ChatGPTと呼ばれるチャットボットを2022年11月30日、人工知能に関する非営利団体OpenAI Inc.が公開した。*1
このチャットボットはAIによってリアルな会話を生成し、従来までのAIよりも一層自然な人間との対話を実現可能にした。リアルな会話と言っても単に気の利いたセリフを吐くだけでなく、利用者からの要求に応じて技術論文や科学的概念の要約、詩や歌詞の創作から、初歩的な財務分析や基本的なソフトウェアコードまで書いてくれる。なんと公開から最初の五日間で100万人が利用し、2022年も押し迫る季節に世界中で大きな注目を集めた。
ニューヨーク大学コンピューターサイエンス・エンジニアリング学部のBrendan Dolan-Gavitt助教授は、このチャットボットに悪意のあるコードを書かせることができるのかという疑問を感じ、その試みをソーシャルメディア上で公開している。*2そこではなんとチャットボットが、提示されたコードからセキュリティ上の欠陥である脆弱性を正しく認識し、更にその脆弱性を悪用するためのコードまでも書き出してしまっている。
近い将来において、AIが発見した脆弱性を狙うサイバー攻撃と、AIが発見した脆弱性を防御するサイバーセキュリティとの攻防が繰り広げられることだろう。はたしてサイバーリスクは増大するのだろうか。それとも、軽減するのだろうか。
サイバーリスクをAIによって軽減できるのか考えてみるために、筆者はAIについてAIに尋ねてみることにした。
尚、ChatGPTでは日本語での会話も可能であるが、裏付ける仕様は公表されていないものの言語ごとに回答の精度に差異があるとする見解もある。そのため、今回は英語で尋ねている。そして、英語で得た回答を基に意訳や要約も含む形でその見解をまとめた。
まず、サイバーリスクをAIによって軽減できた、AIの有効性を知ることのできる事例を紹介してほしいと尋ねてみたところ、企業名は匿名としながらも3つの事例を提示してくれた。
オーストラリアの企業では、AIを活用したサイバーセキュリティによってランサムウェア攻撃から身を守ることに成功した。攻撃者の攻撃パターンを機械学習で分析して、ランサムウェア攻撃の兆候を検知し、被害が発生する前にブロックすることに成功したそうだ。
スペインの企業では、顧客データを持ち出そうとしている攻撃者の特定にAIが貢献したとのことである。また、米国の企業では、悪意のあるメールが受信箱に届く前にAIが検知してブロックしているそうだ。
AIは学習を繰り返すことで、いつもとは異なる行動や動作を検知するために有効であることが垣間見える。
では、AIがどのようにしてランサムウェア攻撃の兆候を検知しているのかを尋ねてみた。
それは様々な方法を複合的に行なっているが、例えば、メールの内容を分析したり、悪意のあるコードが含まれているファイルをスキャンしたりしている。また、疑わしい行動がないかネットワークアクティビティを監視したり、機械学習を用いることで攻撃が進行していることを示すパターンを特定したりもしている。更に、AIはログをスキャンすることで異常な動作や、疑わしい動作の検出も試みている。
ちなみに、異常な動作や、不審な動作が行われている可能性がある時のログには、大量のデータ転送、予期せぬ発信元から発信されているアクティビティ、サーバへのリクエスト数の急増といったことが現れてくる。異常や不審な動作を見つけ出すことはAIの得意領域であるため、サイバーリスクをAIによって軽減するための有効な活用法の一つである。
さて、AIといえど全ての環境で万能に活躍できるばかりではない。
一般的にAIが正確にパターンを識別し、正常な活動と悪意のある活動を区別する方法を学習するためには、大量のデータが必要となる。ただし、必要なデータの正確な量は、タスクの複雑さや特定のアプリケーション、環境によっても異なる。前述したオーストラリアの企業においても正確なユーザ数は公表されていないが、AIを活用するのに十分な多数のユーザがいたものと思われるとチャットボットも述べている。では、AIを用いたサイバーセキュリティは、大規模組織でしか有効でないのだろうか。
必ずしもそうとは言い切れない。
小規模組織の場合、業務のパターンも限定されることでそれほど多くのデータを必要とせずにパターンを識別できる可能性もあるし、類似の業種や業態で学習した既存のデータセットを活用することができる場合もあり、小規模組織でもAIを何らかの方法で有効に使えることもある。
そのように考えると、悪意ある者のほうがまだAIを有効に活用できるのかもしれない。
IPA(情報処理推進機構)の情報セキュリティ10大脅威*3やOWASPトップ10*4などで示されているように、多くのサイバー攻撃で狙われる場所や手法は共通点が多い。そして、共通点を抱えた企業や組織はたくさんいる。すなわち、悪意ある者は特定の場所を狙ったり手法を用いて多数の企業や組織を標的とするが、そのような場合にこそAIが有効に活用できるのではないだろうか。
AIを活用したサイバーセキュリティは、異常や不審な動きを迅速かつ正確に検知し、悪意のある攻撃を防ぐ。そして、潜在的な脆弱性を特定し、面倒なセキュリティタスクを自動化するためにも活用できるだろう。
同時に、AIは現在も進化の途上であり、解決しなくてはならない課題もある。例えば、安全なデータ保存方法の開発、AIモデルの精度向上、動的環境に迅速に適応できるAIアルゴリズムの開発などが挙げられ、AI技術の法的、倫理的、プライバシー的な面からの検討も必要である。
またAIの活用においては、AIシステムそのものが最新のセキュリティパッチとデータセットで定期的に更新されていることを確認する必要もあり、AIの適切な設定と活用を支援するための専門家による助けも必要となるかもしれない。
もしこれからAIを活用したサイバーセキュリティの導入を検討されるのであれば、今一度、現状のセキュリティ体制を評価し、弱点を特定することも必要だ。そして、どのような種類のAIベースのソリューションがその対策に最も適しているかを判断する。
また、AIが検知した異常や不審な動きなど、潜在的な問題に対処するための明確なポリシーと手順も作成しておかなくてはならない。当然、AIを長期にわたって活用するために保守・運用するための計画も立てる必要がある。
AIが2030年までに世界経済に対して15.7兆ドルもの貢献をするといった調査報告*5もあるが、サイバーリスクとAIとの関係はおそらく期待できるものとなるのではないだろうか。
*1 OpenAI - ChatGPT: Optimizing Language Models for Dialogue
*2 Twitter - Brendan Dolan-Gavitt
*3 IPA - 情報セキュリティ10大脅威 2022
*4 OWASP Top Ten
*5 Sizing the prize: What’s the real value of AI for your business and how can you capitalise
英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。