AI のためのセキュリティ: AI エクスポージャー ギャップを埋めるための戦略的フレームワーク

AI の導入が加速する中、CISO は、急速に拡大するアタックサーフェスのリスクを低減しながらイノベーションを促進するという、二重の課題に直面しています。 Tenable による AI 保護のための 5 段階のフレームワークは、組織が AI による生産性向上の恩恵を受けるために全力で急ぎながら、AI のセキュリティリスクを低減できるようにする、体系的なアプローチを提供します。 

AI が企業に変革をもたらす中で、私のようなセキュリティリーダーは、どうすれば AI が生み出すセキュリティリスクを最も効果的に管理できるか考えを巡らせています。

難題となるのは、AI が今や 、従業員の生産性向上ツール、SaaS プラットフォーム、開発者ライブラリ、クラウドサービス、API、ウェブアプリなど、組織全体の事実上あらゆる場所に組み込まれているということです。 その結果、当社の担当部門は、拡大を続ける AI エクスポージャーのギャップという問題を抱える羽目になっています。それは、広大で、大部分は目に見えないアタックサーフェスです。従来のセキュリティツールは、このようなアタックサーフェスを監視するようには設計されていません。 

問題を複雑にしているのは、多くの場合、AI リスクを個別の資産に分離できないことです。 それどころか、AI リスクは、全体としてエクスポージャーを形成する、アプリケーション、インフラ、アイデンティティ、データなどの相互につながる要素が連なったものから生まれるのです。 私がお伝えしたいことを、例を挙げて説明します。

ある従業員が、Amazon Bedrock エージェントを利用した承認済みの AI チャットボットをテクニカルサポートの問題解決のために使用し、そのエージェントが、エンタープライズリソースプランニングツールや顧客リソース管理ツールのような機密性の高い社内システムにアクセスできる昇格された権限を持っているとします。 攻撃者が、その従業員のノートパソコンに存在するパッチ未適用の脆弱性を介してこのエージェントにアクセスした場合、攻撃者はエージェントを使用して機密データを侵害することができます。こうして、承認された AI ツールの安全であるように見える使用が、結果的に影響の大きいエクスポージャーとなります。

AI 資産との無数のやりとり (すべてのプロンプト、ファイルのアップロード、生成された応答、統合、設定など) のそれぞれが、知的財産や顧客情報、機密の計画をリスクにさらす可能性があるため、AI に支えられた今日の作業環境におけるデータの保護は、飛躍的に難しくなりつつあります。

では、組織が AI の利用を拡大するにつれて歯止めが利かないほど広がり続けている、この課題の多い新たなアタックサーフェスを、どのように飼いならせばよいのでしょうか。 AI が使われ、組織にリスクをもたらしているあらゆる場所で、AI を管理し、検出し、保護するために私が導入した戦略的フレームワークを以下にご紹介します。 

戦略的フレームワーク: 企業の AI を保護するための 5 つのステップ

1.AI に関するガバナンス委員会、フレームワーク、および利用規定を確立する

AI の保護は、許容できる使用方法について、従業員に対する明確な期待事項を設定することから始まります。 以下のような AI 利用規定を策定します。

• 承認済みおよび未承認の AI ツールのリストを提供する
• 適切および不適切なビジネスユースケースを定義する
• LLM と共有できるデータとできないデータの種類を説明する
• データの取り扱いに関するルールを規定する
• 著作権法に対応する
• 規定違反に対する結果を明言する

組織の AI 利用規定に基づいて規制を実施することで、その遵守を徹底し、監視することができます。

2. アタックサーフェス全体の AI を検出する 

他の CISO と AI の保護について話すと、彼らは AI の発見と検出が最大の課題の 1 つだと言います。 確かに、AI は忌々しいほどどこにでもあり、その多くは発見が実に困難です。その理由の 1 つは、AI の存在が、はっきりと可視化されている一元管理されたシステム以外にも広がっていることです。 

我々セキュリティリーダーは、以下を説明できるようにする必要があります。

• AI の資産、エージェント、プラグイン、ブラウザ拡張機能、ワークロード (以下のいずれの場合も含む)
  • クラウドまたはオンプレミスで稼働
  • 内部または外部からアクセス可能
  • 承認済みまたは未承認
• 忘れられた AI のテストデプロイメント
• エンドポイントやアプリケーションに組み込まれた AI ツール
• すべての AI ソフトウェア、ライブラリ、モデル、サービス
• エンドポイント上やクラウドアプリケーション内の、外部に露出している AI サービス、大規模言語モデル (LLM) API、AI チャットボット

データ損失防止 (DLP)、クラウドアクセスセキュリティブローカー (CASB)、クラウドセキュリティポスチャー管理 (CSPM) の既存のソリューションは、AI 資産を発見するための良い出発点にはなります。 しかし、AI には非決定論的な性質があり、従来のルールベースのセキュリティ保護に従わないため、全体的な検出には、専用の検出ツールが必要となります。 また、組み込まれた AI ツールやライブラリを特定し、AI システムがどのように連携してエクスポージャーを生み出しているかを理解するには、固有の検出機能も必要です。

自社の AI の利用状況を継続的かつ完全に可視化することで、どのワークロードとインフラを保護する必要があるかを正確に把握できるようになり、組織全体の AI エクスポージャーの評価と、それに応じた具体的な修正作業の優先順位付けを開始することができます。

3. AI のワークロードとエージェントを保護する

AI ワークロードは互いに深くつながっており、致命的な設定ミスがあったり過剰な権限が付与されていたりすることも多いため、このステップには、AI が実行されるインフラを先行的に保護することと、攻撃者に悪用される前に AI ワークロードを堅牢化することが含まれています。 例えば、自組織の開発者がクラウドで AI を利用したアプリケーションを構築している場合において、あなたはクラウドインフラが安全であることを確認したいと思っているとします。 

