AWSによる生成AI/LLMの利用方法=自社のセキュリティ変革と顧客支援
アマゾンウェブサービス(AWS)では、カスタムLLM(大規模言語モデル)の力を自社のアプリケーションセキュリティプロセスの改善に活かしつつ、顧客向けにも生成AIやLLMを利用した効果的な脆弱性管理支援、セキュリティ調査の効率向上支援を行っている。AmazonのSteve Schmidt(スティーブ・シュミット)CSOが語った。
「LLMと生成AIという、セキュリティの成果を向上させる最新のツールが今回、道具箱に追加されました」。Schmidt氏は「AWS re:Invent 2023」の基調講演で話している。「生成AIは、自動推論やその他の種類の機械学習と比べても、新しい別の役割を果たすものです」
氏は社内でのカスタムLLMの利用の仕方について説明し、AWSのコードのセキュリティレビューをスピードアップしているという例を挙げた。「このモデルは潜在的なセキュリティ問題を識別するもので、アプリケーションセキュリティエンジニアのチームによるレビューでも使用されます」
「当社には長年にわたって実施してきた膨大な数のコードレビューと大規模なコードベースがあり、モデルの効果的なトレーニングとファインチューニングが可能です」と氏。「AWSは非常に大規模なため、他の環境では発生しないような問題が発生します。このモデルは当社のこうした特殊な状況を理解しており、実用的なアウトプットの提供が可能になっています。それによってアプリケーションセキュリティレビューとソフトウェア開発プロセス全体を加速させています」
「Amazon Inspector」「Amazon Detective」で生成AIを利用
Amazonは社内でのカスタムLLMの利用に加え、「Amazon Inspector」「Amazon Detective」でも生成AIを活用したセキュリティ機能の追加を行っている。
Amazon InspectorはAWSのワークロードを継続的にスキャン、ソフトウェア/コードの脆弱性や意図しないネットワークへの露出を検知する脆弱性管理サービスだ。今回、Lambda関数のコードスキャン機能を拡張、生成AIと自動推論を利用したコード修正支援機能を追加した。
「このサービスは、機械学習モデルと自動推論を使用、コードの脆弱性の発見を支援し、修正時に役立つガイドを提供するものです」と氏。「生成AIを活用すれば、ソリューションをさらに一歩進めることが可能です」
「(新しい機能では)生成AIを使用して、コードに潜むセキュリティ問題の解決に要する時間を短縮できるようにしています。以前から提供されていた内容に加え、複数種類の脆弱性に対してコンテキストに沿ったコードの修正案を提示するようになりました。これによって問題解決を支援します」
「AWS re:Invent 2023」では、Amazon Detectiveのチームも同様のアプローチによる機能追加を発表した。同じく生成AIを使用して検出結果グループの分析を行い、自然言語で「検出結果グループの概要」という所見を提供、セキュリティ調査を促進する。
「Amazon Detective」はユーザーのAWSリソースからログデータを自動的に収集し、機械学習、統計分析、グラフ理論を使用して、セキュリティ調査をより迅速かつ効率的に行うのに役立つビジュアライゼーションを生成する。
「生成AIによるこの新しい機能では、こうしたコンテキストを活用して問題の状況を描写した文章を生成します。広い視野と、さらなるセキュリティ情報をもたらす一助となります」と氏。「セキュリティに関する非常に幅広い訓練を受け、現在行っている個々の調査に関する詳細な知識を備え、いつでも頼れる専門家のようにデータを要約することが可能です」
生成AIの安全かつ適切な利用の仕方
Schmidt氏は企業に対し、生成AIやLLMを安全かつ適切に利用すべく、これらの技術を利用する際は、業務フローとセキュリティニーズの整合を図るための、以下の3つの重要な問いに答えることを提案している。
1. データはどこにあるか。LLMを利用することで公開される可能性はあるか?
