IBMとRed Hatが発表した「Project Lightwell」を中心に、AI時代におけるオープンソースセキュリティの転換点を議論する。50億ドルを投じてAI拡張エンジニアを配備し、膨大な言語ライブラリの脆弱性を迅速に修正する試みが解説される。また、AIコーディングエージェントを標的にして自身の指示ファイルを上書きさせる新しい攻撃手法「Simjack」の脅威と、それに対抗する「人間の介入(human in the loop)」やガードレールの重要性を検証。さらに、Layer Xによる2026年最新のAI利用報告書をもとに、企業内におけるパワーユーザーの特性や、AIエージェントがもたらす複雑なセキュリティリスクへの適応策について専門家が深く掘り下げていく。
オープンソースセキュリティの新時代とProject Lightwell
パネリストの皆さん、オープンソースのセキュリティに関して、今一番懸念していることは何ですか。
メンテナーの燃え尽き症候群ですね。
コードではなく、モデルを信頼することです。
一部のプロジェクトでは、パートタイムで働くメンテナーがゼロか一人しかいません。その一方で、より多くのリソースを持っているプロジェクトもあります。そのため、自分が何を手に入れているのか分からないという、玉石混交の状態になっています。
みなさんこんにちは、セキュリティインテリジェンスへようこそ。これはIBMが毎週お届けするサイバーセキュリティのポッドキャストで、専門家パネリストが業界の最大のニュースを実用的な教訓に変えて、みなさんにお届けしています。司会のマット・カジンスキーです。今週は、IBMコンサルティングのグローバルサイバー脅威管理担当シニアパートナー兼副社長のデイブ・マキニスと、番組初登場の二人のゲストを迎えています。X-Force脅威インテリジェンスのダークウェブアナリストであるソフィー・カニンガムと、Red HatのグローバルフィールドCTOであるブレント・ホルデッドです。今回は、AIコーディングエージェントを標的にした新しい攻撃手法であるSimjackや、Layer XによるAI利用報告書についてお話しします。ですがその前に、IBMとRed HatがProject Lightwellを発表したことを受けて、オープンソースのセキュリティについてさらに深く掘り下げていきましょう。
これはIBMとRed Hatによる50億ドルのコミットメントであり、信頼できる企業向けのクリアリングハウスと、2万人のAI拡張エンジニアからなるチームを設立することで、オープンソースエコシステム全体のセキュリティ姿勢を高めることを目指しています。これにより、脆弱性の報告と解決、検証済みパッチの適用、そして上流のディスクロージャーの調整プロセスを合理化します。ブレント、あなたはRed Hatからの初めてのゲストですので、まずはあなたにお聞きしたいと思います。Lightwellについて少し教えていただけますか。ここでの思考プロセスがどのようなものなのか、解説をお願いします。私たちにどのような光を当ててくれるのでしょうか。
ええ、もちろんです、マット。番組に呼んでいただきありがとうございます。初のRed Hatゲストとして参加できて光栄です。最後にならないことを願っています。それが今日の目標ですね。どうなるか見てみましょう。Project Lightwellについてですが、まずはRed Hatが非常に得意としていることを要約してから、Project Lightwellについてお話ししたいと思います。
Red Hatが非常に得意としているのは、上流のオープンソースをそのまま受け取り、それを製品化プロセスに通して、最終的に顧客がデプロイし、信頼できるバイナリとして送り出すことです。顧客はそれが安定していることを知っており、午前3時であっても必要なときに頼りにできることを知っています。それがRed Hatの得意分野であり、Red Hatはそれを約1万5000のパッケージに対して行っています。現在、私たちが提供している3つの異なるプラットフォーム、Red Hat Enterprise Linux、OpenShift、そしてAnsible Automation Platformの間で、これらが私たちの3大プラットフォームですが、Project Lightwellの目標はそれを拡張することにあります。そして、どのように拡張するかというと、言語ライブラリへの対応です。Java、Python、Node.js、さらにはGoなどで開発者が使用し、活用している小さなライブラリを想像してみてください。
