生成AIは攻撃者と防御者、どちらに有利か? AWSのCISOが語る:Cybersecurity Dive
生成AIは劇的な効果を発揮するわけではないが、使い方によっては大きな力を発揮する。この技術は攻撃者と防御者のどちらに有利に働くのだろうか。
Amazon Web Services(AWS)のCISO(最高情報セキュリティ責任者)であるクリス・ベッツ氏は、サイバーセキュリティについて、恐れを抱いたり過度に楽観視したりしているわけではない。同氏は、2つの極端な要素のバランスを取り、生成AI(人工知能)を他の成長中のテクノロジーと同様に扱っている。
AIは攻撃者を助けるのか、防御者を助けるのか? AWSのCISOが語る
ベッツ氏は『Cybersecurity Dive』に対して「生成AIにどこまでの価値があるか分からないが、空が落ちてくるほどのものではないと思っている」と語った。
セキュリティ業界は、攻撃者が生成AIを使用してサイバー攻撃をより迅速に、より頻繁に、より悪質に実行するではないかとの懸念を持っている。しかしこの懸念を立証する証拠はまだない。
Crowdstrikeの報告書によると(注1)、研究者はAIが防御者と攻撃者のスキルを高めると予測しているが、攻撃者の作戦におけるAIの使用は限定的だ。同報告書には、次のような記載がある。
「2023年を通じて、生成AIを利用した悪質なコンピュータネットワークオペレーションの開発や実行はほとんど観察されなかった」
ベッツ氏によると、生成AIがもたらす利点が防御側にあるのか攻撃側にあるのかを判断するのは難しく、時期尚早だという。攻撃者とセキュリティ専門家は、それぞれの強みを発揮するシナリオでこの技術を活用している。
防御側の視点から見ると、生成AIはより迅速かつ効率的に問題を解決できる。組織はAIを使って、発見が困難な脆弱性をスキャンし、修復のステップを決定できる。
「セキュリティアナリストが理解すべき情報は山ほどある。アプリケーションセキュリティエンジニアが理解すべき情報も同様だ。それらの情報を統合する能力や問題に対応する能力、適切なデータを見つけ、使えるようにまとめる能力は、防御者にとって非常に強力なものだ」(ベッツ氏)
また、ベッツ氏は「攻撃者に対して、防御者が優位性を構築できる点はこのような情報格差だ。攻撃者は、ターゲットに関する豊富なデータを持っていない。そのため、これは防御者に有利な要素といえるだろう」とも述べた。
AIは世界を変える“魔法のつえ”ではない
MicrosoftやGoogle Cloudが生成AIをベースにした製品の拡張を急ぐ一方で、AWSは慎重なアプローチを取っている(注2)。同社幹部は生成AIの能力を過度に強調していないが(注3)、Amazonはこの技術をベースにした複数の製品をリリースしている。
AWSは生成AIとそれを中心に構築された製品を、同社が他のテクノロジーと同じ基盤を適用すべきツールとして紹介している。ベッツ氏は「一貫したデータガバナンスモデルやアイデンティティーとアクセス管理、ログの記録とトレーサビリティーが重要だ」とコメントした。
生成AIに関する顧客との会話は、通常、予期せぬリスクや、企業が安全な方法でオペレーションを改善し、テクノロジーを使ってアプリケーションを構築する機会に関する内容を中心に展開される。
「裏を返せば、攻撃者も同じツールにアクセスできるようになったということだ。サイバーセキュリティおよびテクノロジーの業界では、常にそうなのだ。これは、注意を払うべき本当の脅威が存在しないということを意味するわけではない」(ベッツ氏)
ベッツ氏によると、ソーシャルエンジニアリングの能力やコード開発のスピードの観点で、攻撃者は生成AIから大きな力を得る可能性があるという。しかし、その結果もまた、決定されたものでも不可逆的なものでもない。「現時点では予測が難しい」とベッツは述べている。
「他のAWSのテクノロジーと同じように、誠実さや有能さ、信頼性の基準を超える形で生成AIの能力を提供できるかどうかが重要だ。AIはツールボックスの中のツールの1つだ。唯一のツールではない。世界を変える魔法のつえではないが、素晴らしい使い方がある。私は、相対的な優位性を考えるよりも、それを使うことに集中している。AIは重要なツールだ」(ベッツ氏)
(注1)CrowdStrike 2024 Global Threat Report(CROWDSTRIKE)
(注2)AWS bets on accuracy in generative AI deployment race(Cybersecurity Dive)
(注3)Amazon CSO likens security to psychological chess matches(Cybersecurity Dive)
関連記事
- AWSが無料のAIトレーニングコースを拡充 生成AIに関連した5つのコースを新設
AWSは現在提供中のAIトレーニングについて、無料の範囲を拡大すると発表した。生成AIに関連した5つのコースを新設する。 - バイデン政権、メモリ安全性の高いプログラミング言語の採用を呼びかけ
重大な脆弱性を減らすための取り組みの一環として、メモリ安全性の高いプログラミング言語をソフトウェアに採用する傾向が強まっている。 - 動画で学ぶセキュリティ対策 新卒用の教材にオススメのコンテンツを紹介
もうすぐ新卒入社の時期です。最近の学生は下手をすればわれわれよりもITの知識が豊富かもしれませんが、セキュリティについてはそうとも言い切れません。そこで今回は動画も含めた新入社員にお薦めのセキュリティコンテンツを紹介します。 - NEXCO西日本、個人情報入りのUSBメモリの紛失を公表 発覚までの経緯は
NEXCO西日本は個人情報が保存されていた可能性があるUSBメモリを紛失したと発表した。紛失したUSBメモリは暗号化されていたが、同時にパスワードも貼り付けられていたという。
© Industry Dive. All rights reserved.