インタビュー Amazonは、セキュリティ責任者のCJ Mosesによれば、AIツールを使って製品のリリース前後にペンテストを行うことで、効率が40％向上したという。

「そして、効率性について“ヒッケースティック（加速度的な伸び）”に到達したとは思っていません」Amazon統合セキュリティの最高情報セキュリティ責任者（CISO）であるMosesは、RSAカンファレンスでのインタビューでThe Registerにこう語った。「毎年、より多くのものをリリースしています。ペンテストを行うには、毎年チームを大きくする必要がありました。そして私たちは、すべての作業をこなすのに十分なペンテスターを確保できないという戦いをしていました。」 

歴史的には、これは非常に人手とリソースを要する取り組みであり、クラウドとオンライン小売の巨大企業は、開発プロセス中、そして顧客がそれらを使う前に、製品・サービス・アプリケーション内のバグを先回りして見つけ、悪用するために、「人間による莫大な、莫大な費用」（AWSの従業員と請負業者の両方）として数百万〜数千万ドルを投じてきた。

「AIを投入していくことで、実際に私たちは40％以上も効率的になりました」Mosesは、こうした効率向上がペンテストに関連する人件費と運用コストによってもたらされる点を挙げた。 

私たちは、Amazonがセキュリティ担当者を解雇してロボットに置き換えるわけではないと言われている。代わりに、採用は据え置きのまま、より多くのクラウドサービス、機能、そして行数の多いコードを追加している。そしてMosesによれば、同じ水準のセキュリティを維持しつつ、はるかに高いスピードで進めているのだという。

もう一つ、AIによるペンテスターの利点として彼が挙げたのは、製品がリリースされた後でも、脆弱性を継続的にテストできることだ。 

ペンテストは、ある時点で行うものではなくなった。次のレベルのアクセスを探しながら、テストは継続する。それは計り知れない。

返却形式: {"translated": "翻訳されたHTML"}

「ポイントは、もはや“ある時点で”ペンテストが終わることはない、ということです」とモーゼス氏は述べた。「365日という単位で、毎年1回のテストを受けるだけではありません。次のレベルのアクセスを探し続けます。これは、問題や脆弱性を特定する観点から見ても計り知れませんし、潜在的な脆弱性を自動化された方法で連鎖（デイジーチェーン）させることも、そしてその結果を人間にアラートとして提示し、人間がそれに対応して判断できるようにすることも含まれます。」

さらに、元NSAのサイバー担当トップであるロブ・ジョイス氏がRSACのパネルで語ったところによれば、犯罪者は、あなたの組織がこれを積極的に行っているかどうかにかかわらず、AIを使って組織内の欠陥や誤った設定を見つけているのです。

「払っても払わなくても、あなたはレッドチームの対象になります」とジョイス氏は月曜のパネルで述べた。「違いは、ほら、誰に結果が届けられるかだけです。」

そしてはい、人間はまだまだ“関与”しています。AIは、脆弱性の特定や分析といった、より日常的でデータ集約型のタスクを実行し、その後は判断を人間に引き渡す、と同氏は説明した。

「例として、ペンテストAIがアプリケーションをペンテストしていて、さらなるアクセスを可能にする脆弱性を見つけたとします。その場合、AIに対して、そのアクセスを悪用するかどうかを人間に確認させたいのです」とモーゼス氏は語った。「AIは物事を行うのがとても得意です。特に、大量のデータがあって、その俯瞰的な視点が必要な場合は。しかし、意思決定能力という点では、私たちはそれを頼りにできる状態ではないのです。」

• AWSによると、AIを拡張したキャンペーンで600以上のFortiGateファイアウォールが攻撃を受けた
• Claudeの攻撃は「ロールシャッハ・テスト」だった――インフォセック界隈を怖がらせた元NSAトップ
• アマゾンのセキュリティ責任者：敵対国はサイバー攻撃を“物理的な軍事攻撃”のために使う
• ジェン・イースタリー（サイバーセキュリティの「たゆまぬ楽観主義者」）――連邦政府が来年RSACに戻ることを期待

