慎重に言葉を選んだプロンプトを使用すると、ChatGPT を騙して悪意のあるコードを作成させたり、提供したコードの脆弱性を特定したりすることが可能になります。それで、パニックになるべき時なのでしょうか?簡単に答えると、いいえ、安定した手が必要な時期です。今は極めて重要な瞬間です。取り残されたり、標的になったりする前に、知識を身につけて行動を起こす時です。最近のウェビナーでは、Information Security Media Group (ISMG) の編集担当シニア VP Tom Field が Transmit Security の最高アイデンティティ責任者 David Mahdi と対談し、ChatGPT の全体的な影響について検討しました。
元ガートナーのアナリストであるデイビッド氏は、サイバーセキュリティにおける AI と機械学習の進化を綿密に追跡してきました。最近では、不正検出と行動バイオメトリクスの分野で大きな進歩が見られ、機械学習とニューラル ネットワークが真のゲームチェンジャーとして台頭しています。現在注目すべきは、生成 AI が誰もが利用できるようになっていることです。そのため、ハッカーやセキュリティ チームにとってこれが何を意味するかを理解する必要があります。
ISMG の 35 のメディア サイトの 1 つであるData Breach Todayで開催されるウェビナー (27 分) を今すぐ視聴できます。または、録音から直接抜粋したこの Q&A で、会話のハイライトをいくつか読んでみてください。
ISMG 編集担当上級副社長、トム・フィールド氏:
わかりました、デビッド、ChatGPT。コンテキストを設定します。なぜこれが 2023 年のトピックは何でしょうか? … 私は CISO や CIO と多くの会話をしており、今日行っているような円卓会議もいくつかありますが、トピックが何であっても、すべての会話は ChatGPT に戻ってきます。そして、私がよく耳にするのは3つのことです。私が最初に受ける質問は、「今日、これを社内で何に使用できますか?」です。
Transmit Security の最高アイデンティティ責任者、David Mahdi 氏:
それは素晴らしい質問です。まず、イスラエルのテルアビブに強力な脅威研究者チームがいます。彼らはダークウェブを監視し、これらのツールに注目してきました。そして、これらのツールを前向きに捉えています。そこで私たちは、これをどのように活用できるかを考えました。
これは、情報のマイニングに使用できる非常に強力なツールです。組織に大量のデータ、つまり検索する必要のある大量のテキストがある場合、この情報のリポジトリを指す ChatGPT のようなものを使用すれば、その情報を検索することができます。したがって、統計情報を探している場合、他の種類の情報を探している場合、またはログを調べている場合、それを実行する機能があります。
しかし、ChatGPT 自体は、それほどスマートではありません。それはワールドワイドウェブの2年前を振り返るものです。そのため、社内では、既知の情報や社内にある独自の情報、ソフトウェア ツールなどを参照したい場合、チームは [ChatGPT] をナレッジ ベースに向けることができます。これが、カナダや世界各地の組織のセキュリティリーダーと話し合った、この技術を活用した使い方の 1 つです。したがって、その観点から見ると、効率化に非常に役立ちます。
トム:
それで、これが私が受ける2番目の質問です。これはセキュリティ体制に影響しますか?
