Tenableは5月24日、生成AIを活用した新しいサイバーセキュリティツールを発表した。同日、説明会が開かれ、Tenableセキュリティレスポンス ゼロデイ調査担当ディレクター レイ・カーニー氏が新サービスの紹介を行った。

  • Tenableセキュリティレスポンス ゼロデイ調査担当ディレクター レイ・カーニー氏

各所で報じられているが、生成AIには正と負の2つの側面がある。カーニー氏は、生成AIに関するサイバーセキュリティの懸念として、「AIによるフィッシング詐欺/ソーシャルエンジニアリング」「悪意のあるコードの生成」「不足しているサイバーセキュリティ人材」「ChatGPTなどのツールがハッキングされた際に誤情報が流布されるおそれ」を挙げた。

これらを踏まえ、カーニー氏は「攻撃者は生成AIを使って、たくさんのことができる。生成AIは開発済みのデータサイエンスの手法を使って兵器化されており、自動化が進められている。防御側のわれわれはそのペースについていく必要がある」と指摘した。

一方、防御側が生成AIで行えることもある。その例として、「意思決定者にタイムリーかつ正確な情報を提供」「脅威と脆弱性に関するインテリジェンスプロセスをスピードアップ」「分析と調査結果における有効性の向上」「防御側の全体的なセキュリティ態勢を改善し、攻撃側の侵入機会を減らす」という4点が紹介された。

そして、今回同社は、リバースエンジニアリング、コードのデバッグ、Webアプリのセキュリティの向上、クラウドベースツールの可視性の向上という4つの分野について、生成AIを導入したツールを発表した。これらのツールは、GitHub リポジトリから取得できる。

リバースエンジニアリングプロセスの一部を自動化するツール「G-3PO」により、エンジニアはすべての行を読むことなくコードの機能を迅速かつ効率的に理解できるという。

また、GNU デバッガーのgdbと連携してコードの間違いを見つけて修正しやすくするAIアシスタントが開発された。

  • GNU デバッガ (GDB) 向けにコードのデバッグを行うAIアシスタントが開発された。上図はAIアシスタントの回答例

Webアプリケーションのセキュリティの向上に向けては、ChatGPTとBurp Suiteを使用するBurpGPTという拡張機能が作成された。同機能を利用すると、リサーチャーがWebアプリケーションの脆弱性を発見して修正することが容易になるという。

クラウドセキュリティにおいて、IAM(Identity and Access Management)のポリシーにおける設定ミスがよく発生していることから、同社はAmazon Web Services (AWS)のIAM ポリシーの問題の特定とTenable Cloud Securityを改善できる EscalateGPTというPythonツールを作成した。

  • AWSのIAMにおける権限昇格の可能性を特定するためのPythonツール「EscalateGPT」の画面例

カーニー氏は、これらのツールについて、「エンジニアを置き換えるわけじゃない。ツールによって、アナリストやエンジニアが持っている能力を向上して、労働集約型のタスクを減らせる」と説明した。

なお、カーニー氏は、生成AIにおける注意点についても言及した。「生成AIは登場したばかりなので、知らないことを把握していないという段階にある。気を付けながら進めていかなければならない。政治、ガバナンスに関する懸念がある」(同氏)

実際、ChatGPTを提供しているOpenAIのCEOであるSam Altman氏も「このテクノロジー(生成AI)は上手に使わなければ、大きく 間違った方向に向かう可能性がある」と警鐘を鳴らしている。

そして、カーニー氏はセキュリティ領域における生成AIの活用性についても展望した。これまでの技術の進化と同様に、攻撃の洗練度合いは高まっていくことは明らかであるとして、同氏は「防衛側はそれに対応していかなければならない」と述べた。

その際、「攻撃者は1回正しければよいが、防御側は100%正しくなくてはいけない」というジレンマの犠牲にならないよう、注意する必要があるという。

カーニー氏は、防御側として行うべきこととして、「生成AIを使用して単純な作業を自動化すること」「攻撃側が目的を達成する前に、脅威を発見して無力化すること」を挙げた。