生成AIとサイバー攻撃者とセキュリティ担当者のいま

今回は「生成AIとサイバー攻撃者とセキュリティ担当者のいま」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　世界中で話題となっている生成AIは、サイバーセキュリティの世界にどのような影響を与えるのだろうか。Tenable Network Security Japanが5月24日に記者説明会を開き、米Tenableでセキュリティレスポンス ゼロデイ調査担当ディレクターを務めるRay Carney氏が現状を解説した。

　米OpenAIが2022年に公開した生成AIの「ChatGPT」は、まるで人間が対話しているかのような自然言語でユーザーの質問などに答える特徴などが社会に大きなインパクトを与えた。Carney氏は、「1993年にウェブブラウザーが誕生してインターネットが身近になったのと同じ影響をもたらしている。MicrosoftがOpenAIに対して巨額の投資を行うなど経営の側面からも大きな影響をもたらしており、ビジネスチャンスとしても世界中の企業、そしてマスコミやサイバー攻撃者も生成AIに注目している」とした。

　同氏のようなセキュリティ研究者の立場では、生成AIがもたらすサイバーセキュリティへの影響を意思決定者などに正しく発信する役割が求められているという。現状で考え得る懸念としては、例えば、生成AIを悪用したフィッシングやソーシャルエンジニアリング、あるいは悪質なコードの生成、偽情報の生成や拡散などさまざまだが、これら一つ一つの影響を注視するだけでは不十分で、サイバー攻撃者が戦術、手法、手順（TTP）に生成AIをどう取り入れていくのかを包括的に捉えていくことが肝心だとする。

　「サイバー攻撃者は、生成AIに限らず新しい技術が登場する度にそれをTTPに採用している。毎日のように攻撃者の生成AIの悪用が報告されている状態であり、生成AIのサイバー兵器化が今後加速していく。防御側もその動きに追従していかなければならない」（Carney氏）

　他方で、サイバー攻撃などの脅威に対応するセキュリティ側では、生成AIの登場以前から人材やスキルの不足が大きな課題となり続けている。生成AIの技術自体は、サイバー攻撃者だけに有利となるわけではなく、防御側が活用してさまざまな恩恵を得られる可能性を秘めている。

　Carney氏は、現時点で生成AIが防御側にもたらす効用として、（1）意思決定者にタイムリーで正確な情報を提供する、（2）脅威と脆弱性に関するインテリジェンスのプロセスを迅速化する、（3）分析と調査結果の有効性が高まる、（4）企業の全体的なセキュリティ態勢を改善して攻撃側の侵入機会を減らす――を挙げる。

　サイバー攻撃は常に複雑化、巧妙化が進んでいると言われる。それに対して防御側は、長い時間をかけて幾重ものセキュリティシステムを構築し、それら発する脅威の兆候のアラートなどを分析して対応し、万一防御システムが突破されたりインシデントが発生したりすれば、被害を最小化させるための作業に追われてしまう。

　アラートに対する確認や分析などの定型的な作業については、以前より機械学習などの技術を活用して処理を自動化するといった工夫が積み重ねられてきた。Carney氏は、さらに生成AIを活用することで、より多くの定型的な作業を自動化、効率化し、セキュリティ人材が状況を正確に把握して適切な対応策を講じたり、意思決定者などに対して進言したりするなどの本来の役割に注力できると解説する。

　Carney氏は、同社としても脅威防御に生成AIを活用する製品やサービスの開発に取り組んでいるとし、説明会ではリバースエンジニアリング、コードのデバッグ、ウェブアプリケーションセキュリティの向上、クラウドベースツールによる可視性の向上に取り組んでいると紹介した。

　例えば、リバースエンジニアリングでは「G-3PO」と呼ぶプロセスの一部を自動化するツールを開発して、マルウェアのコード解析作業などを効率化しているとのこと。ウェブアプリケーションセキュリティでは、ChatGPT と「Burp Suite」を用いた「BurpGPT」というプラグイン機能を開発して、一般的なウェブアプリケーションの脆弱（ぜいじゃく）性の検出と修正を容易にしている。クラウドベースツールによる可視性の向上では、クラウドサービスの設定状況や権限の状態を分析して問題点の特定と改善を助言する「EscalateGPT」機能を用意しているという。

　Carney氏は、こうした生成AIを活用したツールの定量的な効果について検証中としたが、「数日を要する作業を数時間程度に短縮できるといった大きな効果を得られる。こうした取り組みは生成AIの活用の一例であり、さらに活用していくためのツールの開発や脅威分析の高度化を目指している」と説明した。

　生成AIが世界的な注目を集めているのは、2023年5月時点ではわずか数カ月間に過ぎない。生成AIがユーザーに提示する情報の信頼性や生成AIのために用いる学習データのプライバシーやセキュリティといった多くの懸念が提示されている段階にあり、生成AIが今以上にサイバーセキュリティに対してどう具体的な影響をもたらすかは、より長い期間に渡って注視していく必要ある。

　最後にCarney氏は、現時点で判明している生成AIがサイバーセキュリティに与える下記の4つの影響を示した。

　また、サイバー攻撃は多くの場合で金銭的なメリットを得ることに目標が置かれており、攻撃手法などの開発コストよりも獲得する金銭的なメリットが大きいならば、攻撃者が率先して生成AIのような新技術の採用を目指す。見方を変えれば、金銭的なメリットが小さいなら開発コストを費やしても意味がない。Carney氏は、「生成AIに限らず攻撃者にとってコストをかけてもメリットがないようにすることが、サイバーセキュリティの鉄則」と説いている。