効果的な保護のためには、以下の能力が必要となります。

• クラウドベースの AI ワークロードにおける設定ミスやリスクの高い設定を特定する。
• モデル、エージェント、データ、API を不正アクセスにさらす可能性がある脆弱性を検出する。
• AI は人間以外のアイデンティティに大きく依存しているため、アイデンティティに注目したエクスポージャー削減を実施する。
• AI ワークフローで使用される、過剰に権限付与されたサービスアカウント、ロール、マシンアイデンティティを検出し、最小権限アクセスを厳格に適用する。
• ビジネスクリティカルなシステムに影響を与えたり、機密データにつながったりする可能性のある、AI 資産やワークロードからの潜在的な攻撃経路を把握する。
• 不安定な、または侵害された AI エージェントを制御された環境に迅速に隔離し、潜在的な侵害の影響を最小限に抑える。

この AI ワークロードとエージェントの保護という具体的なトピックについては、後続のブログで詳しく説明する予定です。 また、AI スタックの詳細なリスク分析を行えば、アイデンティティの弱点とインフラの欠陥がどのように組み合わさって重大なエクスポージャーを生み出すかを理解することができます。 これらのインサイトを基盤として、実用的なプレイブックをセキュリティチームに提供することで、環境を堅牢化し、サービスが安全でレジリエントな検証済みのアーキテクチャ上で実行されるようにすることができます。

4. AI の使用状況と対話を評価する

このステップには、従業員がどのように生成 AI ツールや自律型エージェントと対話しているかを把握して、従業員が組織の AI 利用規定に違反していないことを確認することが含まれます。 すべての AI アプリケーションを通じてデータがどのように流れているかを把握し、どこでエクスポージャーが生み出されているかを見極めることが重要です。 

そのためには、以下をきめ細かく可視化する必要があります。

• 誰が AI を使用しているのか
• どのような目的で使用しているのか
• 危険な挙動や誤用はどこから生まれるのか
• プロンプト、アップロード、または自動化されたアクションを通じて、従業員がどのようなデータを共有しているのか
• 承認された AI ツールをジェイルブレイクし、悪意のあるプロンプトを与えようとする試み

従業員の AI 利用をプロンプトレベルで可視化することで、セキュリティチームはポリシー違反を検出するとともに、安全な AI 利用を促進できます。 セキュリティチームは、従業員やエージェントがプロンプト、アップロード、自動化された対話を通じて AI ツールと共有し、偶発的な流出によってエクスポージャーを生み出す可能性のある、知的財産や個人情報などの機密データを特定することもできます。 さらに、セキュリティチームは、プロンプトインジェクションの試みや、AI システムを操作するために設計されたその他の悪意のある命令のような、AI 特有の新たな脅威や悪用を検出し、それらに対応できるようになります。 

Microsoft Copilot エージェントに接続された悪意のあるツールが発見された場合も、ツールが設計上対象としていない不適切な状況 (社内の採用決定など) で従業員による AI の誤用が発見された場合も、迅速に対応してエクスポージャーに対処し、安全な使用を促進する必要があります。

5. 他のエクスポージャーの文脈を踏まえて AI のセキュリティリスクを分析する

AI のセキュリティリスクを軽減するためには、AI ソフトウェア内のパッチ未適用の脆弱性、AI システムの脆弱な設定、過剰な権限を持つエージェントを個別に検出するだけでは不十分です。 結局のところ、AI はすべてのアプリ、データ、ビジネスプロセスに完全に統合されつつあります。

AI のセキュリティリスクを軽減するには、文脈に富んだ AI セキュリティデータを収集し、そのデータを、一般に公開された S3 バケット、脆弱なノートパソコン、管理者権限を持つ孤立したアカウントなどの他のエクスポージャーデータとともに関連付けて分析するための、自動化された一元的なアプローチが必要です。 Tenable では、このアプローチをエクスポージャー管理と呼んでおり、業界で急速に浸透しつつあると見ています。 エクスポージャー管理によって、環境全体のセキュリティの弱点がどのように組み合わさってエクスポージャー、すなわち組織の最も機密性の高いシステムやデータにつながるリスクの高い攻撃経路を生み出しているかを先行的に把握することができます。 

また、エクスポージャー管理は、特定の AI エンジン、ユーザー、セッションなどの詳細な文脈によってリスクを浮き彫りにすることで、高精度な問題管理や迅速な対応を可能にします。 重要なのは、最悪なリスクの組み合わせがどのように融合してビジネス面のエクスポージャーを生み出すかを理解することです。 Amazon Bedrock 内の重大度「中」の 1 つの設定ミスが、過剰にプロビジョニングされたアクセス権をエージェントに提供する保護されていない LLM と結びつく可能性があります。 エクスポージャー管理では、このように環境とアタックサーフェスの全体を完全に把握する必要があります。

AI イノベーションの未来を保護する

企業全体に AI が急速に統合されたことで、従来のセキュリティ制御では全く対応しきれない、複雑で相互につながったアタックサーフェスが形成されています。 AI エクスポージャーのギャップを埋めるため、セキュリティリーダーは、ツールを中心とした事後対応型のアプローチから、事前対策型の一元的な戦略へと移行する必要があります。

この 5 段階のフレームワークを導入することで、AI テクノロジーとともに進化するレジリエントなセキュリティ態勢を構築することができます。 結局のところ、効果的なエクスポージャー管理とは、イノベーションを遅らせることではなく、組織が自信を持って安全に AI の力を取り入れることができるよう、必要なガードレールを提供することなのです。