企業は、オープンソース ソフトウェア サプライ チェーンのセキュリティ確保から学んだ教訓を、AI で生成するコードに適用する必要があります。
シノプシス ソフトウェア インテグリティ グループ ゼネラル マネージャー、ジェイソン シュミット
ソフトウェア サプライ チェーンは、アプリケーションに関係するもの、またはそのアセンブリ、開発、展開に役割を果たすものすべてで構成されます。これには、独自のコードとオープン ソース コード、API とクラウド サービス、そのソフトウェアを構築してエンド ユーザーに配信するために使用されるインフラストラクチャが含まれます。そして現在、AI 生成コードは、ソフトウェア サプライ チェーンの最新のベクトルとして急速に登場しています。ガートナーによると、エンタープライズ ソフトウェア エンジニアの 75% が、今後 4 年以内に人工知能 (AI) コーディング アシスタントを使用するようになります。
AI がもたらす機会は膨大ですが、適切な注意を払う必要があります。生成 AI ツールのトレーニングに使用されるリポジトリには、脆弱性、著作権で保護されたコード、ライセンスが制限されたコードが含まれています。AI 生成コードは、他のコード (プロプライエタリまたはオープンソース) と同様に、チェックされないまま放置すると、企業をソフトウェア リスクにさらす可能性があります。また、他のコードと同様に、セキュリティの脆弱性と弱点について徹底的に評価する必要があります。
多くの人にとって、ソフトウェア サプライ チェーンは複雑なセキュリティ上の課題となることがよくあります。この混乱を解消するには、セキュリティ チームがソフトウェア サプライ チェーンのセキュリティにプログラム的にアプローチする必要があります。
アプリケーション セキュリティの初期の頃は、記述するコードを保護する必要性に重点が置かれていました。現在では、使用するコードを保護する必要性に重点が移っています。Synopsys の年次レポート「オープン ソース セキュリティ リスクと分析」(OSSRA) は、使用するコードを保護する必要性へのこの変化を強調しています。2024 年の分析では、スキャンされたコードベースの 96% にオープン ソースが含まれていることがわかりました。AI 生成コードが加わることで、考慮すべき外部ソフトウェア ソースがさらに 1 つ増えました。
組織は、従来のソフトウェア サプライ チェーンの実証済みの方法に頼り、ソフトウェア内のすべてのコンポーネントの出所、リスク、信頼性を理解することに重点を置く必要があります。サプライ チェーン セキュリティの一見複雑に見える問題は、次の 3 つの質問に答えることで解決できます。
ソフトウェアのソースは何ですか?
これらの情報源はどの程度信頼できるでしょうか?
各ソースに関連するセキュリティ リスクを特定して軽減するにはどうすればよいでしょうか?
これは、規律あるプログラム的アプローチです。これらの質問に答えることを中心にセキュリティ プログラムを構築することで、組織は、シンプルで効果的なソフトウェア サプライ チェーン セキュリティを実現するアプローチ、イデオロギー、ツールセットを効果的に採用できます。
このプログラム的なアプローチは、組織がソフトウェア サプライ チェーンのセキュリティに取り組む方法を簡素化するのに役立ちますが、AI によって生成されたコードは新たな複雑さをもたらします。
AI は効率性と生産性の向上をもたらすことが期待されており、開発者はこれまで以上に多くのコードを作成できます。しかし、チームはソフトウェア サプライ チェーンにおけるこの 4 番目のソフトウェア ソース (独自仕様、オープン ソース、サード パーティ、そして AI 生成コード) をどのように採用し、管理するかに取り組んでいます。
AI 生成コードは、本質的には適切な帰属表示なしにインターネットからコードをコピーしたものなので、開発者がその出所を理解することはほぼ不可能です。その結果、AI 生成コードのユーザーは、定量化や理解さえ困難なリスクにさらされることになります。開発が急激に増加し、検証されていないソースからコードが流出する中、チェックされないまま放置された AI 生成コードは、既存のセキュリティ対策を上回る勢いで広まっていくでしょう。
市場では、大規模言語モデル (LLM) は安全なコードを生成するという一般的な考えが広まっているようです。これにより、AI によって生成されたコードは信頼できるという誤った印象が生まれます。
今日、LLM が安全なコードを生成するという誤解を招く発言が見られ、最近の学術研究では、開発者は AI 生成ツールからの安全でないコードや低品質のコードを受け入れる可能性が高いことが示されています。開発者は、AI 生成コードは本質的にオープンソースよりも安全であると信頼するように圧力を受けていますが、実際には AI 生成コードはオープンソース ソフトウェア (OSS) と同じリスク プロファイルを持つと見なされるべきです。
