大手サイバーセキュリティー企業1Password(ワンパスワード)は、Black Hatコンファレンスでパネルディスカッションを主催し、企業セキュリティーへの潜在的な脅威として台頭するAIエージェントに焦点を当てた。さまざまな組織のトップセキュリティー専門家が参加したパネルディスカッションでは、AIの急速な導入と、それに伴う機会とリスクの増大が強調された。
パネリストたちは、AIの文脈においてゼロトラスト原則へのアップグレードの必要性を踏まえて、全てのアクセス要求を検証し、権限を最小限に抑え、継続的な検証を行うゼロトラストは、AIに対応するために進化する必要があると指摘した。これは、AIが人間以外のIDを導入し、AIエージェントやツールへのアクセス制御の拡張が必要になるためだ。
パネルディスカッションでは、サイバー犯罪者がAIを活用する上でますます創造性を高めていることについても議論された。攻撃者がAIを活用して窃取データの分析を加速し、身代金要求を微調整している事例や、メッセージサービスやメールを介した大規模な攻撃活動において、人間のサイバー犯罪者をAIボットに置き換えている事例などが紹介された。パネリストは、AIによって攻撃者の参入障壁が低下し、攻撃活動の迅速化と詐欺行為の高度化につながっていると指摘した。
議論のもう一つの重要なポイントは、シャドーAIとガバナンスのギャップの問題だった。パネリストは、多くの最高情報セキュリティー責任者(CISO)が、組織におけるAIの活用状況を把握できていないことを指摘した。セキュリティーリーダーの半数以上が、AIツールとエージェントの26%から50%が管理されていないと推定しているという調査結果を引用した。パネリストは、組織に対し、まずインベントリーと可視化を行い、次に明確なガバナンスルールを導入して、AIの不正使用が発覚した場合に迅速に対応できるよう助言した。
パネリストたちは、AIの需要がセキュリティー対策のペースを上回っていることにも警鐘を鳴らした。AIのセキュリティー確保は過去の新興技術と共通点があるものの、AIを開発する人々が変化しているため、ビジネス目標と安全な導入のギャップが拡大していると指摘した。パネリストたちは、AIの取り扱い方を明確にするために、机上演習を実施することを推奨した。具体的には、セキュリティー対策としてシャドーAIを遮断する必要があるシナリオも含まれる。
パネリストたちは、AIがスーパーパワーにも、そして同時に負担にもなり得ることを強調した。AIは自動化、スピード、効率性を向上させる革新的なツールである一方で、厳格な管理がなければ機密データを漏洩させ、新たな攻撃対象領域を生み出す可能性もあると指摘した。また、セキュリティーとユーザービリティを両立させる必要性を強調し、エージェント間セキュリティー標準、フェデレーションIDモデル、そしてデジタルウォレット概念のAIへの拡張の可能性について楽観的な見方が示された。
出典:1Password
この製品の詳細については、1Password製品ページをご覧ください。
