セキュリティ ブロガー ネットワークのホーム
ホーム » サイバーセキュリティ » RSA 2024 で何が期待できるか: AI はサイバーセキュリティに大混乱をもたらすか?
人工知能のリーダーたちが安全な AI とは何か、そしてそれが破滅への道を歩んでいることを意味するのかについて議論する一方で、サイバーセキュリティ コミュニティは、今日、ビジネスと顧客を最も効果的に保護する方法を皆で考えようとしています。AI は、膨大な課題と機会、新しいアプリケーションの爆発的な増加、急速に進化する脅威をもたらしており、サイバーセキュリティ コミュニティが協力して悪意のある行為者より一歩先を行くことがこれまで以上に重要になっています。
約 50,000 人のセキュリティ専門家が RSA 2024 に参加する準備をしている中、AI がどのように会話を支配し、形作っていくのか、また最近の SEC ガイドラインが CISO、経営幹部、取締役の役割をどのように変えているのかを見てみましょう。
昨年の RSA では、AI がサイバーセキュリティの次の大きなトレンドになるかどうか、そしてその誇大宣伝を乗り越える方法について多くの話題が飛び交いました。RSA 2024 が近づくにつれ、大規模言語モデル (LLM) と機械学習 (ML) が登場しただけでなく、今年の会話の多くを活気づけるでしょう。
AI とリスク管理の融合については考慮すべき点がたくさんあるため、この急成長中のテクノロジーがもたらす諸刃の剣について活発な議論が行われることを期待しています。
私と同僚は、同じテクノロジーを活用して防御を強化し、AI を活用したダーク オペレーターから企業を保護する方法について話し合っていますが、RSA で浮上すると予想されるテーマをいくつか紹介します。
2022 年には物理的なセキュリティ インシデントによる企業への損害が 1 兆ドルに達すると予測されており、AI を活用したサイバー攻撃はますます高度化、高速化、適応性を高めています。これにより攻撃の検出と軽減が難しくなる一方で、DarkGPT や FraudGPT などのサービスにより、悪意のある攻撃者がコーディング スキルを必要とせずに被害を与えることがさらに容易になっています。
AI アルゴリズムは、ソーシャル メディアやその他のソースからの膨大な量のデータを、非常にターゲットを絞った説得力のあるフィッシング攻撃やその他のソーシャル エンジニアリングに変換できます。たとえば、生成 AI を活用するための競争の中で、ハッカーはすでに偽の ChatGPT Web サイトや実際のサイトを模倣したフィッシング詐欺で一般ユーザーを悪用しています。これらの攻撃が無防備な従業員に対して行われると、重要なシステムへの不正アクセスが可能になります。
同時に、市場に急いで参入する中で、正当な GenAI クライアントは、アプリの開発時にセキュリティを優先事項として考慮しないことがよくあります。Google の Gemini などの製品は攻撃を受けやすいため、早期導入者は、従業員を脆弱な状態にするサードパーティ製アプリで増強しています。つまり、従業員は知らないうちに会社の機密情報を意図的に公開する可能性があります。
サイバーセキュリティ コミュニティが AI を利用した一連の攻撃に対する防御方法を学んでいくにつれ、このテクノロジーは悪意のある行為者を勇気づけるだけになります。私たちのチームは、ますます高度化する APT (Advanced Persistent Threat) や、より正確かつ迅速に産業用制御システムに侵入して操作できる、より高度で回避力の高いマルウェアに直面することになるでしょう。
AI が加速する世界では、セキュリティ リーダーが直面する課題はかつてないほど急速に増大しています。幸いなことに、私たちは同じテクノロジーを備えており、AI を活用したソリューションを活用して防御を強化し、悪意のある行為者に対する積極的なキャンペーンを展開できます。
AI/ML タイプのモデルをセキュリティ プログラムに組み込むことで、サイバー セキュリティ チームはデータをより深く理解し、見逃していたリスクを明らかにすることができます。自動化と組み合わせると、AI ツールは膨大なデータセットをふるいにかけ、データ クラスターの動作を比較し、人間よりも先に潜在的な危険に対応して、危険にさらされているシステムを会社のインフラストラクチャから迅速に分離することができます。
さらに、悪意のある人物が GenAI を使用してより強力で欺瞞的な脅威を作り上げているのと同様に、企業はこのテクノロジーを使用してプロアクティブなトレーニング シナリオを構築できます。この制御された環境で、チームは防御を練習、テスト、改善して、無数の実際の攻撃に備えることができます。より日常的なレベルでは、GenAI を実装して、CISO が自然言語を使用してプログラムについて質問し、予測的な洞察を含む正確な回答を受け取ることができるようにすることができます。
