当然のことながら、生成 AI は Black Hat 2023 で話題の中心となり、さまざまなパネルや基調講演で、セキュリティ業務において AI が人間に取って代わったり、強化したりできる範囲について議論されました。
IEEEシニア会員であり、25年以上のサイバーセキュリティ経験を持つケイン・マクグラドリー氏は、サイバーセキュリティにおいて、特に多様な興味、背景、才能を持つ人材といった人間的要素が不可欠であると主張しています。かつて俳優を目指していたマクグラドリー氏は、世界中のセキュリティ運用における多くの空席を埋めるには、技術者だけでなくクリエイティブな人材にもチャンスがあると考えています。
なぜでしょうか?コンピューターサイエンスのバックグラウンドを持たない人は、サイバーセキュリティのクラウドでまったく異なるイメージを抱くかもしれません。
セキュリティおよびリスク管理企業 Hyperproof のフィールド CISO であり IEEE の広報担当者でもある McGladrey 氏は、Black Hat で TechRepublic に対し、生成 AI によってサイバーセキュリティがどのように進化すべきかについて語りました。
ジャンプ先:
- まだ「アドホック」段階なのでしょうか?
- AI はエントリーレベルの SOC アナリストをサポートするか、あるいは代替するのでしょうか?
- 事態が悪化した時のSOCの恩恵
- サイバーセキュリティ人材をテクノロジーの枠を超えて探す
私たちはまだサイバーセキュリティの「アドホック」段階にいるのでしょうか?
カール・グリーンバーグ:ジェフ・モス氏(Black Hat創設者)とマリア・マークステッター氏(Azeria Labs創設者兼CEO)は基調講演で、生成AIモデルの扱い方を熟知したセキュリティ研究者の需要の高まりについて言及しました。AIは、特にTier 1(エントリーレベル)のサイバーセキュリティの雇用見通しにどのような影響を与えるとお考えですか?
ケイン・マクグラッドリー:ここ3、4、5年、この問題については議論を重ねてきました。新しい問題ではありません。私たちはまだ、人工知能の可能性に対する楽観的な期待が渦巻く状況の真っ只中にいるのです。
カール・グリーンバーグ:エントリーレベルのセキュリティ職やそれらの機能の多くを置き換える方法についても含めますか?
ケイン・マクグラッドリー:サイバーセキュリティ担当の従業員総数を削減するためにAIの活用を検討している企業はありますか?それはまずないでしょう。私がそう言う理由は、人工知能や個人の欠陥、あるいは組織設計の欠陥とは関係ありません。経済的な問題です。
結局のところ、脅威アクター(国家の支援、制裁、または運営を受けている者であれ、犯罪グループであれ)は、利益を上げるためにサイバー攻撃を実行するための新しい革新的な方法を開発する経済的インセンティブを持っています。このイノベーションサイクルとサプライチェーンの多様性は、新たな脅威に迅速に適応する意欲があれば、サイバーセキュリティ関連の仕事に人材を留めておくことにつながります。
カール・グリーンバーグ: AI は戦術やテクノロジーの絶え間ない変化に対応できないからですか?
ケイン・マクグラッドリー:こう考えてみてください。住宅保険、自動車保険、火災保険に加入している場合、それらの(保険会社)の保険数理士は、自動車事故の種類や住宅火災の種類を熟知しています。私たちは、特定の結果を引き起こすために私たちができることすべてを示すために、膨大な人間の経験とデータを持っています。しかし、サイバーセキュリティの世界では、そうではありません。
参照: 正しく使用すれば、生成AIはサイバーセキュリティに恩恵をもたらす (TechRepublic)
25年、あるいは50年分のデータを蓄積すれば、十分なデータ集積ができたと勘違いしている人も多いかもしれません。しかし残念ながら、企業がデータを紛失したり、不適切に処理されたり、盗難されたり、悪用されたりする危険性という点では、私たちはまだ限界に達しています。現状はまだ、いわば場当たり的な段階にあるとしか思えません。企業や社会が直面し続ける脅威やリスクに立ち向かうためには、既存のツールと人材を継続的に適応させていく必要があります。
AI はエントリーレベルの SOC アナリストをサポートするか、あるいは代替するのでしょうか?
