Cover Image

AI とアプリケーションセキュリティ: 時間の節約と信頼の問題

2024/6/11 - 読み終える時間: ~1 分

AI and Application Security: Time Savings and Trust Issues の翻訳版です。


AI とアプリケーションセキュリティ: 時間の節約と信頼の問題

2024年6月10日

著者: Adam Cave / Product Marketing Manager, HCL AppScan

人工知能 (AI) は、1980 年代の SF 映画「ターミネーター」や「2001 年宇宙の旅」での描写から、ChatGPT などの日常生活で遭遇する実用的なツールへと移行し、至る所で話題になっています。しかし、AI を取り巻く興奮のなか、その機能と限界について誤解が広がっています。

これは、開発者向けのコードの作成と評価を行う AI ツールがますます増えているアプリケーション セキュリティの領域で特に顕著です。このコンテキストで AI の出力を信頼するための基準を確立し、人間の介入が依然として必要な領域を特定することが不可欠です。

これらのトピックは、SDTimes の最近の David Rubinstein の記事「AI をめぐる誇大宣伝から現実を見極める (Discerning reality from the hype around AI)」で詳しく取り上げられています。Rubinstein は、HCLSoftware のアプリケーション セキュリティの専門家 3 名にインタビューし、AI が安全なコーディングに役立つことの現実をより深く理解し、AI の使用に対する HCLSoftware の革新的なアプローチについても学びます。

HCLSoftware の主任認知研究者である Kristofer Duer 氏は次のように述べています。「[AI] にはまだ識別力がありません... 得意とするのはパターン マッチングです。データの集合から共通点を見つけ出すことができます」。組織は、生成 AI と大規模言語モデルを使用してパターンをマッチングし、大量のデータを人間が簡単に利用できるようにしています。たとえば、ChatGPT は、コードの作成と、レビュー用に渡されたコードのセキュリティ問題の特定の両方に使用できるようになりました。

AI の信頼をナビゲート: 信頼のジレンマ

人工知能 (AI) の領域では、信頼が最も重要です。しかし、AI が問題の特定に優れているため、大きな懸念が生じます。AI が間違いを犯したとき、それは揺るぎない自信を持って犯します。Duer 氏が繰り返し述べているように、「... ChatGPT が間違っているとき、それは間違っていることに自信を持っています。」そのため、開発者による生成 AI への過度の依存は、HCLSoftware の HCL AppScan CTO である Colin Bell にとって大きな懸念事項です。Meta の Code Llama や Google の Copilot などのソフトウェアを使用してアプリケーションを開発する開発者が増えるにつれて、そのコードが安全であると信頼できるかどうかを誰も尋ねることなく、指数関数的に多くのコードが作成されるようになっています。Bell 氏は、「... AI によって、生成されるコードが増えるため、アプリケーション セキュリティの作業が増える可能性があります」と警告しています。

インタビューを受けた全員が、ソフトウェア開発ライフサイクル全体を通じて人間がコードを監査する必要性が依然としてあることに同意しました。AI はコードの作成を支援できますが、セキュリティにおける AI の最も効果的な用途の 1 つは、人間のセキュリティ専門家が時間と注意を集中すべきコードの場所を指摘することです。この支援により、時間とリソースを大幅に節約できます。

AI と HCL AppScan

HCLSoftware が HCL AppScan ポートフォリオで使用する 2 つの AI プロセスは、この目標を念頭に置いて長年にわたって開発されました。インテリジェント検出分析 (IFA) は、ユーザーに提示される検出の量を制限するために使用されます。インテリジェント コード分析 (ICA) は、メソッドまたは API のセキュリティ情報が何であるかをユーザーが判断するのに役立ちます。

