セキュリティに関しては、企業内で最も弱い部分は人間であると考えられています。当然のことながら、 95％以上 のサイバーセキュリティインシデントは人的ミスによって引き起こされています。人間は気まぐれで間違いやすく、予測不可能なため、組織のシステムへの侵入を狙うサイバー犯罪者の格好の標的となります。  

このため、機械への依存がさらに重要になります。この時点まで、私たちはマシンがコードを真実として動作させることを信頼することができました。コードの脆弱性や人間のオペレーターの社会的欠陥によって侵害される可能性はありますが、通常、問題は明確な解決策で解決されます。 

しかし、 generative AI (GenAI) と 大規模な言語モデル (LLM)、組織は現在、AI をだまして意図しないことをさせるソーシャル エンジニアリング攻撃に直面しています。 AI へのオフロードが増えるにつれて、これらの新しい攻撃パターンが展開されるのを見るのは興味深いでしょう。

このジレンマに直面すると、この複雑かつ進化する AI セキュリティ環境を乗り切るのは、再び人間にかかっています。このため、CISO には、AI の利点と欠点を明確に伝え、AI を活用した製品と機能に関連するセキュリティ上の考慮事項の長いリストを認識することが求められます。 

生成 AI の導入を急ぐとサイバーセキュリティに新たな課題が生じる

まず、GenAI と LLM に関する共通の問題は、AI によって生成されたコンテンツへの過度の依存です。人間による入力や監視なしに、誤解を招く情報や誤った情報を検証またはチェックせずに AI によって生成されたコンテンツを信頼すると、誤ったデータが伝播し、不十分な意思決定や批判的思考の低下につながる可能性があります。 LLM は幻覚を見ることが知られているため、偽情報の一部は悪意によるものではない可能性もあります。

同様に、GenAI の進化に伴って導入される安全でないコードの量も、積極的に予測しない限り、CISO にとって大きな課題となるでしょう。 AI エンジンは、セキュリティ上の脆弱性を伴うバグのあるコードを作成することが知られています。人間による適切な監督がなければ、GenAI は適切な技術的基盤を持たない人々にコードを出荷できるようにします。これは、これらのツールを不適切に使用する組織にとって、ソフトウェア開発ライフサイクル全体を通じてセキュリティ リスクの増加につながります。

データ漏洩も一般的な問題です。場合によっては、攻撃者はプロンプト インジェクションを使用して、AI モデルが別のユーザーから学習した機密情報を抽出する可能性があります。多くの場合、これは無害ですが、悪意のある使用が確実に排除されるわけではありません。悪意のある者は、ツールが記憶している機密情報を抽出することを目的として、綿密に作成されたプロンプトを使用して AI ツールを意図的に調査し、機密情報や機密情報の漏洩につながる可能性があります。

AI は一部のサイバーセキュリティのギャップを増大させる可能性があるが、他のギャップを埋める大きな可能性を秘めている

最後に、GenAI と LLM の普及により、いくつかの理由により、業界の攻撃対象領域の縮小の一部が後退することがわかっています。まず、GenAI でコードを生成できるため、ソフトウェア エンジニアになれるハードルが低くなり、その結果、コードが弱くなり、セキュリティ標準もさらに弱くなりました。第二に、GenAI には膨大な量のデータが必要です。これは、データ侵害の規模と影響が飛躍的に増大することを意味します。第三に、他の新興テクノロジーと同様に、開発者はその実装が悪用または悪用される可能性がある方法を十分に認識していない可能性があります。 

それでも、バランスの取れた視点を採用することが重要です。 Gen AI によるコード生成の促進は懸念を引き起こすかもしれませんが、サイバーセキュリティ環境にプラスの要素ももたらします。たとえば、クロスサイト スクリプティング (XSS) や SQL インジェクションなどのセキュリティの脆弱性を効果的に特定できます。この二重の性質は、微妙な違いを理解することの重要性を強調しています。 AI を単に有害なものとして捉えるのではなく、人工知能とサイバーセキュリティへの人間の関与との間の補完的な関係を強調しています。 CISO は、GenAI と LLM に関連するリスクを把握すると同時に、GenAI を導入して組織を強化するための人間中心のアプローチを模索する必要があります。