デビッド:
はい、100%です。絶対にそうなるだろうと自信を持って言えます。それには何かしらの理由があります。したがって、社内でこのようなものを使用していて、ChatGPT または ChatGPT のようなテクノロジーを、自分が保持している可能性のある情報に向けている場合は、プライバシーについて考慮する必要があります。そこで見ているデータについて考える必要があり、PII や個人を特定する情報、知的財産が漏洩することは望ましくありません。
したがって、実際に何を参照しているかについても注意する必要があります。それは著作権の対象である可能性がありますが、あなたの著作権は対象ではありません。あなたは Gartner の調査レポートを読むためのライセンスを持っているかもしれません。そして、ChatGPT をそのレポートに向けるつもりです。しかし、その情報が漏洩し始めると、その特定のベンダーとの契約条件に違反する可能性があります。
別の角度 ただし、これは先ほどダークウェブについて言及した内容です。さまざまな種類の[ハッキング]ツール、さまざまなマルウェアキット、サービスとしてのランサムウェアに関する情報は常に共有されており、これらすべてが悪意のある人物に悪用され、好きなように攻撃するために再利用されています。
ChatGPT とその派生版でも同じことが言えます。3 週間前の時点では、AutoGPT がありました。ここでは詳しく説明しません。しかし、AutoGPT を使用すると、かなりすごいことができるようになります。ChatGPT を少し操作するだけで、キーロガーと Python を書くためのコード スニペットがいくつか得られます。
そして、もしあなたがスクリプト キディ、つまりコーディング経験があまりない人であれば、トム、それは基本的にあなたにそのすべての情報を手取り足取り教えるようなものです。現在、ChatGPT ではバグのあるコードが生成される可能性があると不満を言う人もいます。さて、 AutoGPT は実際にこれらの問題を検出し、自動的に修正することができます。現時点ではすべて GitHub にあります。そして、人々は回帰テストなどさまざまなことを行っています。
しかし、それは脅威の状況に影響を及ぼすでしょうか?絶対に悪質な行為者がこれを使い始めるでしょう。つまり、考えてみてください。ターゲットに関する偵察情報を共有すれば、それを共有し、これらのタイプのツールで簡単に検索できるようになります。マルウェア技術、コーディング技術など、悪意のある目的で使用されるものはすべてアクセス可能です。
ChatGPTについて学び続ける
これらはウェビナーのハイライトの一部であり、重要な洞察を提供するために要約されています。さらに詳しく知りたい場合は、 「Data Breach Today」のウェビナー全編をご覧ください。デイビッドがこれらの質問やその他の質問にどのように答えるか聞いてください。
- 善良な行為者と悪質な行為者の両方にとって、どのような影響があるのでしょうか?
- これにより、企業が求める従業員のスキルセットは変化するのでしょうか?
- 生成 AI に関するポリシー、あるいは全面的な禁止を設けるべきでしょうか?
- ChatGPTについて子どもたちに何を伝えればよいでしょうか?
- これは本当に AI の応用なのでしょうか、それとも機械学習なのでしょうか?
- これはどこで終わりますか?もっと遠い未来には何があるのでしょうか?
Transmit Security が AI と ML をどのように活用しているか
Transmit Security は常に AI と機械学習の最先端に立ち、それをサイバーセキュリティと ID ソリューションに組み込んでいます。私たちは生成 AI についても同様の取り組みを行っており、近々発表する予定です。当社では、あらゆる可能な方法で、アイデンティティおよび不正防止サービスの中核にインテリジェンスと自動化を組み込んでいます。Transmit Security Research Lab は脅威の状況を詳細に研究し、脅威インテリジェンスを継続的にアルゴリズムに提供して、最新の脅威パターンを検出します。
AI と機械学習 (ML) は、次のような当社の顧客 ID およびアクセス管理 (CIAM) サービスに不可欠です。
- AI と ML ベースの不正検出:手動で管理されるルールベースの不正防止ツールを、次世代の AI-ML ネイティブ ツール セットに置き換えます。AI と ML を活用したデバイス フィンガープリンティング、高度なボット検出、不正防止により、より多くの攻撃、さらには AI-ML の脅威をより高い精度で検出します。
- AI ベースの行動バイオメトリクス: 不正行為を 98% 削減することが実証されている行動バイオメトリクスは、アクティブ セッションでのユーザーの行動を調べて、それがユーザーの典型的な行動と一致しているかどうかを評価します。アクティビティは最新の脅威インテリジェンスとも比較されます。標準から外れたシグナルはすべて、総合的なリスク分析の一環として評価されます。
- AI-ML フィッシング耐性認証:フィッシング不可能な認証情報により、ChatGPT のような (AI-ML) フィッシングやソーシャル エンジニアリングのリスクを最小限に抑え、最も一般的な攻撃手口から顧客アカウントを保護します。
- AI ベースのドキュメント検証: 10,000 件のグローバル ドキュメントとデータ検証をサポートし、偽造 ID や盗難 ID を検査して識別します。
当社の開発者は AI を活用しながら、不正行為やリスクの検出を改善するための問題を継続的に解決しています。最近のブログ「説明可能なAIとSHAP値によるAIのブラックボックス問題の解決」では、 不正行為検出における重要な課題をどのように克服したかを説明します。当社のソリューションは、複雑なリスク パターンが発生したときにチームが迅速に検出し、完全な透明性をもって推奨事項を返すことができるように設計されています。
Transmit Security Detection and Response Service がAI と ML をどのように活用しているかを確認し、生成 AI によって将来がどうなるかを想像してみましょう。すぐに、私たちは何が可能かをお見せし始めます。