サイバーセキュリティニュース: ChatGPT のようなツールは開発者のスピードを向上させるが、サイバーリスクも増加する

ソフトウェア開発での生成 AI の可能性と危険性、経営幹部が寄せる期待と不安についてご紹介します。 さらに、サイバーチームはリスクを軽視しているのかどうかや、 NIST が新しく立ち上げた AI ワーキンググループ (ぜひご参加ください) についても説明します。 また、その他関連トピックについても触れます。

7 月 7 日までの 1 週間で注目された 6 つの主要トピックについて詳しく見ていきます。

1 – McKinsey: 生成 AI は開発者に力を与えるがリスクには注意

「ChatGPT のような生成 AI ツールは、ソフトウェア開発者の生産性を大幅に向上させるが、組織は AI テクノロジーのセキュリティとコンプライアンスのリスクを認識し、緩和する必要がある」

McKinsey の最新の調査ではそのように述べられています。この調査は、McKinsey の 40 人の開発者が参加して、業務を生成 AI ツールの助けを借りて完了した場合と借りずに完了した場合を比較した数週間にわたるテストに基づいて行われました。 

重要なポイント: コードの生成、最適化、文書化などの通常の業務で生成 AI ツールを使用した場合、開発者の作業スピードが大幅に向上しました。 

^{(出典: McKinsey による「Unleashing developer productivity with generative AI (生成 AI による開発者の生産性の向上)」調査報告書、2023 年 6 月)}

調査報告書には「最新の実証研究により、生成 AI ベースのツールは多くの一般的な開発者の業務スピードを驚くほど向上させる」と記載されています。一方、業務がより複雑になれば生産性の向上が低下するという点も指摘しています。

ただし、コードの作成や更新のスピード向上を受けて、セキュリティやコンプライアンスの誤りが生じるリスクも高まります。 したがって、組織は以下のような問題を防ぐために、ガバナンスのガードレールを設ける必要があります。

• データ保護法違反
• 法律や規制の違反
• 悪質な改ざんによる AI の誤動作
• 著作権で保護されているコンテンツやコードの不注意による使用

詳細については、調査報告書「Unleashing developer productivity with generative AI (生成 AI による開発者の生産性の向上)」の全文をご覧ください。

ChatGPT、生成 AI、サイバーセキュリティの詳細については、以下をご覧ください。

• 「How to Maintain Cybersecurity as ChatGPT and Generative AI Proliferate (ChatGPT や生成 AI が急増する中でサイバーセキュリティを維持する方法)」(Acceleration Economy)
• 「ChatGPT, the AI Revolution, and the Security, Privacy and Ethical Implications (ChatGPT、AI 革命と、セキュリティ、プライバシー、倫理的影響)」(SecurityWeek)
• 「The Fusion of AI and Cybersecurity Is Here: Are You Ready? (AI とサイバーセキュリティの融合がここに。準備はできていますか?)」(CompTIA)
• 「生成 AI はセキュリティリサーチをどのように変えているのか」(Tenable)
• 「The New Risks ChatGPT Poses to Cybersecurity (ChatGPT がサイバーセキュリティにもたらす新たなリスク)」(Harvard Business Review)

2 – Kroll: サイバーチームの過信

サイバーセキュリティチームは、組織をサイバー攻撃から守ることに関して、自分たちの能力を過大評価する傾向にあります。

これが、5,000 万ドルから 100 億ドルの収益をあげる企業の上級情報セキュリティ意思決定者 1,000 人を対象とした世界的調査に基づく、Kroll の「2023 State of Cyber Defense: The False-Positive of Trust (2023 年のサイバー防御の現状: 信頼度の誤検出)」レポートで主に判明した事実です。

レポートの概要には、「今回の調査結果により、企業でのサイバーセキュリティの状況に対する信頼の度合いと、真のサイバーレジリエンスを実現するための実際の準備態勢との間の、懸念すべき不一致が浮き彫りになりました」と記載されています。

具体的には、この調査では回答者の 37% が自社は保護されており、すべてのサイバー攻撃を防御できていると「全面的に」信頼しており、54% が自社は可能な限り保護されていると考えていることがわかりました。 しかし、調査対象企業では過去 1 年間に重大なサイバーセキュリティインシデントが平均 5 回発生しています。

自社のサイバーセキュリティ防御が、ほとんどまたはすべてのサイバー攻撃を確実に防いでいると信頼していますか?

