AIがクラウドセキュリティとリスクの関係をどう変えるのか

AIがクラウドセキュリティとリスクの関係をどう変えるのか

サイバーセキュリティ専門家のリアト・ハユン氏によると、AIブームは企業のデータ資産とクラウド環境全体のリスクを増大させている。

TechRepublic とのインタビューで、Tenable のクラウド セキュリティ製品管理およびリサーチ担当副社長である Hayun 氏は、組織に対して、クラウドの誤った構成や機密データの保護などの主要な問題への対処を優先しながら、リスクへの露出と許容度を理解することを優先するようアドバイスしました。

Liat Hayun のプロフィール写真。
Tenableのクラウドセキュリティ製品管理および研究担当副社長、Liat Hayun氏

彼女は、企業は依然として慎重な姿勢を崩していないものの、AIのアクセス性の高さが特定のリスクを増大させていると指摘しました。しかし、今日のCISOはビジネスを支援する存在へと進化しており、AIは最終的にはセキュリティ強化のための強力なツールとなる可能性があると説明しました。

AIがサイバーセキュリティやデータストレージに及ぼす影響

TechRepublic: AI によってサイバーセキュリティ環境はどのように変化していますか?

Liat:まず第一に、AIは組織にとってはるかに身近なものになりました。10年前を振り返ると、AIを開発できる組織は、機械学習やAIアルゴリズムを開発するために、データサイエンスと統計学の博士号を持つ専門のデータサイエンスチームを擁する必要がありました。今ではAIは組織にとってはるかに容易に開発できるようになり、まるで新しいプログラミング言語やライブラリを環境に導入するのと同じような感覚で使えるようになりました。Tenableのような大企業だけでなく、スタートアップ企業も含め、多くの組織がAIを活用し、自社製品に導入できるようになりました。

参照:ガートナー、オーストラリアのITリーダーにAI導入は各自のペースで進めるよう指示

2つ目に、AIは大量のデータを必要とします。そのため、より多くの組織が、より大量のデータを収集・保管する必要があり、そのデータは時に機密性も高められます。以前は、ストリーミングサービスは私に関する情報をごくわずかしか保存していませんでした。しかし今では、私の居住地が重要になるかもしれません。なぜなら、位置情報や年齢、性別などに基づいて、より具体的なレコメンデーションを作成できるからです。企業はこのデータをビジネス目的、つまりより多くのビジネスを生み出すために活用できるようになったため、より大量のデータを、より機密性の高いデータとして保管する意欲が高まっています。

TechRepublic: それはクラウドの利用増加につながっているのでしょうか?

Liat:大量のデータを保存したい場合、クラウドの方がはるかに簡単です。新しい種類のデータを保存しようとするたびに、保存するデータ量が増えていきます。データセンターに行って新しいデータボリュームを注文してインストールする必要はありません。クリックするだけで、新しいデータ保存場所がすぐに用意されます。つまり、クラウドによってデータの保存がはるかに簡単になったのです。

これら3つの要素は、一種の循環を形成し、相互に補完し合っています。データの保存が容易になれば、AI機能をさらに強化でき、さらに多くのデータを保存しようという意欲が湧く、といった具合です。つまり、ここ数年で世界で起こったのはまさにこれです。LLMが組織にとってよりアクセスしやすく、一般的な能力となったことで、これら3つの分野すべてに課題が生じているのです。

AIのセキュリティリスクを理解する

TechRepublic: AI によって特定のサイバーセキュリティリスクが増大していると考えていますか?

リアット:組織におけるAIの活用は、世界中の個人によるAIの活用とは異なり、まだ初期段階にあります。組織は、AIを導入する際に、不必要なリスクや極端なリスクが生じないように注意する必要があります。そのため、統計的にはまだ事例が限られており、実験段階であるため、必ずしも適切な代表例とは言えません。

リスクの一例としては、AIが機密データでトレーニングされることが挙げられます。これは実際に発生している問題です。これは組織が注意を払っていないからではなく、機密データと非機密データを分離しつつ、適切なデータセットでトレーニングされた効果的なAIメカニズムを維持することが非常に困難だからです。

2つ目に見られるのは、いわゆるデータポイズニングです。つまり、たとえ非機密データで訓練されたAIエージェントがあったとしても、その非機密データが公開されている場合、敵対者、つまり攻撃者として、公開されアクセス可能なデータストレージに自身のデータを挿入することで、AIに意図しない発言をさせることができます。AIは万能の存在ではなく、見たものだけを知っているのです。

TechRepublic: 組織は AI のセキュリティリスクをどのように評価すべきでしょうか?

