𝗧𝗵𝗲 𝗔𝗳𝘁𝗲𝗿𝗺𝗮𝗿𝗸𝗲𝘁 𝗗𝗶𝗮𝗴𝗻𝗼𝘀𝗶𝘀

ジェン・イースタリー(Jen Easterly)は最近、サイバーセキュリティに関する鋭い診断を下しました。彼女は、私たちが抱えているのはサイバーセキュリティの問題ではなく、ソフトウェアの品質の問題であると述べました。

私たちは、本来存在すべきではなかった欠陥を修正するために、数十年の歳月をかけて一つの産業を築き上げてきました。

目標は、セキュリティをアップストリーム(上流)へ移行させることです。最初からコードにセキュリティを組み込まなければなりません。後から継ぎ足す(bolt it on)べきではないのです。

彼女の診断は正しい。しかし、その処方箋は間違っています。

AnthropicのProject Glasswingのようなツールは、脆弱性を見つけ出し、その修正を支援します。これはより速く、より安価で、より優れた方法です。

しかし、それは依然としてアフターマーケット(事後対応)のソリューションに過ぎません。

バグを見つけるのが速くなったとしても、それは依然として「バグを見つけている」ことに変わりありません。修正が安くなったとしても、それは依然として「修正している」のです。脆弱性は依然として存在しています。それは作成され、デプロイされ、その後にAIが見つけたに過ぎないのです。

それはアフターマーケットの終焉ではありません。単に、より高速なアフターマーケットになっただけなのです。

真のアップストリーム・セキュリティは、決定論的な(deterministic)ルールを使用します。確率論的な(probabilistic)モデルは使いません。

本物のアップストリーム・セキュリティとは、次のようなものです:

• コードが書かれる前に、人間が「何が真実であるべきか」を宣言する。 • マシンが、その宣言に照らしてすべての変更を検証する。 • システムは、ルールに違反するものをすべて拒否する。

これは航空業界や原子力発電所が機能している仕組みと同じです。パイロットは飛行後にミスを見つけるのではありません。フライトコンピュータが、飛行中に安全でない状態になるのを防ぐのです。

ソフトウェアにおいても、同じことをすべきです。

もし脆弱性が予測可能であるならば、それを宣言すべきです。

• パブリックなS3バケットを許可しない。 • 未認証のAPIリクエストを許可しない。 • 依存関係における既知の重大な欠陥を許可しない。

これらのルールを宣言すれば、脆弱性はそもそも存在しなくなります。それを見つける必要も、パッチを当てる必要も、検知するためにAIに資金を投じる必要もありません。

AIは、未知の新しいパターンを見つけるのには非常に優れています。しかし、既知の設定ミスをチェックするためにAIを使うのは、道具の使い分けを間違えています。それは、温度計があるのに詩を使って温度を測ろうとするようなものです。温度計は正確ですが、詩は単なる意見に過ぎません。

AIを活用する最善の方法は、「ラチェット(逆転防止装置)」として使うことです:

  1. AIが新しいタイプの脆弱性を見つける。
  2. 人間がその発見内容をレビューする。
  3. 人間が、その種類のミスを永久に防ぐための新しいルールを作成する。
  4. マシンがそのルールを自動的に適用する。

これにより、AIの仕事は日々小さくなっていきます。

私たちに必要なのは、特効薬(シルバーブレット)ではありません。宣言、検証、そして発見のシステムなのです。

Source: https://dev.to/bala_paranj_059d338e44e7e/the-aftermarket-she-diagnosed-is-the-aftermarket-she-prescribed-33bf

Optional learning community: https://t.me/GyaanSetuAi