AI and Security – A New Puzzle to Figure Out
2025/02/13 TheHackerNews — いまや、あらゆるところに存在するのが AI であり、企業の運営方法を変革し、それぞれのユーザーがアプリ/デバイス/サービスと関わる方法を置き換えている。チャット・インターフェイスのサポートや、インテリジェントなデータ分析、ユーザーの好みとのマッチングといった領域で、数多くのアプリケーションに、何らかの AI が組み込まれている。ユーザーにとってのメリットを、AI がもたらすことに間違いはないだろうが、新たなセキュリティ上の課題、特に ID 関連のセキュリティ上の課題が浮かび上がってきている。それらの課題とは何なのだろうか? そのために、Okta で何ができるかを考えていこう。
どの AI なのか?
誰もが AI について話すが、この用語はきわめて一般的なものであり、いくつかのテクノロジーを内包するものとなる。たとえば、Symbolic AI では、ロジック・プログラミング/エキスパート・システム/セマンティック・ネットワークなどのテクノロジーが用いられる。その他のアプローチでは、ニューラル・ネットワーク/Bayesian ネットワークなどのツールが使用される。
そして、新たな Generative AI (GenAI) では、機械学習 (ML) と大規模言語モデル (LLM) がコア・テクノロジーとして使用され、テキスト/画像/ビデオ/オーディオなどのコンテンツを生成する。多くの人々が使用する、チャットボット/検索/コンテンツ作成などのアプリも、多くのケースで ML/LLM により駆動されている。そのため、人々が AI について話すとき、おそらく ML/LLM ベースの AI を指していると思って良いのだろう。
AI システムと AI 搭載アプリには、それぞれの複雑さのレベルがあり、また、さまざまなリスクにさらされている。通常において、AI システムの脆弱性は、それに依存する AI 搭載アプリにも影響を及ぼす。この記事で焦点を当てるのは、ほとんどの組織が構築に着手している、あるいは、近い将来に構築する予定の、いわゆる AI 搭載アプリ影響を及ぼすリスクである。
GenAI アプリを ID 脅威から保護する
AI アプリを構築するとき、ID には4つの重要な要件がある。
1つ目はユーザー認証である。エージェントやアプリなどは、ユーザーが誰であるかを知っている必要がある。たとえばチャットボットの場合には、それを知っていることで、カスタマイズされた返信や履歴の表示などが可能になる。ただし、そのためには、認証により得られる、年齢や居住国などの識別が必要になる。
2つ目は、ユーザーに代わって API を呼び出すためのものだ。AI エージェントは、一般的な Web アプリよりも、はるかに多くのアプリに接続する。GenAI アプリが、多種多様な製品と統合されるにつれて、安全に API を呼び出すことが重要になる。
3番目は、非同期ワークフローである。AI エージェントには、タスクの完了までに時間を要するケースや、複雑な条件が満たされるのを待つケースがある。そのために、数分または数時間が必要になる場合もあるが、数日の場合もある。ただしユーザーは、それを待つことはない。つまり、AI エージェントがバックグラウンドで実行される、非同期ワークフローとして実装されるとき、このようなケースが主流になると予測される。これらのシナリオでは、人間がスーパーバイザーとして機能し、チャットボットから離れるときに、待ちのアクションを承認/拒否することになる。
4番目は、Retrieval Augmented Generation (RAG) の承認である。ほぼすべての GenAI アプリは、RAG を実装するために、複数のシステムから AI モデルへと情報をフィードすることになる。その際には、ユーザーに代わってレスポンス/アクションを実施する、AI モデルに対してデータがフィードされる。ただし、機密情報の漏洩を回避するために、それら全てのデータは、ユーザーがアクセスする権限を持つデータである必要がある。
GenAI の可能性を最大限に引き出し、安全な GenAI アプリを構築するためには、上記の4つの要件を、すべて解決する必要がある。
セキュリティを支援する AI
AI を悪用する攻撃者は、より簡単に、より迅速に、標的型攻撃を実行できるようになっている。たとえば、AI を悪用するソーシャル・エンジニアリング攻撃や、ディープフェイクの作成などが横行している。さらに攻撃者たちは、アプリの脆弱性を、AI を介することで大規模に悪用できる。アプリに GenAI を安全に組み込むことが、大きな課題とされているが、セキュリティ脅威による潜在的な攻撃を、AI を用いて迅速に検出し、対応するのはどうだろうか?
MFA などの、従来からのセキュリティ対策だけでは、もはや不十分である。ID セキュリティ戦略に AI を統合することで、ボット/盗まれたセッション/疑わしいアクティビティなどを検出できる。具体的に言うと、以下のことが可能になるはずだ。
- インテリジェントな信号分析により、不正または疑わしいアクセス試行を検出する。
- アプリ・アクセス・アクティビティに関連する各種の信号を分析し、それらと履歴データと比較して共通パターンを探し出す。
- 疑わしいアクティビティが検出された場合は、セッションを自動的に終了するし。
AI ベースのアプリの台頭により、大きな可能性がもたらされるが、それと同時に、AI は新たなセキュリティ課題も生み出す。
次は何?
AI が変えていくものには、人間とテクノロジーの関係や、人間同士のインタラクションの方式などがある。今後の 10年で、巨大な AI エージェント・エコシステムが、つまり、相互接続された AI プログラムのネットワークが台頭し、それらがアプリに統合され自律的に動作するようになる。GenAI には多くの利点があるが、AI アプリを構築するときに深刻なセキュリティ・リスクも生じるため、それらも考慮する必要がある。さらに、開発者が GenAI を安全にアプリに統合し、AI 対応とエンタープライズ対応を推進していくことも重要である。
その一方で、AI の裏の側面として、従来からのセキュリティ脅威への貢献もある。AI アプリも従来のアプリと同様に、情報への不正アクセスなどのセキュリティ課題に直面しているが、新たな攻撃の手法が脅威アクターたちに採用されている。
良くも悪くも、AI は現実である。ユーザーと開発者に無数のメリットをもたらすが、それと同時に、セキュリティ面での懸念と新たな課題が広がる。
セキュリティの問題を軽減するために、Auth0 などの ID 企業が存在している。GenAI アプリを安全に構築する方法については、auth0.ai で詳細を参照してほしい。
簡単に実装でき、適応性に優れた、認証/承認プラットフォームが、なぜよりスマートな前進の道になるのかについては、こちらを参照してほしい。
AI の進化は便利さをもたらす一方で、そこから生じるセキュリティ・リスクが課題となっています。本記事は、Okta の宣伝も入っていますが、AI の普及に伴って浮上してきた ID 関連のセキュリティの課題について詳述された、有難い記事です。よろしければ、カテゴリ _AI/MLも併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.