たとえば、IFA は、セキュリティ専門家と同じ基準で AppSec スキャン結果を確認し、人間のテスターが退屈だと感じる結果 (アプリケーションに対する実際のリスクを表していない結果) を無視するようにトレーニングされています。このようにして、AI によって検出結果の数が自動的に大幅に削減されるため、人間は最も重要な脆弱性のみをトリアージすることに集中できます。Duer 氏は、「[IFA] は、実際の人間の作業時間を大幅に節約します。当社の有名な例の 1 つでは、400,000 件を超える検出結果を伴う評価を、人間が確認する必要がある約 400 件にまで削減しました」と述べています。

自動修復: 究極の目標

自動修復と呼ばれる、コードの脆弱性を修正するために AI を使用するという大きな進歩も遂げられています。 HCLSoftware のカスタマー エクスペリエンス エグゼクティブである Rob Cuddy 氏は、このテクノロジーがもたらす可能性に期待を寄せていますが、同僚のより広範な信頼の問題を反映した責任に関する懸念を表明しています。「たとえば、自動修復ベンダーで、修正プログラムや推奨事項を提供しているとします。誰かがそれをコードに採用し、侵害されたとします。誰の責任でしょうか?」

AI と信頼に関するこの会話の多くは、組織がアプリケーション セキュリティ ポスチャ管理 (ASPM) に向けて行っているより広範な方向転換を反映しています。ASPM の鍵となるのは、ソフトウェア ランドスケープ全体でリスクを最も効果的に管理する方法です。AI の将来の実装は、効率と信頼のバランスを取り、このリスク管理モデルにすべてうまく適合させることによって形作られます。

記事の全文はこちらでお読みください。

HCL AppScan ソリューションで現在利用可能な AI および機械学習機能の詳細については、HCL AppScan の製品ページにアクセスしてください。

このブログについて

HCL Japan の Software 部門の複数担当者で HCL Software 全般について記しています。

Tags

Academy Accelerate Accelerator Actian Ambassador AoC AppDev Pack AppScan ASoC BigFix BigFix Workspace CAA Clara Client Applicatin Access Cloud Native Commerce Common Local License Server Compass Connections Connnections CVE-2021-44228 DevOpes Velocity DevOps DevOps Code ClearCase DevOps Code RealTime DevOps Deploy DevOps.Launch.AppScan DevOps Model RealTim DevOps Model RealTime DevOps Plan DevOps Test DevOps Velocity Digital Experience Discover Domino Domino Leap Domino Volt Domino管理者アップデート認定試験対策 DQL DRYiCE DX Enterprise Integrator event General HCAA HCL Ambassador HCL Ambassadors HCL Domino REST API HCL OneTest Embedded HCL Z and I Emulator HCL Z and I Emulator for Transformation HCLSoftware U Hero history HTMO iControl iNotes IZSAM KEEP Launch Launch.DevOps Leap Link MarvelClient nds2019 ndv12beta Noets/Domino Nomad Nomad Mobile Nomad Web notes Notes/Domino notes-domino-9-10-limited-supportability-as-of-202204 Notes/Domino V12 Notes/Domion notescons Now OneDB OneTest OnTime REST RTist SafeLinx Sametime SoFy Total Experience Traveler Traveler for Microsoft Outlook Unica Unica Discover Unica Interact UrbanCode Deploy UrbanCode Velocity Velocity Verse VersionVault Volt Volt MX Volt MX Go Volt MX サンプルアプリ Wordload Automation Workload Automation youtube Z Z Abend Investigator Z and I Emulator Z and I Emulator for Transformation Z and I Emulator for Web Z and I Emulator for Web Client Z Asset Optimizer Z Data Tools Z Software Asset Manager ZAI ZAO ZIE ZIE for Transformation ZIE for Web ZIE for Windows ZIET ZIETrans ZIEWeb イベント ガイド クラウド サポート サポート技術情報 サポート終了 セキュリティ セキュリティー セキュリティー脆弱性 テクてく Lotus 技術者夜会 ニュース ノーツコンソーシアム パートナー ライセンス 九州地区 Notes パートナー会 出荷日 研修