従業員のトレーニングと教育は依然として重要ですが、今日のサイバー犯罪者を打ち負かすには、強力で進化する技術的防御が必要です。そして、SEC の最近の規制は、この戦いの重要性を反映しています。
SEC の 4 日間の開示ルールは、企業にとって重大な新たな課題を提示しています。これは AI に関する議論に直接関係しています。AI は、早期検出警告とより迅速な対応時間を提供し、その期間内に侵害を特定するのに役立ちます。
同時に、SEC は上場企業に対し、サイバーセキュリティ リスク管理対策に関する重要な情報を毎年共有することを義務付けています。これにより、履歴データを明確に可視化する必要が生じます。
責任が増大するにつれて、今日の CISO は、以前のように必ずしも最前線にいるわけではありません。より高い視点からプログラムを監視する可能性が高くなり、サイバー防御戦略に対してより総合的なアプローチを取り、実用的なデータに基づくインテリジェンスでチームを指導できるようになりました。
CISO がこの総合的な視点を実現し、精査する必要のある膨大な量のデータを分析するには、AI/ML を導入することが重要です。
AI の能力は猛スピードで加速しているようで、分断の両側で新たな可能性が絶えず開かれています。権限を握った悪意のある行為者の一歩先を行き、回復力と適応力のあるエコシステムを形成するには、サイバーセキュリティ コミュニティが協力して、リスク管理と脅威防御の可能性を発見し、それを取り入れる必要があります。だからこそ、私は RSA 2024 を検討し、より安全な世界を作り続けるために役立つソリューションと戦略を特定するために協力することを楽しみにしています。
写真提供: Headway on Unsplash
シヴァン・テヒラはサイバーセキュリティの専門家であり起業家でもあり、Onyxia Cyber の創設者兼 CEO です。彼女は、イスラエル国防軍の諜報員、諜報部隊の CISO および情報セキュリティ部門の責任者など、諜報とサイバーセキュリティの分野で 10 年以上の経験を持っています。軍を退役してからは、RAFAEL の情報セキュリティ責任者や Perimeter 81 のソリューション アーキテクチャ ディレクターなど、民間企業でさまざまな役職を務めてきました。
sivan-tehila には 2 件の投稿があり、現在も増え続けています。sivan-tehila のすべての投稿を見る
セキュア コーディング プラクティス ステップ 1/7 14% 組織では現在、ソフトウェア開発プロセスにセキュア ガードレールを実装していますか?(必須) はい、すべてのプロジェクトにわたって広範囲に実装しています はい、特定のプロジェクトまたはチームのみに実装中です いいえ、近い将来に実装する予定です いいえ、実装する予定はありません 開発プロセスにセキュア ガードレールを実装する際に直面する最大の課題は何ですか? (該当するものをすべて選択してください)(必須) 認識または理解の欠如 統合における技術的な問題 開発チームの抵抗 適切なツールの不足 コストの制約 その他 その他、詳細をお知らせください: プロジェクトのセキュリティ脆弱性を防ぐ上で、セキュア ガードレールはどの程度効果的だと思いますか? 1 (効果なし) から 5 (非常に効果的) のスケールで評価してください(必須) 1 2 3 4 5 セキュア ガードレールはどの程度自動化されていますか?( (重要度の高い順にランク付け)既存のワークフローへの統合のしやすさセキュリティ脆弱性の包括的なカバー特定のプロジェクトのニーズに合わせたカスタマイズ性開発速度への影響が最小限実用的な洞察と推奨事項幅広いプログラミング言語とフレームワークのサポート 今後 12 か月以内に、セキュア ガードレールの導入または強化に関して組織が計画していることは何ですか?(必須) セキュア ガードレールの使用をより多くのプロジェクトに拡大する 既存のセキュア ガードレールの機能を強化する 現在のセキュア ガードレールの使用レベルを変更せずに維持する セキュア ガードレールへの依存を減らす セキュア ガードレールに関連する計画はありません あなたの主な役割に最も近いものは何ですか?(必須) セキュリティ エンジニア DevOps エンジニア プラットフォーム エンジニア 開発チームのセキュリティ チャンピオン ソフトウェア開発者 CISO (または同等の役職) 上級管理職 (CEO、CTO、CIO、CPO、VP) マネージャー、ディレクター その他 Δ