ソフトウェアサプライチェーンの保護に果たすAIの役割とは【後編】

画像提供：マイナビニュース

企業においてオープンソースソフトウェア（OSS）の利用が拡大するにつれて、そこを狙うサイバー攻撃も増加している。攻撃者は脆弱性の悪用だけでなく、積極的に開発チームへ関与しようとする動きも見られる。

同様に注意が必要となるのがデータのサプライチェーンである。多くの企業は、異種ソースから構成された膨大なデータプールの上にAIやML（機械学習）システムを構築しているため、ガバナンスも重要となる。
データサプライチェーンにおけるリスクとは

CISOやセキュリティ担当者は、セキュリティの脆弱性がデータのサプライチェーンに及ぼす影響について考慮する必要がある。企業は通常、ソフトウェアサプライチェーンを通じて外部で開発されたソフトウェアを統合するが、データサプライチェーンではデータを理解したり文脈化したりするための、より明確なメカニズムが必要となる場合が多い。

データサプライチェーンとは、データの収集あるいは生成から、データレイクへの格納、データの処理とデータウェアハウスあるいはデータプールへの格納、データの活用、共有、そしてデータの廃棄に至るまでの一連の流れである。ここにもソフトウェアサプライチェーンと同様に、セキュリティを組み込む必要がある。

ソフトウェアは当然ながら構造化されたシステムや機能を有するが、これと対照的にデータは非構造化または半構造化のものを含み、データによってはさまざまな規制基準に抵触する可能性がある。特に個人情報に関するデータや海外から取得されたデータには注意する必要がある。GDPR（EU一般データ保護規則）などの罰則の重さは周知の通りである。
AIやLLMがサイバー攻撃の標的に

多くの企業はデータサプライチェーンの効率化のために、さまざまなソースから集められた膨大なデータプールの上にAIやMLシステムを構築している。TensorFlowやPyTorchなどのオープンソースフレームワークが機械学習および深層学習モデルを編成するModel Zooを採用するケースも多い。

ソフトウェアエンジニアは、作成中のソフトウェアに含まれるコードと同様に、これらのモデルやデータを慎重に扱い、その出所に注意を払う必要がある。

DevSecOpsチームは、特にAIツールをトレーニングするためにLLM（Large Language Models：大規模言語モデル）を構築する場合、データ活用におけるリスクを評価することが重要である。LLMを利用するリスクも意識すべきであろう。近年はAI関連企業やサービスがサイバー攻撃の標的になるケースが増えているためだ。