私がよく使う大好きな例はlog4jです。誰もがlog4jの名前を聞いたことがあると思います。おそらく正しい理由ではないでしょうが、聞いたことはあるはずです。数年前に私たちが発見したように、ほぼすべてのJava開発者がこれを使用しており、その機能はアプリケーションの実行に不可欠です。それが必要なのです。そして問題は、これらのオープンソースライブラリにセキュリティの脆弱性が時折発見されることです。
そして、Mythosによって私たちが発見したのは、個々のライブラリ内に脆弱性があるだけでなく、時には深刻度の低い脆弱性を持つこれらのライブラリを連鎖させてエクスプロイトとして使用し、ルート権限へのリモートアクセスを得たり、顧客データへのアクセスを得たり、あるいはその両方を行ったりできるということです。Project Lightwellは、オープンソースに対するRed Hatの製品化モデルを適用して提供するために設計されたプロジェクトですが、もはや1万5000のパッケージのためだけに提供するわけではありません。言語ライブラリのエコシステム内にある約150万のパッケージに対して提供するのです。そのため、Red Hatにとっては巨大な取り組みとなります。
顧客がどれほど多くのパッケージをデプロイしているかを考えてみてください。私が見てきた顧客は、ライブラリや個々のバージョンを含めると、大規模な金融機関の顧客などでは60万から100万をはるかに超える数をデプロイしていることもあります。ですから、Red Hatが現在本当に焦点を当てているのは、それらの言語ライブラリのソフトウェアサプライチェーンを安全にすることなのです。
なぜ今、オープンソースセキュリティの拡張なのか
なるほど。なぜ今なのか、ということについてもう少し詳しくお話しいただけますか。なぜ皆さんは、今が自分たちの管轄を拡大するための動きをすべき瞬間だと感じているのでしょうか。何が起きているから、そのように感じているのですか。
素晴らしい質問ですね。誰もがAIという言葉を聞いたことがあると思いますし、少なくとも私は最近その綴りを覚えたばかりです。AIがセキュリティに与える影響について言えば、いくつかのアスペクトがあります。先ほど、Mythosがこれらの深刻度の低い脆弱性を数珠つなぎにする能力を持っていると言いました。私たちは長い間、そのようなスキャナーを導入してきました。顧客がしていることは、上流からライブラリを取得し、通常はオンプレミスまたはサービスでホストしているアーティファクトリポジトリに入れ、開発者がそれを消費するという流れです。そしてスキャナーは通常、消費しているバージョンが安全であると見なされているかを確認するために、このアーティファクトリポジトリを指しています。
しかし私たちが発見したのは、それらのツールは見落としをするということです。ツール内には未公開の脆弱性が多数存在しています。先ほど言ったようにAIについてですが、社内で他の人と比較して話しているのは、AIがどんどん賢くなっているということです。私はチェスをプレイするのが大好きなのですが、チェスは私のお気に入りの趣味の一つです。初心者の場合、1手か2手先を考えます。中級者なら3手から5手先、グランドマスターなら15手から20手先を考えますが、AIは50手から60手先を考えることができます。ですから、AIが実行できることは人間にできることではありません。それらの脆弱性を連鎖させるという点で、モデルが達成できることは本当に信じられないほどです。
そのように考えると、セキュリティは劇的に変化しています。CVEが急速に増加するペースで発見されているだけでなく、ソフトウェアはもはや個々のCVEが単体で存在するものではないということにも気づき始めています。それは相互に作用し合うシステムなのです。そのため、特にアプリケーションレベルにおいては、セキュリティについて少し異なる考え方を始めなければなりません。そして、これらの議論の多くを牽引しているのは、まさにAIとその機能なのです。
まったくその通りですね。Mythosが物事を連鎖させることができるというアイデアを出してくれて嬉しいです。なぜなら、それはMythosの十八番というか、特徴のようになりつつあるからです。このような小さな脆弱性を新しい攻撃パターンへと連鎖させるのが本当に得意で、それは恐ろしいことです。しかし、ここにいるデイブは、オープンソースのセキュリティについて楽観的だと言っています。デイブ、あなたを議論に巻き込みたいと思います。それについてもう少し詳しく教えてください。Lightwellを踏まえて、オープンソースのセキュリティについてどのように感じていますか。ここでのあなたの見解はどうですか。
