企業においてオープンソースソフトウェア(OSS)の利用が拡大するにつれて、そこを狙うサイバー攻撃も増加している。攻撃者は脆弱性の悪用だけでなく、積極的に開発チームへ関与しようとする動きも見られる。
同様に注意が必要となるのがデータのサプライチェーンである。多くの企業は、異種ソースから構成された膨大なデータプールの上にAIやML(機械学習)システムを構築しているため、ガバナンスも重要となる。
データサプライチェーンにおけるリスクとは
CISOやセキュリティ担当者は、セキュリティの脆弱性がデータのサプライチェーンに及ぼす影響について考慮する必要がある。企業は通常、ソフトウェアサプライチェーンを通じて外部で開発されたソフトウェアを統合するが、データサプライチェーンではデータを理解したり文脈化したりするための、より明確なメカニズムが必要となる場合が多い。
データサプライチェーンとは、データの収集あるいは生成から、データレイクへの格納、データの処理とデータウェアハウスあるいはデータプールへの格納、データの活用、共有、そしてデータの廃棄に至るまでの一連の流れである。ここにもソフトウェアサプライチェーンと同様に、セキュリティを組み込む必要がある。
ソフトウェアは当然ながら構造化されたシステムや機能を有するが、これと対照的にデータは非構造化または半構造化のものを含み、データによってはさまざまな規制基準に抵触する可能性がある。特に個人情報に関するデータや海外から取得されたデータには注意する必要がある。GDPR(EU一般データ保護規則)などの罰則の重さは周知の通りである。
AIやLLMがサイバー攻撃の標的に
多くの企業はデータサプライチェーンの効率化のために、さまざまなソースから集められた膨大なデータプールの上にAIやMLシステムを構築している。TensorFlowやPyTorchなどのオープンソースフレームワークが機械学習および深層学習モデルを編成するModel Zooを採用するケースも多い。
ソフトウェアエンジニアは、作成中のソフトウェアに含まれるコードと同様に、これらのモデルやデータを慎重に扱い、その出所に注意を払う必要がある。
DevSecOpsチームは、特にAIツールをトレーニングするためにLLM(Large Language Models:大規模言語モデル)を構築する場合、データ活用におけるリスクを評価することが重要である。LLMを利用するリスクも意識すべきであろう。近年はAI関連企業やサービスがサイバー攻撃の標的になるケースが増えているためだ。
2024年3月、セキュリティ企業のカスペルスキーがダークウェブの調査結果を発表した。これによると、過去約3年間でAIグラフィックデザインツール「Canva」から約116万人分、AIライティング支援サービス「Grammarly」から約84万件、OpenAIの「ChatGPT」などから約69万件のユーザー認証情報がダークウェブで確認されたという。これらはマルウェア感染により流出したと考えられる。
「ChatGPT」では2023年、有料版におけるバグが原因でユーザーの個人情報やクレジットカード情報が流出したほか、他のユーザーのチャット履歴が表示されるなどの不具合が発生している。こうしたリスクに対し、企業はLLMモデル内のデータ管理を慎重に行う必要がある。
企業は、AIが生成したコードを使用することに対して、さまざまな規制をクリアできる厳格なポリシーを採用することが重要といえる。また、AIのためのサードパーティプラットフォームを組み込む際には、そのデータがAI/MLモデルのトレーニングや微調整に使用されないことを保証するために、徹底的な価値やリスク、規制対応などの評価を実施すべきである。
AIによるセキュリティ自動化で「シフト・レフト」から「シフト・ダウン」へ
ソフトウェア開発においては、約10年前からライフサイクルの早い段階でセキュリティ上の欠陥に対処し、開発者のワークフローを強化することを目的に「シフト・レフト」のコンセプトを採用している。これはDevOpsからDevSecOpsへの移行とほぼ同義であり、「セキュア開発」とも呼ばれる。
約10年前のソフトウェア開発では、競争力を高めるためにより早いリリースが至上とされ、セキュリティ対応は後回しにされていた。このため、セキュリティの問題がリリース直前に発覚することになり、開発者への手戻りが発生してしまっていた。セキュリティチェックをより上流に組み込むことで、手戻りをなくし早期のリリースが可能になる。
DevSecOpsチームがデータガバナンスの複雑さに取り組む際には、進化するシフト・レフトのパラダイムが組織のセキュリティ態勢に与える影響も評価する必要がある。企業は、セキュリティ・プロセスを完全に自動化し、開発者のワークフローからそれらを取り除くために、シフト・レフトを採用するよりもAIを採用し始めるだろう。
これは「シフティング・ダウン(シフト・ダウン)」と呼ばれるもので、開発者に複雑で難しい決断を強いる代わりに、技術スタックの自動化された基礎的な機能にセキュリティを組み込むものである。シフティング・ダウンは、データサプライチェーンにも有効な考え方といえる。
GitLabの調査結果をまとめたグローバルDevSecOpsレポート「The State of AI in Software Development(ソフトウェア開発におけるAIの現状)」によると、開発者がコード生成に費やす時間は全体の25%に過ぎないという。
AIの導入によって作業負荷の残りの75%を最適化することで、彼らのアウトプットを向上できる。これは、特定の技術的な問題を解決し、ソフトウェア開発ライフサイクル全体の効率性と生産性を向上させるために、AIの能力を活用する一つの方法といえる。
2024年は、グローバルなソフトウェアサプライチェーンに悪影響を及ぼすOSSエコシステムの脅威が深刻化し、デジタルインフラを保護するためのAIへの依存度が高まるなど、サイバーセキュリティ戦略の大幅な変更を促すきっかけとなった年として振り返られることを期待したい。
サイバーセキュリティの状況はすでに変化しており、サプライチェーンの脆弱性を軽減し、データガバナンスを強化し、AIをセキュリティ対策に取り入れることに注目が集まっている。この変革により、DevSecOpsチームは、効率性とセキュリティを最前線に据えたソフトウェア開発プロセスへと舵を切ることになるだろう。
著者プロフィール
ジョシュ レモス(Josh Lemos)
GitLab 最高情報セキュリティ責任者(CISO)
GitLabでは、DevSecOpsプラットフォームを保護し、顧客のために最高レベルのセキュリティを確保する業務に従事する。Gitlab入社前は、ServiceNow、Cylance、Block(旧Square)などの企業で20年以上にわたり情報セキュリティチームを率いた経験を持つ。戦略的ビジョンの立案やイノベーションを推進する能力、チームのエンパワーメント向上の能力に長けている。