ソフトウェアサプライチェーンの保護に果たすAIの役割とは【後編】

2024年3月、セキュリティ企業のカスペルスキーがダークウェブの調査結果を発表した。これによると、過去約3年間でAIグラフィックデザインツール「Canva」から約116万人分、AIライティング支援サービス「Grammarly」から約84万件、OpenAIの「ChatGPT」などから約69万件のユーザー認証情報がダークウェブで確認されたという。これらはマルウェア感染により流出したと考えられる。

「ChatGPT」では2023年、有料版におけるバグが原因でユーザーの個人情報やクレジットカード情報が流出したほか、他のユーザーのチャット履歴が表示されるなどの不具合が発生している。こうしたリスクに対し、企業はLLMモデル内のデータ管理を慎重に行う必要がある。

企業は、AIが生成したコードを使用することに対して、さまざまな規制をクリアできる厳格なポリシーを採用することが重要といえる。また、AIのためのサードパーティプラットフォームを組み込む際には、そのデータがAI/MLモデルのトレーニングや微調整に使用されないことを保証するために、徹底的な価値やリスク、規制対応などの評価を実施すべきである。
AIによるセキュリティ自動化で「シフト・レフト」から「シフト・ダウン」へ

ソフトウェア開発においては、約10年前からライフサイクルの早い段階でセキュリティ上の欠陥に対処し、開発者のワークフローを強化することを目的に「シフト・レフト」のコンセプトを採用している。これはDevOpsからDevSecOpsへの移行とほぼ同義であり、「セキュア開発」とも呼ばれる。

約10年前のソフトウェア開発では、競争力を高めるためにより早いリリースが至上とされ、セキュリティ対応は後回しにされていた。このため、セキュリティの問題がリリース直前に発覚することになり、開発者への手戻りが発生してしまっていた。セキュリティチェックをより上流に組み込むことで、手戻りをなくし早期のリリースが可能になる。

DevSecOpsチームがデータガバナンスの複雑さに取り組む際には、進化するシフト・レフトのパラダイムが組織のセキュリティ態勢に与える影響も評価する必要がある。企業は、セキュリティ・プロセスを完全に自動化し、開発者のワークフローからそれらを取り除くために、シフト・レフトを採用するよりもAIを採用し始めるだろう。

これは「シフティング・ダウン（シフト・ダウン）」と呼ばれるもので、開発者に複雑で難しい決断を強いる代わりに、技術スタックの自動化された基礎的な機能にセキュリティを組み込むものである。シフティング・ダウンは、データサプライチェーンにも有効な考え方といえる。