Lightwellの動きを見る必要があると思いますが、これは実に見事なオープンソースの王道です。他のすべてに対するRed Hatモデルそのものです。オープンソースを使用し、それを安全で信頼できるものにするための、これ以上の優れた例を見つけることはできないでしょう。ブレントが最初に話したように、そんなものは見つかりません。では、それを拡張することができれば、それが2万人と5億ドルの全体の希望であり目標なのですが、それは素晴らしいことですよね。
ですから、モデルを信頼することです。この場合、私はLLMのことを言っているのではなく、オープンソースという仕組みのモデルのことを言っています。つまり、それは非常に大きなことだと思います。なぜなら、私たちがこのことを話していて、フロンティアモデルができることについて話すとき、最初はMythosであり、それからGPT-5.5が来て、すべての公開モデルは大手のモデルから9ヶ月から12ヶ月遅れているわけです。私たちは数分ごとに新しい名前を思いつくことになるでしょう。
つまり、ハードルが下がったということです。神話的なハッカーである必要はありません。ハッカーの神話に飛びつくわけではありませんが、かつてはユニコーンのようなハッカーが繋ぎ合わせなければならなかったようなことを、ツールを使って行うために、そんなユニコーンである必要はなくなったのです。それほど多くの知識が世に出回っているということです。
では、最も簡単なターゲットはどこにあるのか探すことになります。なぜなら、ソースコードにアクセスする必要があるからです。オープンソースのコードがどこにあるかについては、たくさんの見当がつきますよね。ですから、私にとってこれは、業界が今まさに必要としているものそのものです。信頼できる調停が必要です。複数の目が必要です。ブレントとソフィーの意見に同意します。対応できる人は限られていますし、以前のポッドキャストでも話したように、AIはおそらくそれを助けてくれるでしょう。そういうものです。
しかし、これらは非常に理にかなった動きだと思います。もし自分のミドルウェアを信頼できず、オープンソースのコンポーネントも信頼できないとしたら、あなたは何を構築するつもりですか。自分のコードをすべて自分で書くのですか。そうなると、またAIに戻らなければなりません。なぜなら、私たちはもうコードを書いていないからです。AIがコードを書くのです。それが、私たちがこの混乱に陥った原因でもあります。
誰もスーパーハッカーのコードを書こうとして始めたわけではありません。優れたハッカーはバグを書きません。バグを見つけ、バグを修正します。私たちはバグを脆弱性と呼んでいるだけです。しかし、これは途方もないことだと思います。そして、誰が「ワオ、それはまさにそれだ」と言っているかを見ると、私たちが想像したくもないほどのお金を持っている人たち全員です。主要な銀行など、これらの一連の事柄に恐怖を感じている人たち全員が、完全にサポートし、賛同し、展開する準備ができています。
ですから、これは「ああ、この5週間、Mythosに殺されるかもしれないとか、GPT-5にやられるかもしれないとか、いや待てよ、DeepSeekは何をしたんだっけ?」といった状態が続いていた中での出来事の一つです。ただ神経を尖らせている状態で、毎日「おいおい、俺たちもそのツールを使えるんだぞ」と言ってくれるようなものに見えます。そして、それがこれらすべての事柄の中で私が最も気に入っている部分です。
AIによるエンジニアの拡張と開発の未来
いいですね。先ほどあなたが言及した、そしてブレントとソフィーも最初に触れていた、オープンソースを維持するための人間は限られているというアイデアが気に入っています。オープンソースの約束は、より多くの目がそれを見ているということですが、それらの目は限られています。ソフィー、その課題について少し話してもらうために、あなたをお呼びしたいと思います。デイブが最後に言ったように、AIはそれらの目が限られていても、より多くのことができるように支援してくれると思いますか。そのチャレンジについてのあなたの見解はどうですか。
