人工知能(AI)時代において、サイバーセキュリティは技術的な戦いだけでなく、真の知的ゲームになりました。
サイバーセキュリティ会社Wizのテクノロジーディレクターであるアミ・ルットワック氏によると、AIは企業の開発を加速させると同時に、攻撃者に前例のない強力なツールを提供することで、機会とリスクの両方を切り開いています。
ルットワック氏は、企業がAIを自動化、暗号化、AIオブジェクトから内部ツールまで、プロセスに急速に統合するにつれて、攻撃範囲が急速に拡大していると述べました。
「AIはプログラマーがコードをより迅速に展開するのに役立ちますが、速度には脆弱性を生み出す可能性のあるショートカットが伴います。最も安全な方法でシステムを構築するように要求しなければ、AIはあなたを置き去りにしません」とルットワック氏は警告しています。
AIを活用する防衛側だけでなく、攻撃者も先頭に立っています。彼らはリマインダー(prompt injection)に基づく採掘技術を使用し、秘密を探したり、データを削除したり、内部ツールの制御権を奪ったりするために、独自のAIオブジェクトを訓練することさえあります。
チャットボットスタートアップであるDriftの事例は、多くの大企業のSalesforceデータが漏洩したため、サードパーティからのサプライチェーン攻撃の危険性を明確に示しています。
もう1つの例は、Nxビルドシステムを標的とした「s1ingularity」キャンペーンです。そこでは、攻撃者がマルウェアをインストールし、ClaudeやGeminiなどのAIツールを利用して、機密情報を自動的に検索します。その結果、数千のトークンコードとプライベートGitHubアクセスロックが盗まれました。
包括的なAI展開企業の割合は約1%ですが、Wizは毎週数千人の顧客規模でAIに関連する攻撃が発生していることを記録しています。
「AIはあらゆる攻撃のステップに浸透しており、変化の速度は以前のどの技術革命よりも速いです。それはサイバーセキュリティ業界がより迅速に対応しなければならないことを意味します」とルットワック氏は強調しました。
これに対処するために、Wizは、Wiz Code(開発段階からの脆弱性の検出と軽減を支援)やWiz Defend(クラウド環境での脅威の監視と対応)など、AI時代の特別なセキュリティツールを開発しました。
それに伴い、同社は企業、特にAIスタートアップに対し、初日からセキュリティを優先事項と見なすよう呼びかけました。
「たとえ従業員が5人であっても、CISOは依然として必要です」とルットワック氏は述べ、その後のセキュリティ債務を回避するために、安全なデータアーキテクチャの設計、アクセス制御、およびSOC2のようなセキュリティ基準の早期遵守の重要性を強調しました。
ルットワック氏によると、現時点ではサイバーセキュリティ企業にとって絶好の機会です。なぜなら、すべてのセキュリティ分野で新しい攻撃形態が現れている場合、それは防衛方法を再構築する機会でもあるからです。
