Zscalerのブログ
Zscalerの最新ブログ情報を受信
購読するAIに関する新たな知見:2024年版 ThreatLabz AIセキュリティ レポートでAIの最新動向とリスクが明らかに
AIが重要な転換期を迎えたことを受け、Zscaler ThreatLabzは同部門初となる2024年版 ThreatLabz AIセキュリティ レポートを発表しました。ChatGPTに代表されるAIツールや言語モデル(LLM)が企業活動に深く浸透しつつありますが、こうしたAIツールを安全に導入して、企業のデータを保護するにはどうすればよいのでしょうか?その答えはいまだ得られていません。
AIが新たなサイバー脅威を生み出したことで、攻撃者はより速く巧妙に、そして大規模に攻撃を仕掛けられるようになり、事態はますます複雑になっています。こうした状況に対処するには、生産性を高めるAIツールを社内で安全に使用できるようにしながらも、AIを悪用する脅威にAIで対抗するための適切な手段が必要です。
2024年版 Zscaler ThreatLabz AIセキュリティ レポートでは、2023年4月~2024年1月にかけてZscaler Zero Trust Exchange™で確認された180億以上のトランザクションの分析をもとに、企業におけるAIアプリの導入とブロックの状況を業界や国ごとに解説します。また、AI/MLツールの主な利用傾向、リスク、ベスト プラクティスのほか、AIを悪用して進化し続ける脅威の動向と実際の脅威のシナリオに関する洞察やこうした脅威に対抗するための効果的な防御策(AIによる手段を含む)も紹介します。
2024年版 Zscaler ThreatLabz AIセキュリティ レポートをダウンロードして、調査結果から明らかになったAIの最新動向やAIを保護するための企業のベスト プラクティスをご確認ください。
AIに関するThreatLabzの主な調査結果
- AI/MLツールの利用率が爆発的に増加:企業のAI/MLトランザクションは2023年4月~2024年1月にかけて595%急増しました。
- ブロックされたAIトラフィックも同時に増加:企業のAI導入が進む一方で、AIトランザクションの18.5%がブロックされました。これは577%の増加にあたり、セキュリティ上の懸念が高まっていることがうかがえます。
- AIトラフィックを生成した主な業界:製造業が最も多くのAIトランザクションを生成(21%)しており、金融/保険(20%)、サービス(17%)がそれに続きます。
- 最も使用されたAI/MLアプリ:トランザクションの件数に基づく最も使用されたAI/MLアプリはChatGPT、Drift、OpenAI、Writer、LivePersonです。
- 世界のAI導入状況:企業のAIトランザクションを最も多く生成している上位5か国は米国、インド、英国、オーストラリア、日本です。
- AIが生み出す新たな脅威:AIによるフィッシング キャンペーン、ディープフェイク、ソーシャル エンジニアリング攻撃、ポリモーフィック型ランサムウェア、企業の攻撃対象領域の検出、エクスプロイトの生成など、脅威アクターは新たな手法でAIを悪用しています。
AI導入時に考慮すべきポイント:AIをいつブロックまたは許可するのか?「シャドーAI」のリスクをどのように軽減するのか?
このレポートの重要なテーマの1つにもなっているように、AIの変革力を最大限引き出すには、AIを安全に使用する必要があります。企業に今求められているのは、AIツールの統合と開発に伴うリスクを最小限に抑えながら、「シャドーAI」と呼ばれる未承認のAIツールの爆発的な増加を防止、解消する戦略です。
これらのリスクは通常、次の3つの大きなカテゴリーに分類できます。
機密情報の安全性:生成AIツールは意図しない機密情報や秘密情報の漏洩を引き起こす場合があるため、データ保護対策が不可欠です。AIアプリのOpen Worldwide Security Project (OWASP) Top 10でも、機密情報の漏洩が6位に入っています。リスクとなるのは、プロンプト インジェクション攻撃やマルウェアなどの敵対的な脅威だけではありません。悪意のない企業ユーザーが、機密情報や専有データを誤って大規模言語モデル(LLM)に公開してしまうことで大きなリスクが発生する可能性もあります。例えば、エンジニアが生成AIツールに企業独自のコードの最適化やリファクタリングを行うよう指示したり、営業担当者がAIに過去の売上高を使用して将来のパイプラインを予測するよう依頼したりする場合がありますが、実際、こうした行動がリスクにつながったケースは少なくありません。
企業は、偶発的な情報漏洩や侵害を防ぐために、堅牢なAIポリシー ガイドラインとテクノロジーベースの情報漏洩防止(DLP)対策を実装する必要があります。また、AIアプリの使用状況を詳細に可視化してシャドーAIのスプロール化を防止すると同時に、承認されたAIアプリのみをユーザーに使用させるためのきめ細かなアクセス制御を有効にすることも重要です。