Lightwellは私にとって本当にエキサイティングです。なぜなら、それは未開拓の市場だと思うからです。全般的に、私たちは開発の新しい時代に移行しつつあると思います。そこでは、AIのコード、人間のレビュー担当者、人間の編集、そしてLightwellのような自律的なエージェントシステムといった、ハイブリッドなAIコードがますます見られるようになるでしょう。ですから、私にとってそれは本当にエキサイティングなことです。
そして、脆弱性の連鎖についてここにいる誰もが言っているように、私にとってMythosはそれほど怖いものではありませんでした。私にとっては、私たちが通過しなければならない一つの段階のようなものでした。多くのパッチが必要になりますが、私たちはそれをパッチします。AIシステムを使い、それを修正し、そして最終的には、1日に100万個ものものにパッチを当てる必要がない安定した状態に到達するでしょう。
ですから、エキサイティングですし、本当に必要とされていることだと思います。なぜなら、オープンソースの展望において、ここ数ヶ月、サプライチェーンやGitHubリポジトリの脆弱性に関する記事を非常に多く目にしてきたからです。ですから、間違いなく必要とされています。ビジネスがこれに向けて投資していることは、何であれ本当に重要だと思います。
まったくその通りですね。Mythosを、私たちが通過しなければならなかった一つの段階として捉えるというアイデアは素晴らしいと思います。多くの意味で、これらの大規模なモデルのいくつかを段階として考えることは有用だと感じます。これが開発なのです。Mythosが登場して以来、この番組で人々が絶えず指摘してきたように、Mythosに似た他のモデルが登場し、他の人々がそれらの機能を持つようになるのは時間の問題でした。それは決して止まりません。流れ続け、進化し続けます。ですから、私たちも進化し続ける必要があります。
そして、皆さんは、現在のこの瞬間においてオープンソースのセキュリティを維持することに関して、なぜこの特定の進化が強力なものになり得るのかについて、非常に説得力のある議論をしてくれたと思います。Lightwellについては一日中話していられますが、皆さん、話を前に進めなければなりません。ですがその前に、YouTubeの視聴者やリスナーの皆さん、オープンソースのセキュリティやLightwellについて意見があれば、コメント欄に書き込んでください。私は読んで、返信し、そこにいます。私に話しかけてください。
新たな攻撃手法「Simjack」の脅威
では、次のニュースに進みましょう。ソフィーが本当に良い架け橋を作ってくれました。ソフィーは、AIがコードを書き、人間がそれをレビューするという、ハイブリッドな開発世界に私たちが足を踏み入れていると言及しました。そして、これはその状況を逆手に取るような攻撃戦術です。これがSimjackです。
Adversaの研究者が、ClickFixに似ていますが、AIコーディングエージェントを対象とした新しい攻撃手法を明らかにしました。その仕組みは、攻撃者がリポジトリを侵害するか、悪意のある指示ファイルを含む偽のリポジトリを仕込むというものです。そのファイルはコーディングエージェントに対し、ビデオファイルとされるものを無害なフォルダにコピーするよう指示します。しかし、コピー先のフォルダは実際にはエージェントの設定ファイルへと解決されるシンボリックリンクであり、そのビデオは実は別の設定ファイルなのです。
つまり、基本的に彼らがしているのは、エージェントをだまして自身の指示ファイルを上書きさせ、次回起動時に攻撃者のコードを実行し始めるようにすることです。人間の介入は、まさにこの種のことを見つけ出すためにあるはずです。しかし、Adversaが指摘しているように、コピー先とファイルがマスクされているため、人間がそのプロンプトを見て「このビデオファイルをこのフォルダにコピーしても大丈夫ですか」と尋ねられたとき、彼らは「ああ、大丈夫だ」と言うでしょう。なぜなら、それは無害だと思い込んでいるからです。そこで実際に何が起きているのかに気づかないのです。
デイブ、ここからはあなたから始めたいと思います。特に、これまで番組で人間の介入の重要性について多く語ってきた立場として、AIセキュリティの人間の介入の部分をショートサーキットし始めるような、このようなソーシャルエンジニアリング攻撃について心配していますか。ここでのあなたのお考えはどうですか。