^{(出典: Kroll による「2023 State of Cyber Defense: The False-Positive of Trust (2023 年のサイバー防御の現状: 信頼度の誤検出)」、2023 年 6 月)}

意義深いことに、このレポートによって、導入されているサイバーセキュリティプラットフォームの数と、企業で発生したサイバーセキュリティインシデントの件数との直接的な相関関係 (プラットフォームの数が多いほど、インシデントの発生件数が増加する) が明らかになりました。 調査対象企業では、平均 8 つのプラットフォームが使用されています。

サイバーセキュリティアラートの監視に常用するサイバーセキュリティプラットフォームはいくつありますか?

^{(出典: Kroll による「2023 State of Cyber Defense: The False-Positive of Trust (2023 年のサイバー防御の現状: 信頼度の誤検出)」、2023 年 6 月)}

詳細については、レポートの発表や概要をご覧になり、レポート全文をダウンロードしてください。

サイバーチームでの過信の問題に関する詳細については、以下をご覧ください。

• 「Cybersecurity teams are overconfident of their ability to deal with threats (脅威への対処能力に対するサイバーセキュリティチームの過信)」(Beta News)
• 「Cybersecurity Fails and How to Prevent Them (サイバーセキュリティの失敗と失敗を防ぐ方法)」(InformationWeek)
• 「Appraising the Manifestation of Optimism Bias and Its Impact on Human Perception of Cyber Security (楽観主義バイアスの兆候と人間のサイバーセキュリティ認識に与えるその影響の評価)」(Howard University)

3 – KPMG: 生成 AI は経営幹部に期待と恐怖を与える

ChatGPT の登場は、世間を揺るがす衝撃的な出来事でした。

経営幹部は自社における ChatGPT のような生成 AI ツールの使用に関して、期待と同時に懸念も抱いています。 その主な懸念事項は、なんと、セキュリティとコンプライアンスの領域にあります。

この事実は、10 億ドル以上の収益をあげる米国企業の幹部 225 人を対象に、KPMG が最近実施した調査によって判明しました。この調査では、以下のような結果が示されました。

• 回答者の 65% が、今後 3 年から 5 年の間に生成 AI が自社に「大きなあるいは非常に大きな影響」を与えることを期待している
• 回答者の上位 2 つの懸念事項にランクインしているのは、サイバーセキュリティ (81%) とデータプライバシー (78%) である

注目すべきは、ほとんどの調査対象企業が、生成 AI のリスク管理戦略策定の初期段階にあるということです。具体的には、リスクの評価と緩和について、以下のことがわかりました。

• 専任チームを設置しているのはわずか 6% に過ぎない
• 25% は取り組み中である
• 47% はリスク評価の段階にある
• 22% はまだ開始していない

同様に懸念すべき事項は、責任ある AI ガバナンスのための成熟した対策を導入しているのは調査対象企業のわずか 5% に過ぎず、約 20% が対策を構築中であるということです。 残りの企業は、 作成する予定ではあるが、まだ開始していない (49%)、あるいは対策が必要とはまだ考えていない (27%) のいずれかです。

詳細については、調査の概要やレポート全文でご覧いただけます。

職場における生成 AI の安全な使用に関する詳細については、以下をご覧ください。

• 「Ready to Roll out Generative AI at Work? Use These Tips to Reduce Risk (職場で生成 AI を展開する準備はできていますか? リスク削減のヒントを活用しましょう)」(ReWorked)
• 「ChatGPT is creating a legal and compliance headache for business (ChatGPT はビジネスにおいて法務とコンプライアンスの頭痛の種を生み出している)」(ComputerWeekly)
• 「5 ways to explore the use of generative AI at work (職場での生成 AI の使用を検討する 5 つの方法)」(ZDNet)
• 「Generative AI at work: 3 steps to crafting an enterprise policy (職場での生成 AI: 企業ポリシーを策定するための 3 つのステップ)」(CIO Dive)
• 「5 methods to adopt responsible generative AI practice at work (職場での責任ある生成 AI の手法を採用する 5 つの方法)」(CIO Magazine)

4 – NIST が生成 AI ワーキンググループ立ち上げを発表

ChatGPT のようなツールのリスクの抑制に関する緊急性を強調して、 米国国立標準技術研究所 (NIST) は生成 AI に関するパブリックワーキンググループを立ち上げました。

同グループは、テキスト、動画、イメージ、音楽、コンピューターコードなどのコンテンツの生成が可能な AI システムに焦点を当てます。 その趣旨は、NIST の AI リスク管理フレームワークに基づいて構築し、組織が生成 AI を安全かつ責任を持って開発、導入、使用できるようにすることです。

同グループの目標には、以下のものがあります。

• 短期的: フレームワークの使用に関する情報とガイダンスを収集し、 関連リスクに対処すると同時に、生成AI テクノロジーの開発をサポートする
• 中期的: NIST による生成 AI に関連するテスト、評価、測定への取り組みを支援する
• 長期的: 医療や気候変動といった分野での最重要課題のために生成 AI テクノロジーの開発を促進する

