見出し画像

AIが生成したコードがクラウドセキュリティの懸念事項の上位7つに

Katsumi Yamanaka

この記事は以下の2024年5月16日の sdxcentral の記事を意訳したものです。

Palo Alto Networks: AI-generated code leads to top 7 cloud security concerns
パロアルトネットワークス:AIが生成したコードがクラウドセキュリティの懸念事項の上位7つに


Palo Alto Networks「State of Cloud-Native Security」レポート

Palo Alto Networksの「State of Cloud-Native Security」レポートは、複雑なクラウド環境におけるセキュリティがソフトウェア展開の障害となっている現状を明らかにし、最も緊急性の高いクラウドセキュリティの懸念事項を特定しています。

このセキュリティの巨人は、10カ国および5つの業界セクターのクラウドセキュリティおよびDevOpsプロフェッショナル2,800人以上を調査しました。

調査結果のハイライト

  • 調査対象の組織は、展開されたアプリケーションに平均12個のクラウドサービスプロバイダー(CSP)を使用しています。

  • クラウド支出の全体的な増加傾向があり、半数以上が年間1,000万ドル以上をクラウドサービスに投資しています。

  • 組織は平均で16個のクラウドセキュリティツールを使用しており、98%の回答者がセキュリティツールの数を減らすことの重要性を述べ、90%が使用するポイントツールの数がリスクの優先順位付けと脅威の防止に影響を与える「盲点」を生み出していると考えています。

Devpsとセキュリティ運用(SecOps)間の対立

レポートの調査結果は、迅速な開発の必要性とセキュリティを維持する重要性の間の緊張を強調しています。

  • 84%の回答者は、セキュリティプロセスがプロジェクトのタイムラインに遅延を引き起こしていると述べています。

  • 86%は、セキュリティがソフトウェアリリースを妨げる要因であると述べています。

  • 71%は、迅速な展開がセキュリティ姿勢を損なうとし、過半数の52%がDevOpsとSecOpsの間の対立が大きなストレス源であると述べています。

クラウドセキュリティ懸念事項 Top7

Palo Alto Networksは、クラウドセキュリティの懸念が「多様で広範囲に及ぶ」と指摘しています。以下が回答者のトップ7の懸念事項です。

  1. 人工知能(AI)生成コード: 44%の組織がAI生成コードによってもたらされる予期しない脆弱性やエクスプロイトを懸念しています。自律的なソフトウェア作成における人間の監視の欠如が、未検出のセキュリティ欠陥を引き起こす可能性があります。

  2. APIリスク: 43%の回答者がAPIリスクをトップ懸念事項として挙げています。これには不正アクセス、機密データの露出、サイバー攻撃に対する脆弱性が含まれます。

  3. AIによる攻撃: AIによる攻撃の可能性が増す中で、38%の組織がAIの兵器化と、その不確実性が計画と防御を困難にすることを懸念しています。

  4. 不十分なアクセス管理: クラウド内で誰が何にアクセスできるかを制御する課題に直面して、35%の回答者が不十分なアクセス管理をトップの懸念事項としています。

  5. 継続的インテグレーション/継続的デリバリー(CI/CD)の攻撃面への影響: CI/CDパイプラインが攻撃面に与える影響は、34%の回答者にとって懸念事項であり、脆弱性を導入し、それを迅速に本番環境に展開する可能性があります。

  6. 内部の脅威: 32%の回答者が、ビジネスパートナー、サードパーティベンダー、契約者、および従業員を含む内部の脅威のリスクを懸念しています。

  7. 未知および管理されていない資産: 資産管理と可視性のギャップが脆弱性や違反を引き起こす可能性があり、29%の回答者がこれを懸念しています。

sdxcentral 記事の意訳については以上です。

まとめ

本レポートは、平均12個のCSPを利用しているマルチクラウドユーザで、年間1,000万ドル以上(=約16億円)のクラウド投資をし、平均16個のクラウドセキュリティツールを使用していることから、かなり大手企業(売上500~1,000億円以上)が対象ではないかと思います。

クラウドセキュリティの懸念事項 Top 7つの内、AIが関係するのは、1位の「人工知能(AI)生成コード」と、3位の「AIによる攻撃」だけでした。

生成AIで自動で生成されたコードは、人間がきちんとチェックをしないと、脆弱性やエクスプロイトが含まれる可能性があるという至極当然のことで、同じくAIを利用した攻撃についても、攻撃者が生成AIを利用して、攻撃を効率化をしているだけであり、同じく至極当然のことだと思います。

普通の「クラウドセキュリティ懸念事項Top7」だとPV数が稼げないので、「AIが生成したコードがクラウドセキュリティ懸念事項Top7に」としたいわゆる釣り記事でした。


この記事が気に入ったらサポートをしてみませんか?