最近のオンラインディスカッションには、ArnicaのCEO兼共同創設者であるニール・ヴァルトマン氏が参加しました。ヴァルトマン氏は、Kabbage(American Expressに買収)でCISOを務め、Finastraで製品およびデータセキュリティをリードし、NCRでアプリケーションセキュリティを管理するなど、多くのサイバーセキュリティの経験を積んでいます。また、Salt Securityのアドバイザリーボードのメンバーでもあります。
業界の革新者として知られるヴァルトマン氏は、オープンソースプロジェクトに多大な貢献をし、ソフトウェアセキュリティに関する7つの特許を保有しています。彼はBlack Hat、DEF CON、BSides、RSAなどの主要なサイバーセキュリティイベントでのスピーカーとしても広く求められています。彼の指導の下、Arnicaは開発者向けにカスタマイズされた次世代アプリケーションセキュリティツールを開発しています。
インタビュー抜粋:
Aメディア: 生成AIの役割が今後3〜5年でどのように進化するとお考えですか?
ニール・ヴァルトマン: 生成AIが最も効果を発揮できる領域が見えてきています。特に初級の開発者を支援し、デフォルトで安全性を確保するツールを提供することで、アプリケーションセキュリティにおいて大きな可能性を秘めています。
Aメディア: 生成AIがセキュリティに与える影響を検討している新しい技術や手法はありますか?
ヴァルトマン: セキュリティ脆弱性に対する具体的な是正策が求められています。このプロセスは重要な資産の優先順位を定め、責任ある是正所有者を特定し、リスクを効果的に低減することから始まります。生成AIはリスク是正において重要な役割を果たしますが、資産と所有権の明確な優先順位付けが必要です。
Aメディア: 組織は生成AIの潜在能力を最大限に活かすためにどこに投資を優先すべきですか?
ヴァルトマン: 組織は、特定のカテゴリーのソースコード脆弱性を低減するなど、繰り返し発生する複雑な問題への対処に重点を置くべきです。生成AIがさらなる応用を示すことで、投資優先順位は変わるでしょう。
Aメディア: 生成AIはどのようにセキュリティアプローチを反応的から先制的にシフトすることができますか?
ヴァルトマン: 生成AIが真に予測的であるためには、高度に関連性のあるデータセットでトレーニングする必要があります。より正確なモデルは、AI駆動の決定に対する信頼を高めます。この信頼を築くには時間がかかりますが、一旦確立されれば、生成AIツールは最小限の人的介入でリスクを先制的に低減できます。
Aメディア: セキュリティのために生成AIを取り入れるには、どのような組織の変革が必要ですか?
ヴァルトマン: 組織は戦略的かつ戦術的な調整を行う必要があります。意思決定者はAI技術の利点とリスクについて教育を受け、企業のセキュリティ目標と整合する必要があります。戦術的には、AIを資産、アプリケーション、データ発見ツールと統合するための予算とリソースを確保し、是正アクションプランを策定すべきです。
Aメディア: 生成AIが引き起こす可能性のあるセキュリティ課題は何ですか?また、それにどのように対処できますか?
ヴァルトマン: データのプライバシーや漏洩は大きなリスクです。対策としては、モデルを内部でホストし、外部処理前にデータを匿名化し、定期的にコンプライアンスの監査を実施することが含まれます。また、モデルの整合性に関する問題(モデルポイズニングなど)には、徹底的な脆弱性評価と高度な侵入テストが必要です。
Aメディア: 生成AIは脅威検出やセキュリティパッチ、および他のプロセスをどのように自動化できますか?
ヴァルトマン: 生成AIは、ネットワークログやトランザクションを含むさまざまなデータソースの歴史的な行動を分析することで脅威を検出できます。利用ケースとしては、ソフトウェア開発中の脅威モデリング、自動パッチの展開、自己改善するインシデント対応プロトコルなどが考えられます。
Aメディア: 組織は生成AIとデータ保護に関してどのような計画や戦略を採用すべきですか?
ヴァルトマン: 組織はデータの収集、保管、利用、共有に関する明確なポリシーを策定し、定義された役割と責任を持たせる必要があります。これらのポリシーは、インシデント対応、違反通知、第三者リスク管理などのデータ保護機能を促進するために、全体的なサイバーセキュリティ戦略と整合させるべきです。