AI主導の脆弱性攻撃にどう備えるか
本日のブログは、弊社Broadcom のTanzu事業部長であるPurnima Padmanabhanの投稿をご紹介いたします。ご参照ください。 今月初め、Broadcomは、最先端のAIモデルを脆弱性の発見と悪用に使用した場合にどのようなことが可能になるかを検証した「フロンティア・モデル研究イニシアチブ」の調査結果を発表しました(英語記事)。その結論は衝撃的なものでした。AIは、脆弱性の公開から実際の悪用までの期間を数週間から数時間に短縮し、その規模と持続性は、いかなる人間のレッドチームも及ばないものです。これは遠い未来のリスクではありません。まさに、セキュリティチームやプラットフォームチームが今日直面している現実の環境なのです。ここでは、弊社Tanzu部門での経験に基づき、ベストプラクティスと具体的な製品推奨事項をご紹介します。 ソース(供給元)に立ち返る:ベンダーに働きかける この話の中で、必ずしもニュースのヘッドラインを飾るわけではない点があります。それは、最先端のAIが攻撃者のためのツールだけではないということです。悪意のある攻撃者が機械並みのスピードで脆弱性を見つけ出し、それらを連鎖させることを可能にするのと同じ機能が、組織で依存するソフトウェアを開発しているエンジニアたちにも利用可能だということです。依存するソフトウェアをどこで開発されたのかを把握し、直接的な関係を築き、そのコミュニケーションの窓口を常にオープンにしておくことを強く推奨します。 パッチやアップデートを延期せず、すぐに適用する Broadcom では、エンジニアが AI モデルを活用して、オープンソースおよび商用ポートフォリオ全体にわたる潜在的な脆弱性攻撃を積極的に特定しています。脆弱性が浮上した際には、迅速に特定・評価し、修正プログラムをリリースします。Tanzu の観点からは、当社のソリューションである Tanzu Platform や Tanzu Data Intelligence へのパッチアップデートを容易に適用できるよう努めており、可能な限りダウンタイムなし(無停止)で実行できるようにしています。 古いリリースがリスク要因にならないようにする すべての組織が、最新リリースの配布当日に即座に移行できるわけではありません。 弊社はSpringの主要な管理者であり、Cloud Foundry、Greenplum、GemFire、RabbitMQへの積極的な貢献者として、標準的なサポート終了日を過ぎたリリースに対しても、商用サポートを延長して提供しています。特にSpringについては、改めてその重要性を強調させてください。Springは、世界中の膨大な数のエンタープライズJavaアプリケーションの基盤となるフレームワークであり、そのセキュリティを維持することは不可欠です。商用サポートの延長をご利用いただくことで、次期バージョンへの移行計画を立てている間も、現在稼働中のバージョンに対して継続的にセキュリティパッチを受け取ることが可能になります。これにより、「十分な準備のないまま急いでアップグレードするか」、あるいは「セキュリティリスクにさらされた状態で運用を続けるか」という、困難な二者択一を迫られる心配はなくなります。 エンタープライズで実証済みオープンソースを徹底する コミュニティ版は、企業の責任要件を満たすよう設計されていません。企業が必要とする互換性テスト、セキュリティ強化、本番環境での検証といった取り組みが欠けています。Broadcomは「Bitnami Secure...