𝗧𝗵𝗲 𝗔𝗳𝘁𝗲𝗿𝗺𝗮𝗿𝗸𝗲𝘁 𝗗𝗶𝗮𝗴𝗻𝗼𝘀𝗶𝘀
ジェン・イースタリー(Jen Easterly)は最近、サイバーセキュリティに関する鋭い診断を下しました。彼女は、私たちが抱えているのはサイバーセキュリティの問題ではなく、ソフトウェアの品質の問題であると述べました。
私たちは、本来存在すべきではなかった欠陥を修正するために、数十年の歳月をかけて一つの産業を築き上げてきました。
目標は、セキュリティをアップストリーム(上流)へ移行させることです。最初からコードにセキュリティを組み込まなければなりません。後から継ぎ足す(bolt it on)べきではないのです。
彼女の診断は正しい。しかし、その処方箋は間違っています。
AnthropicのProject Glasswingのようなツールは、脆弱性を見つけ出し、その修正を支援します。これはより速く、より安価で、より優れた方法です。
しかし、それは依然としてアフターマーケット(事後対応)のソリューションに過ぎません。
バグを見つけるのが速くなったとしても、それは依然として「バグを見つけている」ことに変わりありません。修正が安くなったとしても、それは依然として「修正している」のです。脆弱性は依然として存在しています。それは作成され、デプロイされ、その後にAIが見つけたに過ぎないのです。
それはアフターマーケットの終焉ではありません。単に、より高速なアフターマーケットになっただけなのです。
真のアップストリーム・セキュリティは、決定論的な(deterministic)ルールを使用します。確率論的な(probabilistic)モデルは使いません。
本物のアップストリーム・セキュリティとは、次のようなものです:
• コードが書かれる前に、人間が「何が真実であるべきか」を宣言する。 • マシンが、その宣言に照らしてすべての変更を検証する。 • システムは、ルールに違反するものをすべて拒否する。
これは航空業界や原子力発電所が機能している仕組みと同じです。パイロットは飛行後にミスを見つけるのではありません。フライトコンピュータが、飛行中に安全でない状態になるのを防ぐのです。
ソフトウェアにおいても、同じことをすべきです。
もし脆弱性が予測可能であるならば、それを宣言すべきです。
• パブリックなS3バケットを許可しない。 • 未認証のAPIリクエストを許可しない。 • 依存関係における既知の重大な欠陥を許可しない。
これらのルールを宣言すれば、脆弱性はそもそも存在しなくなります。それを見つける必要も、パッチを当てる必要も、検知するためにAIに資金を投じる必要もありません。
AIは、未知の新しいパターンを見つけるのには非常に優れています。しかし、既知の設定ミスをチェックするためにAIを使うのは、道具の使い分けを間違えています。それは、温度計があるのに詩を使って温度を測ろうとするようなものです。温度計は正確ですが、詩は単なる意見に過ぎません。
AIを活用する最善の方法は、「ラチェット(逆転防止装置)」として使うことです:
- AIが新しいタイプの脆弱性を見つける。
- 人間がその発見内容をレビューする。
- 人間が、その種類のミスを永久に防ぐための新しいルールを作成する。
- マシンがそのルールを自動的に適用する。
これにより、AIの仕事は日々小さくなっていきます。
私たちに必要なのは、特効薬(シルバーブレット)ではありません。宣言、検証、そして発見のシステムなのです。
Optional learning community: https://t.me/GyaanSetuAi