してロボットに置き換えていないと言われています。むしろ、採用を抑制しながら、より多くのクラウドサービス、機能、コード行を追加し、同じレベルのセキュリティを維持していますが、はるかに高速で行われています。これはMosesによると言われています。

AIペンテスターのもう1つのメリットは、製品がリリースされた後も継続的に脆弱性をテストできることだと彼は指摘しました。 

ペンテストはもはや一時的なものではなく、次のレベルのアクセスを探して継続的にテストされ、これは計測不可能です

「ペンテストはもはや一時的なものではないという考えです」とMosesは述べました。「年間365日テストを1回受けるわけではありません。次のレベルのアクセスを探して継続的にテストされ、問題、脆弱性、潜在的な脆弱性の連鎖を自動的に識別する観点から計測不可能であり、その後、人間にアラートとして提示して、対応して意思決定できるようにします。」

さらに、元NSAサイバーボスのRob Joyceが彼のパネルでRSAC参加者に述べたように、犯罪者はあなたの組織の欠陥と誤設定を見つけるためにAIを使用しており、あなたが積極的にこれを行っているかどうかは関係ありません。

「支払うかどうかに関わらず、レッドチームを受けることになります」とJoyceは月曜日のパネルで述べました。「唯一の違いは、誰が結果を受け取るかを知っているということです。」

そしてはい、人間はまだ非常に重要な役割を果たしています。AIはユーザーが脆弱性識別と分析のようなより退屈でデータ集約的なタスクを実行してから、意思決定を人間に渡します。これは彼が説明しました。

「例えば、ペンテストAIがアプリケーションをペンテストしていて、さらなるアクセスを提供する脆弱性を見つけた場合、AIがその人間にアクセスを悪用するかどうかを尋ねてほしいと思うでしょう」とMosesは述べました。「AIは、特に大量のデータがあり、全体的な見方が必要な場合に、物事を行うのが非常に得意です。しかし、意思決定能力の観点からは、それは私たちが頼る準備ができていないものです。」

MosesおよびAIの同僚の最高情報セキュリティ責任者およびセキュリティ企業のCEOによると、AIは意思決定スキルにおいて7歳児と同等です。「それで、あなたの7歳児に会社でペンテストの次のレベルにジャンプするべきかどうかについて決定させてもよいなら、わかります。しかし、より経験豊富で年上の人なしにAIにそれをさせたくないかもしれません。」

AIの訓練方法

年間サイバーセキュリティ会議の期間中およびその周辺でのCISO討論は、しばしば企業および政府のセキュリティリーダーが直面している痛点に関するものであり、今年は「AI議論です」とMosesは述べました。より具体的には、AIシステムとエージェントを保護する方法についてですと彼は指摘しました。 

「人間の保護に慣れていれば、AIの保護がより良くできます」とMosesは述べました。「最近保護する必要がある2つの非決定論的なものは何ですか？人間とAI。あなたのAIを人間を保護する方法と同じ方法で見てください。人間をどのように保護しますか？トレーニング。」 

どちらも、誰かがITサポートデスクに電話して、SaaSアカウントからロックアウトされた従業員であると主張する場合に、何をするべきか（またはすべきではないか）についてトレーニングを受ける必要があります。しかし、人間と同じように、AIはセキュリティトレーニングにもかかわらず常に同じ方法で動作するわけではなく、それが理由でアイデンティティとアクセスが重要になります。

人間の従業員のキーカードと認証情報が、仕事を行うために必要な物理的なスペースとIT環境にのみアクセスできるようにすべきであるのと同じように、AIエージェントとシステムも実行できることに制限があるべきです。これは、エージェント的なアイデンティティを作成および管理し、基礎となるモデルを正しいデータでトレーニングして、指定されたタスクを完了できるようにし、特定のタスクを実行するために必要なシステムとデータのみへのアクセスを制限することを意味します。

「あなたは彼らに彼らが知りたいことを伝えて、それ以上は何もしません」とMosesは述べました。「あなたが彼らが知る必要のないものを伝えれば、彼らはそれに行動し、それを使用し、友人と共有します。そしてAIには友人がいます。」®