モーゼス氏と、同氏のほかのCISOやセキュリティ企業のCEOたちによれば、AIの意思決定スキルは、7歳児とほぼ同程度です。「つまり、7歳の子に、社内で次のレベルのペンテストへ飛び込むべきかどうかを決めさせることに同意できるなら、まあいいでしょう。でも、より経験があり年齢も上の誰かがいない状態でAIにそれをやらせたいとは思わないかもしれません。」

AIを訓練する方法

毎年のサイバーセキュリティ会議の開催中、あるいはその前後に行われるCISOの議論は、企業や政府のセキュリティ担当者が直面している痛点に関する話題になることが多い。そして今年は「AIの議論です」とモーゼス氏は述べた。より具体的には、AIシステムやエージェントをどう守るか、ということだと同氏は指摘した。 

「人間を守ることに慣れているなら、AIを守ることの方がうまくできるようになります」とモーゼス氏は述べた。「今の時代、私たちが守らなければならない、非決定論的なものは何でしょうか？人間とAIです。人間を守るのと同じように、あなたのAIを見てください。人間をどう守りますか？訓練です。」 

どちらも、誰かがITサポートデスクに電話してきて「自分は従業員だが、SaaSアカウントから締め出された」と主張するような場面で、何をすべき（あるいはすべきでない）かを、学習させる必要があります。しかし人間と同じように、AIはセキュリティ訓練を受けていても常に同じ振る舞いをするとは限りません。だからこそ、アイデンティティとアクセスが極めて重要になります。

人間の従業員のICカードや資格情報が、仕事をするために必要な物理空間やIT環境にアクセスできる範囲を、必要なところだけに限定すべきなのと同様に、AIエージェントやシステムも、実行できることを制限されるべきです。つまり、エージェントのアイデンティティを作成し管理すること、与えられたタスクを完了できるように基盤となるモデルを適切なデータで訓練すること、そして特定のタスクを行うために必要なシステムとデータにのみアクセスを制限すること、これらを行う必要があります。

「彼らに“知ってほしいこと”を伝えるのであって、それ以上のことは何も伝えないのです」とモーゼス氏は述べた。「もし、彼らが知る必要のない何かを伝えれば、それに基づいて行動し、それを使い、それを友達に共有します――そしてAIには友達がいるのです。」 ®

More about

• AI
• Amazon
• RSAカンファレンス

これらに似たトピック

共有

×

関連記事

• AI
• Amazon
• RSA Conference
• セキュリティ

より絞り込んだトピック

• 2FA
• 高度な持続的脅威
• AIOps
• アプリケーションデリバリーコントローラ
• 認証
• AWS
• BEC
• Black Hat
• BSides
• バグバウンティ
• Center for Internet Security
• CHERI
• CISO
• 共通脆弱性評価システム
• サイバー犯罪
• Cybersecurity and Infrastructure Security Agency
• Cybersecurity Information Sharing Act
• データ漏えい
• データ保護
• データ窃盗
• DDoS
• DeepSeek
• DEF CON
• デジタル証明書
• Ebook
• 暗号化
• エンドポイント保護
• エクスプロイト
• ファイアウォール
• Gemini
• Google AI
• Google Project Zero
• GPT-3
• GPT-4
• ハッカー
• ハッキング
• ハクティビズム
• なりすましによる個人情報の盗難
• インシデント対応
• 情報セキュリティ
• インフラストラクチャのセキュリティ
• ケンナ・セキュリティ
• Kindle
• 大規模言語モデル
• 機械学習
• MCubed
• NCSAM
• NCSC
• ニューラルネットワーク
• NLP
• パロアルトネットワークス
• パスワード
• 個人を特定できる情報
• フィッシング
• 量子鍵配送
• ランサムウェア
• リモートアクセス型トロイの木馬
• リトリーバル拡張生成
• REvil
• ソフトウェア部品表
• スパミング
• スパイウェア
• スター・ウォーズ
• 監視
• テンソル処理ユニット
• TLS
• TOPS
• トロイの木馬
• トラステッド・プラットフォーム・モジュール
• 脆弱性
• ワナクライ
• ゼロトラスト

より広いトピック

• サイバーセキュリティ
• ジェフ・ベゾス
• RSAセキュリティ
• 自動運転車