私たちは、これまでずっと扱ってきたのと同じものを扱っているだけです。ですから、一度深く息を吸って落ち着きましょう。私たちはこれらの問題を解決する方法を知っています。これは、これまでに作られたすべてのフィッシング攻撃と同じです。その通りですよね。
確かに、魔法のように感じられるユニークなAI要素はありますが、そのほとんどはそうではありません。その大部分は、私たちが対処法を知っている事柄です。ただ、それらがあまりにも多く、あまりにも急速に押し寄せてくるというだけです。人間が完璧であると主張したことは一度もありません。実際、私たちが最も弱い環について話すとき、それは大抵人間です。
ですから、あなたがソフィーの言葉から汲み取ったのと同じこと、つまり私たちは一種の過渡期にいるのだという点がとても気に入っています。そして、過渡期に起こることは、振り子が一方の端からもう一方の端へと大きく振れるということです。「AIがすべてをやるようになるんだ」から「大変だ、すべてのことに人間が介入しなければならない」へと変わりました。
これは、私たちが回転しすぎている一例にすぎません。振り子が少し遠くまで振れすぎて、人間がチェックできるようになったのです。まあ、私はコードをエクスプロイトすることはできないかもしれませんが、デイブをエクスプロイトすることはできます。彼はそれほど難しくありません。彼は何でもクリックしてしまいますからね。私には何も送らないでください。
しかし、それが私たちがここで話していることです。ですから、私にとっては少し誇張がありすぎ、必要以上の心配がなされているように感じられました。私たちはこの種の攻撃を止める方法を知っています。それらは、風変わりで神話的なものではありません。違う名前で知られているか、あるいは隠されてやってくるかもしれませんが、これに目を通したとき、私は「ああ、そうだね、これはいたるところで起きていることだ。どんなことについても、このような記事を書くことができる」と思いました。AIが生成した攻撃など、皆さんが言うように、確かにそれは起こります。ですから、私にとってこれはあの振り子であり、本当に素晴らしい例えです。
振り子のバランスとエージェントへの信頼
振り子の例えは本当に好きですし、これは私たちがこの番組のために集まるたびに、より多く出てくるアイデアのようです。私たちが一種のバランスのポイントに達しつつあり、AIが最終的に、振り子が一方に振れ、他方に振れ、そしてついに中央のその溝に落ち着きつつあるのではないか、ということを人々が話しています。おそらくそうなっているのでしょう。
また、これに伴う一種のハイプについて指摘してくれたことも重要だと思います。AdversaがこれをすべてのLLMメーカーに報告したところ、彼らはほぼ満場一致で「彼らの懸念は理解できるが、これはソーシャルエンジニアリング攻撃だ。モデルの欠陥というわけではなく、どちらかといえばClickFixに近いものだ」という反応だったことは言及に値します。
ソフィー、あなたが頷いているのが見えます。あなたを議論に入れたいと思います。この攻撃手法について、本当に心配する必要があるものなのかどうか、あなたはどう考えますか。あなたはこの件についてどういう立場ですか。
そうですね、私の見解としては、私たちは常にすべてのことを心配していなければなりませんが、結局のところ、これは研究であり、現実的に私たちがほとんどの場合に目にするのは、低レベルの攻撃か、あるいは最悪の攻撃です。ですから、AIを抜きにしても、フィッシングの要素自体が懸念事項であり、私たちはそれにも対処していると思います。脅威アクターが、結果が得られると分かっていて、はるかに簡単に達成できる何かと比較して、必ずしもこのタイプの攻撃に飛びついているとは思いません。それが私の率直な感想でした。
しかし、お二人が言ったように、これは移行期であり、私たちはそれに対して身を守ることを学ばなければなりません。そして今のところ、これは移行期の一部であるため、私のシステムを実行させたり、メールを読ませたりするために、自律型AIを完全に信頼することには不安を感じます。本番データベースを削除してしまったというような話が聞こえてくるからです。
しかし、そのポイントに決して到達しないという意味ではありません。私たちは平準化しつつあり、日々良くなっていると思います。ですから、それが本当にシナジーとなるポイントに到達するのは、単に時間の問題だと思います。