LLMのトレーニングと日々の使用、どちらについてもデータがどのように扱われるかを把握することが重要だとSchmidt氏は強調する。モデルの予測能力には、投入するデータの量が直接影響すると指摘した。また、LLMの利用時、特にトレーニング段階でのデータの露出にも注意する必要がある。データの転送時・不使用時の両方で暗号化を維持し、データへのアクセス権限を最小限にとどめる必要があると強調した。
2. 質問文や関連データはどうなるのか?
機密情報はトレーニングデータだけではないと認識しておく必要がある。Schmidt氏は、質問自体も機密情報になりうるため、データ保護の計画に含めるべきだと強調した。「ユーザーが質問した内容から推測できることは多々あります」
3. 生成AIモデルの出力は十分に正確だろうか?
出力の質は着実に向上していると氏は言う。セキュリティ面のリスクについてはユースケース次第だとした。
これら3つの問いは、「当社で利用する生成AI/LLMサービスについて、セキュリティチームが検討する際の目安としているものです」と氏。「Amazon社内の従業員はこうしたツールを使用しています。これらの問いについて検討し、自社のセキュリティ要件を満たしていることを確認すると良いように思います。その回答は、対象にしているモデルと、そのモデルがどのように提供されているかによって変わってきます」と語った。
How AWS uses genAI and LLMs to transform its internal security — and help its customers
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
SDxCentralの編集者。
サイバーセキュリティ、量子コンピューティング、ネットワーキング、およびクラウドネイティブ技術を担当している。
バイリンガルのコミュニケーション専門家兼ジャーナリストで、光情報科学技術の工学学士号と応用コミュニケーションの理学修士号を取得している。
10年近くにわたり、紙媒体やオンライン媒体での取材、調査、編成、編集に携わる。
連絡先:nliu@sdxcentral.com
JOIN NEWSME ニュースレター購読
KCMEの革新的な技術情報を随時発信
5G・IoT・クラウド・セキュリティ・AIなどの注目領域のコンテンツをお届けします。
KCME注目の技術領域に関するテックブログを配信しています。
KCME注目の技術領域に関するテックブログを配信しています。
RELATED ARTICLE 関連記事
-
セキュリティ Nancy Liu2024.08.05
フォーティネットのLacework買収がクラウドセキュリティを強化、CiscoやPalo Alto Networksと競合
フォーティネットは最近、クラウドセキュリティのスター…
-
セキュリティ Nancy Liu2024.07.09
シスコ、産業用スイッチ/ルータにOTセキュリティ機能を搭載
米ネットワーク機器大手のシスコは、ゼロトラストネット…
-
セキュリティ Zeus Kerravala, ZK Research2024.06.19
ランサムウェア被害からの復旧=進歩と課題
ランサムウェア攻撃による大きな混乱があいかわらず発生…
-
セキュリティ Nancy Liu2024.06.12
クラウドセキュリティに関する誤解=世のCISOがすべきこと
企業のクラウド移行がますます進んでいる。その中で、各…
HOT TAG 注目タグ
RANKING 閲覧ランキング
-
セキュリティ Nancy Liu
デル、データ侵害を確認=ハッカーが4900万件の顧客データ販売を主張
-
IT Dan Meyer
BroadcomによるVMware製品の価格/ライセンスの変更がどうなったか
-
IT Dan Meyer
Dell、HPE、LenovoはBroadcomがVMwareの顧客の懸念を和らげるのに役立つか?
-
IT Dan Meyer
BroadcomがVMwareパートナープログラムの詳細を発表
-
ネットワーク Sean Michael Kerner
2024年における10のネットワーキング技術予測
-
セキュリティ Tobias Mann
米CitrixはMcAfee社、FireEye社と同じ運命を辿るのか=買収合併の後に
-
セキュリティ Nancy Liu
SASE市場が急成長=第1四半期、首位はZscaler
-
スイッチング技術 Tobias Mann
コパッケージドオプティクスの実用化は何年も先=専門家談
-
IT Dan Meyer
米キーサイトがVIAVIのスパイレント買収に「待った」=15億ドルを提示
-
ネットワーク Sean Michael Kerner
2023年 ITネットワークのトレンドTOP10 現時点