従来のセキュリティアプローチは AI には機能しません。 生成 AI テクノロジーはすでに世界を変革しており、サイバーセキュリティとビジネス プロセスに計り知れないプラスの可能性を秘めていますが、従来のセキュリティ モデルと制御では、この新しいテクノロジーに関連するセキュリティ リスクを管理するのに十分ではありません。
私たちは最近、 新しいホワイトペーパー 生成 AI によるセキュリティの課題と機会、それに関連するリスクを管理するためにセキュリティが適応するために何をしなければならないか、この AI テクノロジー (および基礎となるデータ) を効果的に保護するためにゼロ トラスト アプローチがどのように重要であるか、組織全体でのさまざまな役割がどのように機能するかを検討します。効果的な AI セキュリティのために協力する必要があります。
AI セキュリティとゼロトラスト
アジャイルなビジネスのためのアジャイルなセキュリティ。
AI 特有の課題を乗り越える
AI は、異なる考え方と異なる解決策を必要とする新しいタイプの問題を引き起こします。
生成 AI は動的です
最も基本的なレベルでは、生成 AI は非決定論的コンピューティングです。つまり、実行するたびにまったく同じ出力が提供されるわけではありません。たとえば、画像生成モデルに「警備員の制服を着た子猫の絵を描いてください」と繰り返し依頼した場合、まったく同じ絵が 2 回生成される可能性はほとんどありません (すべて似ていますが)。静的セキュリティ制御は、(広義の) 脆弱性と、毎回まったく同じに見えるようにその脆弱性を悪用しても、AI への攻撃の検出とブロックには特に効果的ではないと想定しています。 AI 用に作られたコントロールが必要です。
生成 AI はデータ中心です
Generative AI は基本的にデータ分析およびデータ生成テクノロジであり、AI アプリケーションのセキュリティとその出力の信頼性および信頼性にとって、データのセキュリティとガバナンスが非常に重要になります。
AI と AI が依存するデータを保護するための動的な変更に対応できる、資産中心およびデータ中心のセキュリティ アプローチが必要です。 これは、AI を効果的に保護するにはゼロトラスト アプローチが必要であることを意味します。
ゼロ トラストは、ネットワーク セキュリティ境界がその中の資産 (データを含む) を保護するのに十分であるという誤った前提を持たない、単なる最新のセキュリティです。これにより、セキュリティ戦略、アーキテクチャ、制御などに対する考え方が変わり、考え方が変わります。ゼロ トラストは、「すべてのハイブリッド」環境 (マルチプラットフォーム、マルチクラウド、オンプレミス、運用テクノロジー、モノのインターネットなど) 全体で従来のネットワーク境界の内側と外側でビジネス資産を保護するセキュリティに焦点を当てています。
サイバー攻撃者はあなたに対して生成 AI を使用しています
もう 1 つの問題は、AI がモデルをトレーニングするために膨大な量のデータに依存しているため、データがサイバー攻撃者の主要な標的となり、データ保護の重要性が高まっていることです。サイバー犯罪者は現在、AI を使用して攻撃手法を改良し、組織から盗んだデータを処理しています。組織は、これらの脅威がすでに発生していることを認識し、データ、AI アプリケーション、ビジネス資産、従業員を効果的に保護するためにセキュリティ戦略を緊急に適応させる必要があります。
ゼロトラスト原則を適用することで、組織は AI に関連するリスクを軽減しながら、このテクノロジーが提供する機会を迅速に活用できます。
AI セキュリティ リスクの管理に役立つ主要な戦略
ホワイトペーパーのこれらの戦略は、AI に関連するリスクを管理する方法を示しています。
- ユーザーにガイダンスを提供する。サイバー攻撃者は AI を利用して、組織内のほぼ全員が経験する詐欺メールや電話 (フィッシングやビジネス メール侵害とも呼ばれます) の質と量を向上させています。組織は、このような非常に説得力のある偽のコミュニケーションが見られる可能性があり、それにどう対処すべきかを理解できるように、全員(財務上の役割やその他のビジネスに大きな影響を与える役割から始めて)を緊急に教育し始める必要があります。 AI の仕組み、AI がもたらすリスク、AI に対して何ができるか (AI を特定する方法、セキュリティ チームに報告する方法、独自に検証するためにビジネス プロセスを強化する方法など) の基本を理解する必要があります。重要な取引)。
- AI アプリケーションとデータを保護する。 サイバー犯罪者は AI システムを積極的に狙っています。 AI 開発にセキュリティを早期に統合することは、後でコストのかかる修正を避けるために非常に重要です。
- AI セキュリティ機能を導入する。 AI は、有能な人間の専門家や既存のツールに取って代わる魔法の特効薬ではありませんが、AI テクノロジーは、人々がデータやツールを最大限に活用できるようにすることで、セキュリティ運用 (SecOps) を大幅に強化できます (レポートの迅速な作成、ビジネスへの影響の分析など)。攻撃、調査を通じて新人アナリストを指導するなど)。
- ポリシーと基準。 組織は、チームの意思決定を導き、規制当局に対するデューデリジェンスに従っていることを実証するために、書面によるセキュリティ基準とプロセスを必要としています。これらの標準は、セキュリティ、プライバシー、倫理的考慮事項をカバーする必要があります。 Microsoft の責任ある AI 標準 この作業をガイドするための参考として。
ゼロトラストと AI: 共生関係
ゼロ トラストと生成 AI の間には、次のような共生関係があることがわかりました。
- AI には、データと AI アプリケーションを効果的に保護するゼロトラスト アプローチが必要です。
- AI を活用した機能は、膨大なデータ信号を分析し、重要な洞察を抽出し、主要なプロセスを通じて人間をガイドし、反復的な手動タスクを自動化することにより、ゼロ トラストを加速するのに役立ちます。これにより、チームはノイズを遮断して脅威に迅速に対応し、専門知識を継続的に学習して成長させることができます。
セキュリティに対するゼロ トラスト アプローチは、AI に代表されるテクノロジーの急速な進化だけでなく、継続的に変化する脅威にも対応するのに役立ちます。からの引用でこのブログを締めくくります。 新しいホワイトペーパー:
「セキュリティを早期に統合し、ゼロトラスト原則を採用することで、車のブレーキによって人々が安全に速く移動できるようにするのと同じように、組織はリスクを軽減しながら AI を活用できます。」
ゼロトラストアプローチの詳細については、こちらをご覧ください。
ゼロ トラストがこのアプローチをどのように導くかについて詳しくは、ゼロ トラスト モデルの Web ページにアクセスし、次のサイトで追加のリソースを参照してください。 ゼロトラスト ガイダンス センター。チェックアウト マークのリスト 追加のリソースのために。
その他のセキュリティ リソースとリンクについては、次の Web サイトをご覧ください。 リンクトイン。セキュリティ ブログをブックマークしてセキュリティ ニュースを入手し、フォローすることもできます。 マイクロソフトのセキュリティ LinkedIn と X (@MSFTセキュリティ)。
