生成AIは、攻撃側・防御側の双方に新たなリソースをもたらしました。Impervaでは、2024年、このテクノロジーがさらに大きな影響を及ぼすようになると考えています。自社および保有するデータを保護し続けたいと考える組織にとって、攻撃者がテクノロジーをどのように利用しているかを理解する必要があります。
本稿では、組織が進化すべきポイントについて、Impervaおよび業界の専門家が見解を共有し、生成AI、APIの脆弱性、そして絶えず変化するセキュリティ市場での新たな課題に対処できるようになることを狙いとしています。
現状のサイバー脅威をさらに複雑化する生成AI
Impervaのシニアバイスプレジデント兼アプリケーションセキュリティ担当ゼネラルマネージャーであるKarl Triebes氏は、将来的にすべてのWebトラフィックの70%、さらには80%をボットが占めるようになるだろうと述べています。さらに、これを促進する最大の要因の1つとして、自動化されたWebクローラーを使用してWebサイトをスクレイピングし、インターネット全体から情報を収集しながら作動する生成AIの存在を挙げています。
企業や個人ユーザーが生成AIの使用に慣れると、こういったクローラーに関連するアクティビティが急増すると考えられます。Impervaでシニアプロダクトマネージャーを担当するLynn Marks氏もこの見解に同意を示しており、生成AIツールに情報を提供する大規模学習モデル(LLM)のトレーニングにデータが使用されることで、データスクレイピングが「組織にとってますます問題」になりつつあると指摘しています。
Triebes氏は、生成AIは将来的に他の分野でも存在感を示すようになるとし、AIベースのコーディングへ移行する可能性も示唆しています。CTO(最高技術責任者)オフィスのテクノロジー担当ディレクターであるPeter Klimek氏もこれに同意しており、AI対応の開発ツールが日常的なタスクを自動化することで生産性とアウトプットが向上し、「新人や若手の開発者は大きな恩恵を受けるだろう」と述べています。しかし同氏は、こういったツールによって「スクリプトキディがより複雑な攻撃を仕掛けるハッカーに成長する恐れ」があることも認めています。また、近い将来、生成AIが主に詐欺行為に使用されるだろうという見解も明かしました。
「詐欺師が他人へなりすます行為は、少なくともオンライン上ではより簡単になると思われる」とTriebes氏は述べています。さらに、「AIの進化、新種の詐欺やソーシャルエンジニアリング攻撃に繋がります。たとえば、詐欺師はインターネット上であなたに関する情報を収集し、録音したあなたの音声を悪用する可能性があります。生成AIによって、あなたの疑似バージョンが作成できてしまうのです。それを効果的にパッケージ化すれば、銀行にパスワードのリセットを要求することもできるのです。」と続けています。
Impervaのデータセキュリティ担当者、Ron Bennatan氏もこれに同意しています。同氏は、AIを利用して被害者を騙す攻撃が増加すると予想しており、「大規模学習モデル(LLM)は、人間を理解すること、人間が作成したように見えるメールなどテキストベースのコミュニケーションを作成することの両方に長けています。そのため、攻撃者はターゲットを絞り、以前よりはるかに優れたやり方で個人を『ハッキング』できるようになりました。」と述べています。
英国およびアイルランド社のアシスタントバイスプレジデントであるAlan Ryan氏は、攻撃者と同様に、防御者もAIに投資する必要があると述べています。攻撃者は、防御者よりも優位に立つため、AIに多額の投資を行っています。つまり、組織も同じくAIのソリューションに投資する必要があるのです。Ryan氏は、AIは必ずしも「善と悪のバランスを変える」ものではなく、攻撃側と防御側の間で行われる応酬を進化させるものであると述べました。
さらに高まるAPIセキュリティの重要性
定期的にAPIを狙う攻撃に対処するために、組織はより積極的なアプローチをとりながら、本番環境におけるすべてのAPIエンドポイントを特定、分類、保護する必要があります。収益が1,000億ドル以上の大規模な組織は、中小企業に比べてAPIのセキュリティ低下の可能性が3~4倍高くなるため、特に対処する必要があります。
APIエコシステムは急速に拡大しているものの、残念ながらほとんどの組織はAPIを効果的に保護する方法を理解できていません。昨今の企業では、一般的に、本番環境で50~500のAPIが運用されています。しかし、多くの企業はそれぞれのAPIがどこに配置されているか、どのデータにアクセスしているのかを把握していません。そのため、組織や貴重なデータが極度のリスクに晒されることになるのです。
Peter Klimek氏は、「ほとんどの組織はAPIセキュリティをまだ理解できておらず、APIを保護するための戦略がない状態」だと述べています。さらに、多くの組織が「アイデンティティやアクセスを管理できる適切なソリューションを導入していない」とも言及しています。
一方、ImpervaのAPIセキュリティ担当バイスプレジデントを務めるLebin Cheng氏は、こういった状況が変わり始めると予測したうえで、「API関連のセキュリティインシデントを軽減しなければならないというプレッシャーは高まり続けています。そのため、2024年、既存のアプリケーションセキュリティへシームレスに統合できるソリューションの需要が高まり、多くのセキュリティリーダーが投資することになるでしょう。こういったアプローチをとることで、企業の情報を保存するデータストアに接続されたAPIや重要なアプリケーションを狙う自動化された脅威について、より協調的かつ一元的に把握することができるようになります。」と述べています。
昨今、自動化された攻撃はより洗練され、単純な防御を巧みに回避するようになっています。こういった状況を鑑みて、Alan Ryan氏は、自前のAPIおよびボット管理に依存することは「危険な戦略」になると予測しています。Ryan氏はさらに、グローバルベンダは、世界中の何百万ものエンドポイントから収集した膨大な量のデータを活用し、最新の脅威から効果的に防ぐために必要かつ実用的な洞察を顧客に提供することができるはずだと述べました。
データセキュリティに対する取り組みの変化
2024年、企業は従来と同じソリューションに投資し続けるだけでなく、競合他社に差をつけることが可能なイノベーションを求めるようになると考えられます。多くの企業は、新しい分析機能に投資したり、新規または拡張されたクラウドワークロードを活用したりするでしょう。そしてそこには、リスクも伴います。
データセキュリティ担当シニアバイスプレジデント兼ゼネラルマネージャーのDan Neault氏は、「データリスクの理解を深め、適切に管理し、実際にIT全体の安全性を高める」ことができる新たなテクノロジーを模索する必要があると考えています。また、ハイブリッド環境やマルチクラウド環境の台頭により、すべてのシステムにわたって効果的なデータ保護、洞察、リスク軽減を行うことがさらに不可欠になっていると指摘しました。
また、統合への移行も進むと考えられます。製品開発担当シニアバイスプレジデントのMoshe Lipsker氏は、業界の統合により包括的なソリューションが増加することで、CISO(最高情報セキュリティ責任者)に「階層化された保護モデルを提供」するエンドツーエンドのソリューションが作成されると述べています。
データセキュリティGTM担当シニアバイスプレジデント兼フィールドCTO(最高技術責任者)であるTerry Ray氏もこれに同意し、「ニッチで単一ソリューションの製品やベンダーは、消費者のニーズに応えるため、必要な専門知識、コスト、労力を最小限に抑えながらもデータセキュリティや規制上の要件に応えられる技術やパートナーシップを求めている」と指摘しました。さらに「企業のデータ資産をカバーする範囲は急速に拡大するものの、管理に必要なスキル要件は低下し、従来は細分化されていたテクノロジー間の連携が強化される」ことを期待しています。統合によってセキュリティソリューションが合理化され、依存しなければならないベンダーの数が減ることは、多くの企業にとってプラスに働きます。
継続的な変化への適応
生成AIの継続的な台頭やAPIセキュリティに対する注目の高まりは、セキュリティ市場の統合、組織におけるデータセキュリティへの取り組みの変化と並んで、2024年に注目すべきトレンドとなるでしょう。Impervaは2024年に向けて、パートナーやお客様が懸念していることや優先事項について、今後も議論を深めていきます。
本稿は、Cyber Defense Magazineの2023年12月号にも掲載されています。
Impervaを無料でトライ
Impervaで30日間、あなたのビジネスを守る。
