米Forresterの2024年予測=AIリスクと規制調査の年に
米調査会社Forresterがサイバーセキュリティ、リスク、プライバシーに関する2024年予測レポートを発表した。ゼロトラスト関連ポストの増加、AIで生成したコードの欠陥によるデータ侵害、個人を特定できる情報(PII)の取り扱いに関する規制調査、サイバー保険市場の変化を予測している。
「今年見られた動向のいくつかについては、来年も続くと考えています。サイバー攻撃が従来よりもはるかに標的を絞った、パーソナライズされたものになるという予測を強めたのはそのためです」。シニアアナリストのAlla Valente(アラ・ヴァレンテ)氏がSDxCentralの取材で語った。
「生成AIの利用については、ソーシャルエンジニアリングで従来よりもはるかに高い説得力を持たせる使い方をはじめ、さまざまな動向が見られます。企業のリスクレベルは…(中略)…高まり続けていると見ています」
2024年、ゼロトラスト関連のポストが倍増
Forresterの調査では、現在LinkedInでゼロトラスト関連のポストが投稿されている件数は、米国で81件、英国で6件、シンガポールで1件だったという。この数字は来年には倍増すると同社は予測している。
ゼロトラストについては、米国で(政府機関に対して)移行を求める行政命令が出されていたが、アジア太平洋(APAC)や欧州・中東・アフリカ地域(EMEA)でもようやく主流になりつつあるという。NIST(National Institute of Standards and Technology、米国立標準技術研究所)のゼロトラストアーキテクチャが広く採用され、アーキテクチャ、エンジニアリング、ガバナンス、戦略、上層部などのチームにゼロトラスト関連の職位を設ける必要性が高まっているとした。
「年が進むにつれて、ゼロトラスト関連ポストの求人が軒並み増え始めました。特に、アジアやインドでゼロトラストへの移行が求められ、米国で企業も行政命令に沿うようになってから、そうしたポストがそれまでよりもはるかに広く見られるようになっていったように思います」と氏。
各組織がこうした要求に準拠、取り組みを実施していく中で、ゼロトラスト要件(の遵守)を目的とする職務がどのようなものかが明確になりつつあるという。
Forresterは、ゼロトラスト関連の職務に求める要件を慎重に検討し、認証を目指す役割の人々を探すように勧めている。
「ゼロトラスト対応の役割と責任ははっきりしています。ゼロトラストの取り組みを担う人々は、技術力とビジネス感覚をバランスよく備えていることが重要です。また、資格の取得や、少なくとも研修が移行の役に立つでしょう」
AIが生成したコードが、少なくとも3件のデータ侵害の原因に
Forresterは、企業等が生成AIを導入する際、AIの倫理的な利用と規制要件の遵守のために、ガバナンスとアカウンタビリティが重要になると指摘している。
「生成AIがソフトウェア開発プロセスに占める部分が大きくなっていけば、開発において影響力を持つとともに、AIで生成したコードには、脆弱性の発見に活用し得るものだけでなく、セキュリティ上の欠陥の原因になり、侵害につながる可能性のあるものも出てくることは想像に難くありません」と氏。
2023年の同社のデータでは、コード生成と生産性向上を支援する開発AIアシスタント「TuringBots」を知っている企業や技術者のうち、半数近く(49%)が自社でパイロット運用や導入を進めているか、既に導入済みだという。
しかし、TuringBotで生成したコードに対する適切な危機回避策が講じられなければ、来年には、(コード自体のセキュリティ上の欠陥や、AIが提案した依存関係の脆弱性など)公式にAIで生成した安全でないコードが原因であるとするデータ侵害が、少なくとも3件は発生すると同社は予測している。
Forresterは開発チームがAIで生成したコードすべてに目を通し、セキュリティ上の問題がないかを確認するよう提案している。
「AIが生成するコードは、トレーニングに使われるデータ以上のものにはなりません」とValente氏。「AIはベストプラクティスに基づいてトレーニングされるでしょうが、たとえば、それほど良くないプラクティスを使ったトレーニングも多少は行われることになります」
個人情報の取り扱い、サイバーセキュリティ保険、人的要素に関する予測
ChatGPTのような生成AIプラットフォームを使用するアプリケーションに対しては、個人情報をどのように扱っているかについて、OpenAIが受けたような規制当局の調査が入るという。Forresterは、こうしたアプリケーションの中にはOpenAIよりも罰金を科されるリスクが高いものがあると予測している。サードパーティのテック企業を介したリスクを負う一方で、そうしたリスクを適切に軽減するリソースや専門性が不足しているためだ。企業はサードパーティのリスク管理を強化する必要があるとした。
また、サイバー保険会社の加入審査が厳しくなり、特定のセキュリティベンダーの利用を危険信号と見なすだろうと予測している。さらに、来年発生する侵害の約90%は人的要素を含むと予測、ヒューマンエラーや権限の悪用、盗まれた認証情報の使用、ソーシャルエンジニアリングに人間が関与するとした。
Forrester predicts 2024 will be a year of AI risks and regulatory scrutiny
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
JOIN NEWSME ニュースレター購読
KCMEの革新的な技術情報を随時発信
5G・IoT・クラウド・セキュリティ・AIなどの注目領域のコンテンツをお届けします。
KCME注目の技術領域に関するテックブログを配信しています。
KCME注目の技術領域に関するテックブログを配信しています。
RELATED ARTICLE 関連記事
-
IT StringerAI2025.01.17
CompTIA、採用増加で技術職の失業率が2%に低下と報告
IT業務分野の実践力/応用力を評価する非営利のIT業…
-
人工知能(AI) StringerAI2025.01.17
Persistent Systems、バイオメディカル研究を強化する「Pi-OmniKG」を発表
ソフトウェア開発やITサービスを提供するグローバル企…
-
人工知能(AI) StringerAI2025.01.16
SpacemiT、次世代AIアプリケーション向けのサーバーCPUチップ「V100」を開発
中国に本社を置くRISC-V AI CPU(新世代の…
-
人工知能(AI) StringerAI2025.01.10
米NVIDIA、物理AI開発を加速する「Cosmos」を発表
米NVIDIAは、自律走行車やロボット工学を含む物理…
HOT TAG 注目タグ
RANKING 閲覧ランキング
-
IT Dan Meyer
BroadcomによるVMware製品の価格/ライセンスの変更がどうなったか
-
ネットワーク Sean Michael Kerner
2024年における10のネットワーキング技術予測
-
IT Dan Meyer
ネットワーキング業界の混迷、顧客の懸念=HPEとジュニパー、シスコをめぐって
-
IT Dan Meyer
シスコが「堅調な」滑り出し=1Q決算、AIとSplunkが後押し
-
IT Dan Meyer
BroadcomがVMwareパートナープログラムの詳細を発表
-
セキュリティ Nancy Liu
SASE市場が急成長=第1四半期、首位はZscaler
-
スイッチング技術 Tobias Mann
コパッケージドオプティクスの実用化は何年も先=専門家談
-
IT Dan Meyer
米キーサイトがVIAVIのスパイレント買収に「待った」=15億ドルを提示
-
IT Dan Meyer
米BroadcomとAT&Tの対立が一旦緩和=VMwareをめぐって
-
セキュリティ Tobias Mann
米CitrixはMcAfee社、FireEye社と同じ運命を辿るのか=買収合併の後に