NIST の生成 AI パブリックワーキンググループへの参加に関心をお持ちの場合は、7 月 9 日までにこちらのフォームを送信する必要があります。

ワーキンググループやその他の NIST の AI 関連の取り組みに関する詳細については、同グループの発表、フレームワークのメインページ、以下の動画をご覧ください。

AI に関する NIST の議論 | 生成 AI | パ－ト 1

AI に関する NIST の議論 | 生成 AI | パ－ト 2

5 – CISA: ハッカーが連邦政府機関における既知の Telerik の脆弱性を再び悪用

もう一度、心より申し上げたいのは、 「深刻な既知の脆弱性を修正してください」ということです。

今年 3 月、確認されてから数年が経つ脆弱性を複数の攻撃者が悪用し、ある米国政府機関 (名称は明かされず) のウェブサーバーに侵入した方法を CISA が詳述していた驚くべき勧告についてお伝えしました。 

CISA はこの勧告を最近更新したのですが、明るいニュースではありませんでした。 CISA はこの 4 月、APT 攻撃者がこれらの脆弱性の 1 つ、具体的にはすでに 2017 年に検出されていた脆弱性を悪用し、別の政府機関をハッキングしたことを発見しました。

最初に侵入された政府機関のネットワーク内で初めて不審なアクティビティが検出されたのは、2022 年 11 月から 2023 年 1 月の間ですが、ハッキングの発生は 2021 年 8 月にまでさかのぼる可能性があります。

具体的には、攻撃者は同機関の Microsoft Internet Information Services (IIS) ウェブサーバーに配置されていた Progress の Telerik UI for ASP.NET AJAX における .NET 逆シリアル化脆弱性 (CVE-2019-18935) を悪用しました。

２番目の政府機関への侵入で悪用された脆弱性も、IIS サーバーの Telerik UI for ASP.NET AJAX における CVE-2017-9248 でした。

3 月にもお勧めしたように、Tenable のセキュリティレスポンスチーム (SRT) による「Tenable 脅威状況レポート (2022 年) 」をご覧ください。このレポートには、既知の重大な脆弱性を適切なタイミングで修正することの重要性に関する、詳細なインサイトと推奨事項が記載されています。

Tenable レポートは「既知で悪用された記録があるにも関わらず、企業がパッチの適用や修正をしていなかった脆弱性は引き続き悪用され、攻撃が成功を収めているということを改めて強調したいと思います」としています。

詳細については、「Tenable 脅威状況レポート」の全文、Tenable SRT のブログ記事、オンデマンドのウェビナーをご覧ください。

6 – 英国の NCSC が法律事務所に対するサイバー脅威を注視

英国で最大規模の法律事務所のおよそ 75% でサイバー攻撃が発生していることを受け、 英国の国家サイバーセキュリティセンターは、法律業界が、どのように標的とされているのか、またサイバーレジリエンスを高める方法について理解を深めることを目的としたレポートを公開しました。

NCSC の CEO である Lindy Cameron 氏は、このレポートで「法律業界の組織は、日常的に多額の金銭や機密性の高い情報を扱っているため、サイバー犯罪者にとって魅力的な標的となっています」と述べています。

NCSC の推奨事項には、以下のようなものがあります。

• 上級リーダーがサイバーリスクに取り組んでおり、精通していることを確認する
• 自社のサイバー態勢のベースライン評価を行う
• スタッフのトレーニングと意識向上に投資する

詳細については、「Cyber Threat Report: UK Legal Sector (サイバー脅威レポート: 英国法律業界)」という 24 ページの資料をご覧ください。

法律業界におけるサイバーセキュリティの詳細については、以下をご覧ください。

• 「It's Open Season on Law Firms for Ransomware & Cyberattacks (法律事務所がランサムウェアとサイバー攻撃に狙われる時期が到来)」(Dark Reading)
• 「Cybersecurity is a nemesis for law firms (法律事務所にとってサイバーセキュリティはかなりの強敵)」(American Bar Association)
• 「Cybersecurity for law firms (法律事務所におけるサイバーセキュリティ)」(British Legal IT Forum)
• 「Legal Industry Faces Double Jeopardy as a Favorite Cybercrime Target (法律業界はサイバー犯罪の格好の標的として二重の危険に直面している)」(Dark Reading)
• 「Cybersecurity for Law Firms: What Legal Professionals Should Know (法律事務所におけるサイバーセキュリティ: 法律専門家が知っておくべきこと)」(American Bar Association)