Liat:まず、クラウド、AI、データ、そしてサードパーティベンダーの使用方法や組織内でのさまざまなソフトウェアの活用方法など、組織が抱えるリスクのレベルを組織がどのように把握できるかを尋ねたいと思います。

参照:オーストラリア、AIに義務的なガードレールを提案

2つ目のポイントは、重大なリスクをどのように特定するかです。つまり、公開されている資産に深刻な脆弱性があることが分かっている場合、まずはそこに対処する必要があるでしょう。しかし、それは影響の組み合わせでもありますよね?非常に類似した2つの問題があり、一方は機密データを侵害する可能性があり、もう一方は侵害されない場合、まずは最初の問題に対処する必要があります。

また、ビジネスへの影響を最小限に抑えながら、これらのリスクに対処するためにどのような手順を踏むべきかを知る必要があります。

TechRepublic: あなたが警告する大きなクラウド セキュリティ リスクにはどのようなものがありますか?

Liat:私たちが顧客にいつもアドバイスしていることは 3 つあります。

一つ目は、設定ミスです。インフラストラクチャ、クラウド、そしてクラウドが提供するあらゆるテクノロジーの複雑さゆえに、たとえ単一のクラウド環境であっても、特にマルチクラウド環境に移行している場合は、設定ミスによって問題が発生する可能性が非常に高くなります。そのため、特にAIのような新しいテクノロジーを導入する際には、この点に重点を置く必要があります。

2つ目は、過剰な権限アクセスです。多くの人は自分の組織は極めて安全だと考えています。しかし、自宅が要塞で、鍵を周りの人に貸し出しているような状況では、依然として問題となります。つまり、機密データや重要なインフラへの過剰なアクセスも、もう一つの重要な問題です。たとえすべてが完璧に設定され、ハッカーがいない環境であっても、過剰な権限アクセスはさらなるリスクをもたらします。

人々が最も重視するのは、悪意のある、あるいは疑わしい活動を発生直後に特定することです。AIはまさにこの点で活用できます。インフラ内のセキュリティツールにAIツールを組み込むことで、大量のデータを非常に高速に分析できるという強みを活かし、環境内の疑わしい、あるいは悪意のある行動を特定できるようになります。そのため、重要な情報が侵害される前に、可能な限り早期にこれらの行動や活動に対処することができます。

AIの導入は「見逃せない絶好の機会」

TechRepublic: CISO は AI に伴うリスクにどのように対処していますか?

Liat:私はサイバーセキュリティ業界に15年携わっています。セキュリティ専門家、特にCISO(最高情報セキュリティ責任者)のほとんどが、10年前とは様相が変わってきていることに驚いています。彼らは門番や「これはリスクが高いので使えない」という立場ではなく、「どうすればリスクを抑えながら使えるか」と自問自答しています。これは素晴らしい傾向です。彼らはより積極的に支援する存在になりつつあるのです。

TechRepublic: AIのリスクだけでなく、良い面も見ていますか?

リアット:企業は「AIは今のところリスクが高すぎる」と考えるのではなく、AIをどのように導入するかについてもっと深く考える必要があります。そんな考えは通用しません。

今後数年以内にAIを導入しない組織は、時代遅れになってしまうでしょう。AIは、社内ではコラボレーション、分析、インサイト獲得といった点で、そして社外ではお客様に提供できるツールといった点で、多くのビジネスユースケースにメリットをもたらす素晴らしいツールです。この機会を逃すわけにはいきません。「AIは使えるが、リスクも考慮する必要がある」という意識を組織が持てるようになるお手伝いができれば、私の仕事は達成されたと言えるでしょう。

Tagged: