今話題の生成AIに関連し、Webセキュリティやクラウドセキュリティに関して検討している団体がまとめた内容なども参考にしながら、生成AI時代に改めて考えたいセキュリティについて、2回に分けてお伝えします。
後編となる今回は「生成AIを活用したセキュリティ対策」を中心に解説していきます。
前編は こちら
生成AIを活用したセキュリティ対策
ここからは、以下の三つの観点で生成AIをセキュリティ対策に活用する方法についてご紹介します。生成AIの活用により、セキュリティ担当者の負荷軽減や効率化などに大きく貢献できます。
情報収集・整理
生成AIをセキュリティ対策状況の診断やセキュリティ情報の収集に活用することができます。
セキュリティ対策状況の診断など
例えば、自社システムの導入状況や導入予定のシステム情報などを入力して、システムの特性を考慮した対策例などを回答として引き出すことができます。
以下は、アシストで全社導入している、ChatGPTを組み込んだインサイトエンジン「
Glean
」の回答例です。アシストでは自社の取扱製品を活用してセキュリティ対策を行っていますが、この例ではBOXを利用したい場合にどのようなセキュリティ対策が必要かを生成AIに確認しています。
【問い合わせ】
【回答】
ハルシネーションには注意が必要ですが、セキュリティ対策の大枠や方針などを整理したい場合に便利です。
セキュリティ情報の収集
セキュリティ情報、脆弱性情報やアップデート情報を収集するために、生成AIを活用することもできます。
以下は、同じくGleanを利用して、Apacheの脆弱性についての回答を得ている例です。
【問い合わせ】
【回答】
上記ではApacheに限定して情報を取得していますが、複数の製品に関する脆弱性情報を整理することもできます。既存システムのコンポーネントを定期的にクローリングするような仕組みに発展させておけば、こちらからプッシュで情報を拾いにいき、容易にかつ複合的に情報を取得・整理できるのではないでしょうか。
脆弱性診断・チェック
脆弱性診断やセキュリティ対策状況のチェックを行うために生成AIを活用することもできます。
コードの脆弱性診断については、すでに「GitHub Copilot」などのサービスが提供されているため、そのようなサービスの利用を検討されるとよいかと思います。また、以下のように、ミドルウェアの設定ファイルなどを入力情報として生成AIに提供し、現行設定の中でセキュリティ対策が必要な部分があるかどうかを設定値と合わせてリストアップしてもらうことで、現状の脆弱性を診断できます。
攻撃の検知
攻撃の検知という観点で、ログのチェック、システムのログファイルから問題行動をチェック、SIEMなどの連携にも生成AIを利用できます。
ログのチェック
例えば、Linuxのログを入力情報として生成AIに提供し、セキュリティの観点で問題がないかどうかを確認することができます。
上記の例では、入力情報として提供したログから、同一IPからの繰り返しのログイン試行やrootユーザーの利用といったセキュリティ上の懸念点があることが指摘されています。このような使い方により、攻撃の可能性などを事前にチェックできます。
また、上記は手動でログ入力を行っていますが、このあたりも様々なログを定期的にチェックするような仕組みまで実装できれば、簡易なSOC(セキュリティオペレーションセンター)として活用できます。
セキュリティ製品・サービスへの組み込み
ここまで生成AIを個別に活用する例についてご紹介しましたが、すでにSecioss Identity Manager Enterprise(SIME:統合ID管理ソフトウェア)やEndpoint Detection and Response(EDR)などの分析系をはじめとした様々なセキュリティ製品や脆弱性診断サービスなどに生成AIが組み込まれています。
rootユーザーの不正なアクティビティを検知するといった部分的な活用だけでなく、今後は恐らくID/認証系のサービスにも展開されていくのではないかと思います。
生成AIがサービスとして組み込まれていくことにより、ユーザーが大量のアラートに悩まされたり、ログの見方に苦労するといったことを解消でき、セキュリティ担当者が対話的にインシデントに対応できるような時代もくるのではないでしょうか。
生成AI時代に考えたいセキュリティ対策まとめ
本記事でお話ししたことを以下にまとめました。
・生成AIが使われる攻撃へのセキュリティ対策
生成AIが全く新しい攻撃手法を生み出したわけではありませんが、既存の攻撃がより巧妙かつ効率的に行われるようになってきています。システム的な防御を重要視し、常に正しいかどうかを検証するような仕組みを構築して、利用者が安全に業務を行える環境を整えるということが重要です。
・生成AIを利用する場合のセキュリティ対策
利用者として生成AIを利用する際のデータの入力や出力結果に対する信頼性のリスクがあり、そのためにもガイドラインの整備など、適切なルール定めた運用などが求められます。
また、生成AIを自社のシステムに組み込む場合、特に外部公開するようなものであれば、プロンプトからの攻撃手法についても対策が必要です。このあたりはこれから色々と情報が出てくる分野でもあり、事例も含め最新情報のキャッチアップが重要です。
・生成AIを活用したセキュリティ対策
攻撃者が生成AIを利用しているのに、防御側が利用しなければ、それも一つのリスクになります。生成AIを活用し、工数のかかる情報整理やチェックなどを生成AIに任せてしまうことで、セキュリティ担当の負荷を軽減しながらより効率的に対策を行うことができるようになります。またセキュリティ製品にも生成AIがどんどん組み込まれているため、是非、最新技術を活用したセキュリティ対策を検討いただきたいと思います。
生成AIとセキュリティのこれから
生成AIとセキュリティのこれからということでは、この先、何段階かのステップを踏んで進んでいくものと考えています。現在は上の図でいくと、フェーズ1と2の間くらいでしょうか。まずは、生成AIが得意な分野を理解して、そこを生成AIに任せるような使い方をしている段階で、サービスによっては、フェーズ3のような使い方も出てきているかもしれません。
今後は生成AIに対し、効果的な対策を相談したり、また対策の計画も含めAIが立案し、攻撃に対して自動的に対策するようなところまで進んでいくのではないかと思います。生成AIに様々な情報の収集・整理などを担ってもらい、セキュリティ担当者とうまく共存ができれば良いと考えています。
最後に
クラウドシフトの初期も「情報漏洩が怖い」から始まり、クラウドを悪用するリスクや悪用した攻撃などもありましたが、逆にクラウドを利用するためのセキュリティ対策なども数多く出てきており、このような流れで、今の技術があると思っています。
生成AIもその登場により、ビジネスが大きな転換点を迎えました。これから、生成AIを活用した様々なベストプラクティスが出てくることが予想されます。
生成AI自体はツールにすぎず、過度な信頼は禁物ですが、それでも正しく使うことで、様々な業務が効率化されます。AIへの指示を正しく行い、仲良く付き合っていくことが重要です。
※本記事は2023年10月に開催された「アシストEXPO」での講演内容に基づくものです。
本記事に記載された、弊社意見、予測などは本稿作成時点における弊社の判断であり
今後予告なく変更されることがあります。
※記載されている会社名、製品名は、各社の商標または登録商標です。
執筆者のご紹介
本記事をご覧いただいている方へのご案内
最後までご覧いただきありがとうございました。
この記事の他にも、IT技術情報に関する執筆・対談記事を公開しておりますのでぜひご覧ください。