この誤ったセキュリティ意識のリスクは、コードベースにどのような品質およびセキュリティの問題が持ち込まれるかについての警戒が不足していることです。オープンソースのセキュリティ リスクやライセンスの競合から、AI 生成コードに埋め込まれた追加のリスクまで、効果的なセキュリティ対策が不足すると、組織が重大な法的リスクにさらされる可能性があります。
企業は AI 生成コードを開発パイプラインに徐々に導入しており、最も成功している導入者は過去の OSS セキュリティの教訓を通してそれを見ています。彼らは OSS ガバナンス プログラムから学んだことや実践を引き出し、新しい AI 戦略に適用しています。既存のソフトウェア構成分析 (SCA) ソリューションとオープン ソース ガバナンス プログラムは AI 生成コードのセキュリティ保護に最適であり、顧客は既存のプログラムを「AI コード対応」に修正する努力をしています。
コードの量が増えるにつれて、アプリケーション セキュリティ プログラムはシステム レベルの分析を実行できる必要があります。システム レベルの欠陥を検出できる「多層防御」アプローチによってのみ、セキュリティ対策は AI が約束する速度に追いつくことができます。
AI 生成コードは脅威として分類されるべきではありません。膨大な量のイノベーションを解き放つことが期待されており、適切に処理すれば安全に導入できます。そう遠くない将来、AI が複雑なコンポーネントやアプリケーション全体を組み立てるために必要なすべての機能を備え、膨大な量のイノベーションを解き放つようになると考えられますが、同時に、そのペースと規模に対応できるセキュリティも求められます。
組織がソフトウェア サプライ チェーンのセキュリティ プログラムを進化させる際には、AI コーディングの採用を阻止するのではなく、可能にするように調整する必要があります。AI は開発環境を変革することが期待されており、適切な考え方と戦略があれば、生産的で活気のあるものにすることができます。
Jason Schmitt は、深い技術的知識、製品開発、急速に変化する新たなサイバーセキュリティの課題に関する洞察、市場開拓戦略と実装の実績を持つ熟練したリーダーです。セキュリティとエンタープライズ製品の開発と管理で 20 年以上の経験があります。Jason は最近、クラウド セキュリティの新興企業 Aporeto の CEO を務め、収益を上げる前から Palo Alto Networks による買収の成功まで同社を率いました。ソフトウェア開発とアプリケーション セキュリティの分野で深い経歴を持ち、Hewlett Packard では Fortify と ArcSight の副社長兼ゼネラル マネージャーとしてエンタープライズ セキュリティ製品を率いていました。Jason は、セキュリティ分野の専門知識と、SaaS/クラウドベースのソリューション提供の豊富な経験を兼ね備えています。Jason はルイジアナ州出身で、ジョージア工科大学で機械工学の学士号とコンピューター サイエンスの修士号を取得し、ジョージア州立大学の J. Mack Robinson ビジネス カレッジで MBA を取得しています。
AI はネットワークへの脅威を識別していますか?
脅威インテリジェンスが企業のセキュリティ戦略に意味を持つ理由と場所
政治キャンペーンの保護: 大量フィッシング攻撃からの防御
効果的な資産管理が企業のサイバーセキュリティにとって重要な理由
ゼロトラストへの道を見つける
Black Hat USA – 8月3日~8日 – 詳細はこちら
サイバーセキュリティの最新テクノロジー: 知っておくべきこと
EMA: 指先で操作できる AI: Elastic AI Assistant がサイバーセキュリティを簡素化する方法
デジタル化時代の産業ネットワーク
データ保護によるゼロトラストの導入
企業がサイバーリスクを評価する方法
クラウド セキュリティの未来: 攻撃パスとグラフベースのテクノロジー
企業がアプリケーションを保護する方法
インシデント対応の現状
Turla の 2023 MITRE ATT&CK 評価結果を使用して EDR の購入決定に役立てる
Black Hat USA – 8月3日~8日 – 詳細はこちら
サイバーセキュリティの最新テクノロジー: 知っておくべきこと
Copyright © 2024 Informa PLC Informa UK Limited は、イングランドおよびウェールズに登録された会社であり、会社番号は 1072954、登録事務所は 5 Howick Place, London, SW1P 1WG です。