ディープダイブ

AIは脆弱性の発見を加速するが修復を遅らせる:モナッシュ大学のセキュリティのジレンマと打開策

モナシュ大学の応用セキュリティ責任者は、AIが脆弱性の発見を加速する一方で、修正速度が遅れ、サプライチェーン攻撃が急増しており、開発者は「認知オフローディング」のリスクに直面していると指摘している。

AIが脆弱性の発見を加速させる一方、修正は「昨日の思考」に陥っている

アプリケーションセキュリティチームは、ますます深刻な矛盾に直面している。AIツールにより脆弱性の発見速度は過去最高に達しているが、修正効率はそれに伴って向上していない。Monash大学のアプリケーションセキュリティ責任者Luke Bampton氏は最近のインタビューで、「これほど迅速に脆弱性が発見されたことはなかったが、修正の遅れは依然として存在する」と率直に述べた。この指摘は、AI時代におけるアプリケーションセキュリティの構造的な深層問題を明らかにしている。

Monash大学は現在、9万8千人以上の学生と2万人の職員を擁し、50万のIPアドレスを管理している。世界的な高等教育・研究機関として、40以上の開発チームを支援しており、そのメンバーは経験豊富なエンジニアから学部生まで多岐にわたる。Bampton氏の戦略は、統一されたツールを強制するのではなく、一貫したセキュリティ成果を確保することにある。しかし、AIの急速な浸透が従来のバランスを崩しつつある。

Bampton氏は、現在の作業方法は依然として「AI以前の時代」に留まっており、「昨日中に本番の問題を修正しなければならない」ような状況のために設計されていないと指摘する。AIはデジタル製品の「力の増幅器」として全面的に展開されているが、セキュリティ部門はまだ追いついていない。同氏は特にAnthropicのMythosなどの最近の進展に触れ、生成AIが上流へとアプリケーションセキュリティの領域に深く浸透しつつあることを示している。彼の見解では、信頼できるAI駆動の修正が次のステップとなるが、「今はまだ、AIが納品を加速し、セキュリティが遅れて追いかける段階にある」という。

サプライチェーンの脅威と「認知のオフロード」リスク

発見と修正のタイムラグに加え、Bampton氏は新たな2つのリスク次元を強調している。ソフトウェアサプライチェーン攻撃と開発者の「認知のオフロード」である。

「サプライチェーン攻撃は爆発的に増加しており、開発者の認証情報は大きな脅威にさらされている」と同氏は警告する。AI時代においても、サードパーティライブラリに依存する脆弱性スキャン機構は依然として不可欠である。しかし、より潜在的な危機は、開発者がAIコード生成ツールに過度に依存した場合、自身のセキュリティスキルが徐々に低下する可能性にある。この「認知のオフロード」効果は複数の研究で確認されており、Bampton氏はこれを教育上の優先事項として挙げている。

Monash大学はこれを受け、教育をセキュリティ戦略の中核的次元と位置付けている。Bampton氏は、セキュリティ担当者が開発者と能動的にコミュニケーションのチャネルを構築する必要があると考える。「もしあなたが私のことを知らなかったり、私が近づきにくいと感じたりすれば、私は本当にあなたを助けることができない」。彼はセキュリティ問題の解決を、純粋な技術的課題ではなく、「マーケティングと意識向上の挑戦」と捉えている。

スーパーコンピュータの到来:セキュリティチームの新たなAI戦場

Monash大学がMAVERIC AIスーパーコンピュータおよび専用のAI開発機を導入するにつれ、セキュリティチームの業務の焦点もAIと非決定論的な作業方法へと移行している。Bampton氏は、アプリケーションセキュリティの実践者として、開発者に責任ある技術の使い方を導く方法にますます注力していると述べている。

「私たちが最終的に求めているのは、安全なコード、正常に機能するコード、そして拡張可能な堅牢なソリューションです。」“私たちが最終的に求めているのは、安全なコード、正常に機能するコード、そして拡張可能な堅牢なソリューションです。”と彼は指摘する。技術スタックは変化しているものの、アプリケーションセキュリティの基本原則である人間同士のコミュニケーションとコラボレーションは今も有効だ。AIツールがますます自動化される世界において、人と人との信頼とつながりが最も重要な「セキュリティパッチ」になりつつある。

長期的なトレンド:AIセキュリティには新たな組織ロジックが必要

Monashの事例は決して特別なものではない。グローバルな視点で見ると、セキュリティ分野におけるAIの活用は「発見の補助」から「自律的な修復」へと進化しているが、組織のプロセスや文化はしばしば遅れを取っている。企業は脆弱性管理のライフサイクルを再考する必要がある。AIが数分で脆弱性を発見できるようになった今、修復プロセスを数週間や数ヶ月単位で運用すべきではない。

さらに深い課題として、AI自体が攻撃対象となる可能性もある。開発者がAIに依存してコードを生成するにつれ、サプライチェーンにおける「シャドー依存関係」が指数関数的に増加している。セキュリティチームは、AIが生成したコードを監査する新たな能力を開発すると同時に、技術負債の雪崩を回避しなければならない。

Bamptonは将来に対して楽観的だが、基礎的な取り組みをおろそかにしてはならないと強調する。AIの波の中で、Monash大学は「人間同士のつながり+継続的な教育+制御可能なコンピューティング」の組み合わせモデルを通じて、高等教育分野におけるセキュリティガバナンスの模範を示そうとしている。この探求は、ポストAI時代におけるアプリケーションセキュリティの一般的な進化の方向性を示唆しているかもしれない。すなわち、技術が自動化されればされるほど、人間の役割がより重要になるのである。

出典の境界 · thedailytech

thedailytech はこの注記を「テックニュース / AIとイノベーション / ビッグテック」の文脈に置きます。出典リンクは要約を再利用する前に開くべきものです: 日付、名称、状態変化はなお確認が必要です。「テックニュース / AIとイノベーション / ビッグテック」がローカルな編集角度を説明します。

Source links

  1. https://www.itnews.com.au/news/how-monash-university-is-tackling-the-ai-driven-app-security-gap-625805?utm_source=feed&utm_medium=rss&utm_campaign=editors_picksPrimary