出典:TippaPatt via Shutterstock
オープンウェブアプリケーションセキュリティプロジェクト(OWASP)は、人工知能(AI)のリスクと防御戦略の展望を更新しており、この技術の急速な採用と、その採用がもたらすセキュリティ問題を反映しています。
OWASP財団は、AIシステムを採用する企業向けに拡張されたセキュリティ推奨事項を公開し、ソリューションの追跡を生成AIとエージェントAIの2つのグループに分割しながら、GenAIシステムの21の異なるリスクを概説しました。最初のガイドはGenAIと大規模言語モデル(LLM)の保護に焦点を当てています。2番目はエージェントAIシステムに焦点を当てています。さらに、OWASPはGenAIデータセキュリティリスクの初回リストを公開し、機密データ漏洩、エージェントアイデンティティと認証情報の露出、シャドウAIによる不正なデータフローなど、AIシステムによって引き起こされる可能性のある21のデータ問題をカバーしています。
分野が非常に急速に変わっているため、このグループの最新リリースは前回のソリューションガイドからわずか4ヶ月後に発表され、対象となるプロバイダーの数は50社から170社以上に拡大しました。OWASP GenAIセキュリティプロジェクトの共同リーダーであるスコット・クリントン氏がこう述べています。ペースはより規則的になっていますが、OWASPはエコシステムがそのような急速な更新を必要とし続けることを期待していません。代わりに6ヶ月スケジュールに移行するとのことです。
「私たちが最初に開始したとき、物事が信じられないほど高速に進んでいたため、四半期ごとに公開していました。産業はまだかなり急速に進んでいるし、ソリューションはまだ出てきていますが、同じペースではありません」と彼は述べています。
モデルからスウォームへ
いくつかの事件が、企業がLLM、GenAI、AIエージェントの使用をセキュアにするのに引き続き苦労していることを示しています。ユーザーは、AIエージェントがタスクを完了するためにセキュリティ境界を無視することが多いことを発見しており、「スウォーム」(AIエージェントの集合)へのシフトは、タスク完了のためにさらに大きなセキュリティの複雑さをもたらしています。モデルコンテキストプロトコル(MCP)サーバーなど、AI開発および展開エコシステムの多くのレイヤーは、専門家によると非常に安全でないとのことです。
それでも、これらのシステムの使用は爆発的に増加しており、サービスとしてのソフトウェアアプリケーションの急増さえ上回っています。10,000人の従業員を持つ企業は過去に30~100個のアプリケーションを持っていたかもしれませんが、今はデータを収集するためのスクリプトを生成する特定のLLMコールを数えると、何万ものAIアプリケーションが実行されています。AIセキュリティ企業Straikerの最高アーキテクトであるサイ・モダラバラサ氏がこう述べています。
OWASP GenAIセキュリティプロジェクトの寄稿者であるモダラバラサ氏は、問題を管理するためのツールがまだ開発中であると述べています。まず、企業はそのネットワークとシステムでAIエージェントが何をしているかを見ることができる必要があります。
「可視性と監視可能性がなければ、文字通り闇の中で射撃しています」と彼は述べており、アプリケーションセキュリティとは異なり、AIの世界では、「可視性をいつ言うのか指を置くことができません。なぜなら、それはあちこちにあるからです」と付け加えています。
企業は当初GenAIとLLMに焦点を当てていましたが、現在は開発とセキュリティの懸念の多くがエージェントAIシステムにシフトしています。その結果、OWASPは多面的な取り組みにシフトしました:一方ではGenAIとLLMそしてもう一方ではエージェントAIです。
2つのクラスのAIアプリケーションは相互作用のための異なるプロトコルを持っており、したがって異なるソリューションセットを必要とします。クリントン氏がこう述べています。
「最初のトップ10リストを最初に作成し始めたとき、MCPは存在せず、A2A [Agent2Agent]も存在しませんでした。より複雑になるにつれて、アプリケーション構築を支援するためのプロトコルがさらに出てくるでしょう」と彼は述べています。「マルチエージェントアーキテクチャは、ほぼ確実に、それらの間で何らかの分離を見続けることが保証されます。」
エージェントAIシステムのソリューションを提供する企業の増加するリスト。出典:OWASP
新しいAIセキュリティロードマップの作成
2つのソリューションレポートは、DevOpsおよびSecOpsソフトウェア開発および展開サイクルの一部として、LLM、GenAI、およびエージェントAIシステムのセキュリティがどのように進化する必要があるかのマップを作成することを目的としています。レポートは、目標ドリフト、プロンプトインジェクション、エージェント間の共謀、安全でないツール実行など、AIベースのエコシステムのセキュリティの独特の側面に対処する商用およびオープンソースツールの両方をカバーしています。
現在の目標は、市場に出現しているソリューションとAIおよびエージェント現実にマップされたソフトウェア開発ライフサイクルの進化する定義を結び付け、次にそれらをOWASPが文書化したリスクにマップすることだとクリントン氏は述べています。
OWASPがリリースした3番目のドキュメントには、企業がデータセキュリティの体勢で管理する必要のある上位21のリスクが含まれており、AIシステムとアクティビティの発見、データとAIアセットの分類、それらのインタラクションを管理するためのポリシーの作成、およびコンプライアンスとセキュリティの監視をカバーしています。
主なリスクには、プロンプトとモデル出力を通じた機密データ漏洩(DSGAI-01)、トレーニングデータと埋め込みメモリファイルの操作によるデータ中毒(DSGAI-04)、およびサードパーティツールとデータを通じた侵害(DSGAI-06)が含まれます。
企業は最も重大なリスクを判断するためにAIの使用を評価する必要があるとStraikerのモダラバラサ氏は述べています。
「防御は、あなたがそれをどのように採用しているか(あなたのビジネスニーズ)の両方によって駆動されていると思います。AIに大きく依存している場合、自動化と推論スタック全体にそのモデルに依存しようとしている場合、またはそれに過度に依存している場合、おそらく防御はまだ存在していません。なぜなら、AIは「狂う」可能性があるため、非常に目標志向であり、コンテキストを失う可能性があるからです」と彼は述べています。
翻訳元: https://www.darkreading.com/application-security/owasp-genai-security-project-update-matrix
