セキュリティリーダーが生成 AI についての考えを語る

世界中の企業が競争を繰り広げています

これらの企業が目指しているのは、生成 AI テクノロジーをオンボーディングし、競争上の優位性を獲得することです。しかし、適切なユースケースを特定し、どこから始めればよいかを知ることは、多くのビジネスおよびテクノロジーのリーダーにとって大きなハードルとなっています。この動画では、AWS のお客様である 3 社のセキュリティリーダーが生成 AI に対してどのようなアプローチを取っているかしているかについてお話を伺います。

会話の文字起こし

People.AI、Trellix、Red Canary のセキュリティリーダーが語ります

CISO Circle の参加者は生成 AI についてどのような意見を持っているのか

Danielle Ruderman (00:03):
セキュリティと AI は非常に幅広いトピックであり、CISO がいくつかの異なる分野に関心を持っていることがわかりました。そのうちの 1 つは間違いなく大規模言語モデルである ChatGPT です。これらの CISO のチームはそれらを使用したいと考えており、コーディング担当者もそれらを使用したいと考えています。そうであれば、組織のセキュリティに責任を負う CISO として、どのようなポリシーと手順を導入しているのか、そして、自分のチームがこれを使用することについてどう思うかについて話し合う必要があります。

私にとって興味深いのは、チームがこれを使用することを多くの CISO が望んでいるということです。これらの CISO はこれらのツールの可能性をしっかりと理解しているので、ここでは、必要となるガードレールの種類や、責任をもってそれらを使用する方法についてお話を伺いたいと思います。これは非常に重要な議論です。

Aman Sirohi 氏 (00:34):
すぐに AI のリスクに直面することになるでしょう。会社やお客様にとって、このリスクはどのようなものでしょうか?

私が知っているどの契約でも、サードパーティーのデータが使用環境を離れてサードパーティーのソースに移動することはできないと規定されています。他方、使用する AI モデルにかかわらず、そのデータは今では使用環境を離れてサードパーティーのソースに移動し、そこから返されて何らかの回答を提供しています。したがって、法的な観点や、お客様や企業がリスクをどのように考えるのかについて、多くの変化が生じるだろうと思います。この分野では多くのイノベーションが起こると思います。

CISO は生成 AI を活用する安全な方法をどのように見出しているのか

Danielle Ruderman (01:19):
また、AI によって将来がどうなっていくのかについて、本当に野心的な考え方も見られます。CISO の中には、これは私たちにとって、新たな才能をセキュリティの分野にこれまで以上に取り込むすばらしい機会であると感じている人もいます。

必要な知識を人々に提供するなど、初期段階は難しい場合もありますが、おそらくこれらのツールは、経験の浅い SOC アナリストや他のセキュリティ担当者が本格的に取り組み、必要なツールを入手してスキルをより迅速に強化するのに役立つ可能性があります。これは、業界としてより多くのセキュリティの専門家を育成するのに非常に役立ちます。

Martin Holste 氏 (01:45):
ビジネスの観点から述べると、生成 AI を使用し始めなければ、遅れを取ることになります。したがって、CISO としては、従業員の生産性を高めながら、安全な方法で生成 AI を使用する方法を見つける必要があります。

私は、標準的なビジネスで生成 AI を可能な限り使用することが好ましいと強く考えています。そのため、当社は生産性を高めるためにあらゆる種類の異なる AI を使用する方法について社内で多くのトレーニングを行っています。これに併せて、社員が何かを本来あるべきでない場所に誤ってコピーして貼り付けることを不可能にするためのコントロールも導入しています。

生成 AI の利点はセキュリティリスクを上回るか

Danielle Ruderman (02:14):
非常に興味深い 3 つ目の点は、成熟したセキュリティの専門家でも、やるべきことに注力できるように AI が役立つことが約束されていることだと思います。ログを分析していて、Python などの特定の言語でコードを記述することを学んだものの、今度はログを分析して SQL クエリの記述方法を学ぶ必要があると想像してください。そこにある障壁は、抽出するためにこれらの異なる言語を学ばなければならないということです。データがどこにあるかはわかっていますが、別のコードを使用してそれを取り出す方法を学ぶ必要があります。これらのさまざまな難解なコーディングモデルをすべて学習することなく、AI に何をしたいのか、分析のためにどのデータをまとめたいのかを伝えることができたらどうかを想像してみてください。

AI を使用することで、調査までの時間を短縮するのに役立つ多くの力を活用でき、経験の浅いセキュリティの専門家から非常に成熟した専門家まで、全員がより迅速に仕事を遂行するのに役立ちます。

► ポッドキャストを聴く: The Value (and Threat) of Generative AI for Security Teams

Chris Rothe 氏 (02:58):
セキュリティにおける大きな課題は、結局のところ、十分な人材がいないことです。だからこそ、プラットフォームとサービスをより安全にするという観点から、AWS が一歩ずつ着実に進める取り組みが非常に重要なのです。

一般的には、当社は Red Canary チームの全員が、自分の役割にふさわしい方法で生成 AI を使用することを望んでいます。お客様との電話がうまくいったばかりの営業担当者がフォローアップメールを作成する必要がある場合は、それを迅速化して、コミュニケーションの質を高めてもらいたいと考えています。なぜなら、おそらく 1 時間かかるところを 5 分で完了でき、最終的には、それがお客様にとっても、当社にとっても良いことだからです。

これが当社のアプローチです。誰もが安全な方法でそれを使用できるようにすることを目指しています。しかし、私たちは、落とし穴は何か、それに伴う課題は何なのか、生成 AI に関連して、今後数年間でどのような法的問題が生じるのかを知り始めたばかりだと思います。