カール・グリーンバーグ:一流のセキュリティアナリストの仕事は機械に取って代わられるのでしょうか? 機械が自然言語インターフェースを通じてこれらのタスクの多くを代行するようになれば、生成型AIツールによって経験の蓄積はどの程度困難になるのでしょうか?
ケイン・マクグラッドリー:データを正しくフォーマットする上で、機械は何よりも重要です。SOC(セキュリティオペレーションセンター)のティア1キャリアパスが完全になくなるとは思いませんが、彼らの仕事に対する期待は実際に向上していくでしょう。現在、SOCアナリストは入社初日からチェックリストを与えられており、非常にルーティン化されています。彼らはあらゆる偽旗、あらゆる危険信号を探し出し、干し草の山から針を見つけるように努めなければなりません。しかし、それは不可能です。毎日、海が彼らの机を覆い、彼らは毎日溺れています。誰もそんな状況を望んでいません。
カール・グリーンバーグ: … フィッシングメールやテレメトリの可能性があるものすべて…
ケイン・マクグラッドリー:まさにその通りです。しかも、全てを手作業で調査しなければなりません。AIの将来性は、分類し、他の信号からテレメトリを取得し、人間が実際に確認する価値があるものは何なのかを理解できることだと思います。
現在、一部の脅威アクターが取れる最善の戦略は「タールピット」と呼ばれるものです。これは、組織と敵対関係になることが分かっている場合、複数の脅威ベクトルを同時に攻撃するものです。そのため、企業が十分なリソースを持っていない場合、彼らはマルウェア攻撃ではなく、フィッシング攻撃に対処していると思い込み、実際には誰かがデータを盗み出していると考えてしまいます。タールピットであるため、攻撃者はすべてのリソースを吸い上げ、被害者は本来のインシデントに集中するのではなく、1つのインシデントに過剰にコミットするよう仕向けます。
事態が悪化した時のSOCの恩恵
カール・グリーンバーグ:つまり、この種の攻撃はSOCチームにとって理解するには規模が大きすぎるということですか?SOCにおける生成AIツールは、タールピット攻撃の効果を軽減できるのでしょうか?
ケイン・マクグラッドリー:ブルーチームから見れば、最悪の日です。なぜなら、彼らはあらゆる潜在的なインシデントに対処しているにもかかわらず、起こっている全体像を把握できていないからです。これは非常に効果的な敵対戦略であり、政府でもない限り、人材を雇用してこの状況から逃れることはできませんが、それでも苦戦するでしょう。だからこそ、AIを活用して規模と効率性を高める能力が本当に必要なのです。潜在的な脅威に関するトレーニングデータを人間に提供し、不適切にリソースを投入する前に実行させるのです。
サイバーセキュリティ人材をテクノロジーの枠を超えて探す
カール・グリーンバーグ:話題を変えますが、他の人が指摘したように、私はこう尋ねます。今日、サイバーセキュリティの職に新しい人材を採用するとしたら、例えば、リベラルアーツ出身者とコンピュータサイエンス出身者を検討しますか?
ケイン・マクグラッドリー:ええ、その通りです。現時点では、ITであれサイバーセキュリティであれ、従来の職種以外の人材を探そうとしない企業は、自らに不利益をもたらしていると思います。なぜ最大300万人もの採用ギャップが生じているのでしょうか?それは、人事部門のハードルが高すぎるからです。長年一緒に仕事をしてきた中で、最も気に入っている脅威アナリストの一人は、コンサート・バイオリニストでした。マルウェア対策へのアプローチ方法が全く異なっていました。
カール・グリーンバーグ:伝統的なコンピュータサイエンスや技術分野の候補者は創造性が足りないと言っているのですか?
ケイン・マクグラッドリー:私たちの多くは、非常に似たような人生経験を持っています。そのため、巧妙な脅威アクターたちを相手に、大規模な攻撃を行っている国家は、この社会経済的に恵まれた人々が持つ盲点を効果的に認識し、それを悪用しようとします。私たちの多くはほぼ同じ考え方をしているため、同僚とうまく付き合うのは非常に簡単ですが、同時に、脅威アクターにとっては、そうした防御者を操るのも非常に容易なのです。
免責事項: Barracuda Networks が Black Hat 2023 への航空運賃と宿泊費を支払いました。