- AIアプリのデータ プライバシーとセキュリティ リスク:AIアプリのデータ プライバシーとセキュリティはすべて同じというわけではありません。アプリによって規約、条件、ポリシーは大きく異なる場合があるため、自社のデータが言語モデルのトレーニングに使用されるのか、広告用にマイニングされるのか、サード パーティーに販売されるのかなどを事前に確認する必要があります。また、データ保護やその背後にある企業のセキュリティ態勢などの要素も考慮し、自社が使用するAIアプリを評価してセキュリティ リスク スコアを割り当てることも重要です。
- データの質とデータ ポイズニングの懸念:AIの出力内容の精度は、AIアプリのトレーニングに使用されるデータの質と規模に大きく依存します。AIソリューションを選択する際はデータの質を慎重に評価し、データ ポイズニングなどのリスクを軽減するための強力なセキュリティ基盤を確立する必要があります。
AI時代の新たな脅威
AIが企業に及ぼすリスクは双方向の性質を持っています。企業は常に外部からの脅威にさらされており、今やAIを悪用した攻撃も脅威の1つとなっています。既存の脅威のほとんどがAIを駆使して、攻撃のスピード、規模、手法をますます強化しています。AIによるサイバー攻撃が発生する可能性は基本的に無限であるため、こうした脅威がもたらす影響は未知数といわざるを得ません。
その一方で、この種の攻撃の代表的な手口も明らかになりつつあります。2024年版 ThreatLabz AIセキュリティ レポートでは、AIを駆使して進化し続ける次のような脅威を詳細に解説しています。
- AIによるなりすまし:AIが生成するディープフェイク、高度なソーシャル エンジニアリング攻撃、偽情報および誤情報など
- AIが生成するフィッシング キャンペーン:エンドツーエンドのキャンペーンの生成や、ChatGPTを使用して7つの簡単なプロンプトで偽のログイン ページを作成する方法
- AIを悪用したマルウェアとランサムウェア:攻撃チェーンのあらゆる段階をAIで自動化
- ChatGPTを使用した脆弱性エクスプロイトの生成:Apache Log4j2のリモート コード実行の脆弱性(CVE-2021-44228)とApache HTTP Serverのパス トラバーサルの脆弱性(CVE-2021-41773)を悪用してPoCのエクスプロイトを作成する方法
- ダーク チャットボット:ダークWeb上で急速にその存在を拡大させている、セキュリティ ガードレールのないFraudGPTやWormGPT
- その他
安全なAIトランスフォーメーションのためのベスト プラクティスとAI+ゼロトラストで実現する階層型のサイバー防御
AIトランスフォーメーションが本格的な段階を迎えようとする中で、その大きな可能性を最大限活用するには、AIが生み出す双方向のリスクを次の2つの方法で解消する必要があります。
- AIを安全に導入する:生産性を維持しながら、企業のデータを保護します。
- AIを悪用した攻撃にはAIで対抗する:攻撃チェーン全体で猛威を振るうAIによる脅威から身を守りながら、リアルタイムで提供されるセキュリティ インサイトを活用し、ゼロトラストを迅速に実現するために、適切なデータ保護対策を実装します。
この2つを達成するために、2024年版 Zscaler ThreatLabz AIセキュリティ レポートでは、次のような重要なガイダンスを提供しています。
- ChatGPTを安全に使用する方法:生成AIツールを安全に使用するためのステップを5つに分けて解説します。
- AIのベスト プラクティスとAIポリシー ガイドライン:あらゆる企業が採用できるAIのフレームワークとベスト プラクティスを紹介します。
- ZscalerのAI+ゼロトラストでサイバー脅威を阻止:ZscalerはAIを活用して、攻撃チェーンのすべての段階で攻撃を阻止し、企業のサイバー リスクを包括的に可視化します。
- Zscalerで安全なAIトランスフォーメーションを実現:生成AIツールやMLツールを安全に利用できるように、Zscalerは次の方法で企業をサポートします。
- AIツールの使用状況をすべて可視化
- AIの使用を微調整する柔軟なポリシーを策定
- AIアプリにきめ細かなデータ セキュリティを施行
- ブラウザー分離で強力に制御
言うまでもなく、AIはデータがすべてです。2024年版 Zscaler ThreatLabz AIセキュリティ レポートをダウンロードするか、ZscalerのCSOであるDeepen Desaiが解説するAIセキュリティの展望:2024年版 Zscaler ThreatLabz AIセキュリティ レポートから得られたインサイトのライブ セッション(英語)に登録して、ぜひAIの知見を深めてください。
また、Zscalerのイノベーション リリース イベント「AIデータ保護プラットフォーム」では、ZscalerがどのようにAIを活用して企業を守るのかをご紹介します。