AIが残したものを人間が拾う

CISO の任務は、GenAI の複雑さを解明することだけではありません。彼らは組織の前進の道を切り開き、GenAIが支配する世界でどのようにして組織が繁栄し続けることができるかをリーダーに証明しなければなりません。 

多くのセキュリティ脆弱性の責任はエンド ユーザーにあることがよくありますが、サイバー犯罪に対しては、十分な訓練を受けセキュリティ意識の高い人間以上に優れた防御手段はありません。組織がどのような脅威検出ツールを導入していても、ソフトウェアのテストに関しては画面の向こうにいる人に代わることはできません。 

組織は次の力を利用してサイバー犯罪者を上回ることができます。 倫理的ハッキング。時代遅れの誤解のため、ハッカーを自社のネットワークに招き入れることをためらう人もいますが、これらの法を遵守するサイバーセキュリティの専門家は、AI とは異なり、サイバー攻撃者の頭の中に入り込むことができるため、悪者と戦うのに最適です。

実際、ハッカーはすでにサイバー犯罪者との戦いで自動化ツールを補完しています。 の92％ 倫理的ハッカー スキャナーでは見つけられない脆弱性を見つけることができると述べています。ハッキングのベールを永久に剥がすことで、ビジネス リーダーは倫理的なハッキングと人間のサポートを受け入れ、現代のサイバー犯罪と戦う際に AI と人間の専門家の間でより効果的なバランスをとることができます。私たちの最近の ハッカーによるセキュリティ レポート はこれを強調しており、お客様の 91% が、ハッカーは AI やスキャン ソリューションよりも影響力があり、価値のある脆弱性レポートを提供すると述べています。 AI が私たちの未来を形作り続ける中、倫理的ハッカー コミュニティは AI の安全な統合を確保することに今後も尽力していきます。

自動化と高度なスキルを持つハッカーのネットワークを組み合わせることで、企業はアプリケーションの重大な欠陥が悪用される前に特定できるようになります。組織が自動化されたセキュリティ ツールと倫理的ハッキングを効果的に組み合わせることで、進化し続けるデジタル攻撃対象領域のギャップを埋めることができます。 

これは、人間と AI が連携してセキュリティ チームの生産性を向上できるためです。 

1. 攻撃面の偵察: 現代の組織は、承認済みおよび未承認のさまざまなハードウェアとソフトウェアで構成される大規模で複雑な IT インフラストラクチャを成長させることができます。ソフトウェアやハードウェアなどの IT 資産の包括的なインデックスを作成することは、脆弱性を軽減し、パッチ管理を合理化し、業界の義務への準拠を支援するために重要です。また、攻撃者が組織を標的にする可能性のあるポイントを特定して分析するのにも役立ちます。
2. 継続的な評価: 組織は、ポイントインタイムのセキュリティを超えて、人間のセキュリティ専門家の創意工夫とリアルタイムの攻撃対象領域の洞察を組み合わせて、デジタル環境の継続的なテストを実現できます。継続的な侵入テストにより、IT チームは、現在の環境で侵害がどのように発生するか、チームがリアルタイムで適応できる潜在的な弱点を示す継続的なシミュレーションの結果を確認できます。
3. プロセスの強化: 信頼できる人間のハッカーは、プロセスの強化を支援するために脆弱性や資産に関する貴重な情報をセキュリティ チームに渡すことができます。

まとめ

生成型 AI が急速なペースで進化し続ける中、CISO は人間がどのように協力して AI のセキュリティを強化し、取締役会や経営陣からのサポートを得ることができるかについての理解を活用する必要があります。その結果、組織はこれらの課題に効果的に取り組むために適切な人員とリソースを確保できるようになります。倫理的なハッカーとの協力を通じて、迅速な AI 実装と包括的なセキュリティの間で適切なバランスをとることにより、適切な AI を活用したソリューションへの投資の議論が強化されます。

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://www.dataversity.net/balancing-act-the-value-of-human-expertise-in-the-age-of-generative-ai/