2つのポイントがありますね。1つ目は、「常にすべてのことを心配していなければならない」という言葉が、この番組の新しいキャッチフレーズになるべきだということです。それを採用しましょう。
2つ目は、机の上ではこれが興味深い攻撃手法に見えるとしても、結局のところ、自分が攻撃者であれば、リポジトリを汚染しなければならないような手法よりも、はるかに少ない労力で同様のリターンを得ることができると指摘してくれた点が気に入っています。昔ながらのフィッシングメールを送るだけで済むかもしれません。デイブも言及したように、私たちはしばしば人間が最も弱い環であると話してきました。ですから、これらは巧妙な攻撃ではありますが、ハッカーが必ずしもそれを必要としているわけではありません。
ブレント、あなたをお呼びしたいと思います。ソフィーが、パイプラインにおけるエージェントの信頼性や、人間の監視がどの程度あるべきかという疑問について言及していました。その点について、Simjackのようなものが、CI/CDパイプラインにおいてエージェントがどこに位置するべきかを再考させるきっかけになるかどうかなど、何か考えはありますか。
その問題を解決するための、より簡単な方法があまりにもたくさんあるという意見には同意します。現時点では、その問題を解決するための非常に難しい方法のように思えます。しかし、誰にも分かりませんよね。どうなるかは分かりません。
一般的に、ほとんどの企業が求めているのは、そのような事態を防ぐためのガードレールだと思います。インプットとアウトプットの両方のガードレールです。Red Hatが今年初めにChatterboxというテクノロジーを買収した理由の一部もそこにあります。根本的に私たちが顧客に見ているのは、彼らがツール単体を信頼していないということです。彼らはツールの周りにいくつかのガードレールを設けて、信頼していない愚かなことをしないようにしたり、フォローアップしなければならないような決定やコミットメントをツールが下さないようにしたりする必要があります。
私が話をするほとんどのビジネスにとって、彼らのCIツールを見ることは一つの事柄であり、そこでの決定を信頼することです。彼らはまた、ウェブサイト上のチャットボットが、20ドルで車を売るような、後で実行しなければならないコミットメントをしないようにしたいと考えています。実際にそういうことが起きていますからね。
ですから、そのような懸念を聞くのは興味深いです。なぜなら、最終的にはロボットがロボットと会話し、ソフトウェアを作成し、すべての仕様がそこに入力されるというポイントに到達するからです。私たちは完全にそこへ到達するでしょう。
しかし、私が話をした最も洗練された企業の多くは、チェックポイントを設けているという意見に同意します。なぜなら、最終的に生成されるコードに対して人間に責任を負わせたいと考えているからです。たとえロボットがコードを生成し、それがどこかの時点でコードレビューを通過するとしても、その責任の追求に対して責任を負う人間が介在しなければなりません。
Amazonがこれを経験したと思います。彼らはAIによってプッシュされた変更セットを持っていましたが、それがアベイラビリティゾーン全体をダウンさせた後、すぐにポリシー変更を行いました。「おい、AIによる直接のコミットはもう禁止だ。人間がレビューしなければならない」と。ですから、ガードレールとしての人間の介入、それがガードレールの一つのタイプです。エージェントのためのガードレール。そのようなインジェクションのアカウントに対して確実に保護し、そこから出てくるものが信頼でき、期待する範囲内にあることを確認するのです。
プロセスとデータのガードレール、そして複雑性への適応
まったくその通りですね。ガードレールについて言及してくれて嬉しいです。今日のこのセグメントを締めくくるにあたり、Simjackのようなものを見たり、あるいは一般的なAIコーディングエージェントのセキュリティについて考えたりするとき、現在どのような強靭化のステップを考えているかという点に触れたいと思います。ブレント、あなたは人間のガードレールやエージェントの行動に関するガードレールについて非常にうまくカバーしてくれましたが、他に付け加えるべきことはありますか。デイブ、私たちのエージェントが望み通りに振る舞うようにするために、何か付け加えることはありますか。
私は、過渡期における振り子という表現を引き続き使い古していきたいと思います。気に入ったものを見つけると、ずっとそれにしがみついてしまうんですよね。
クライアントとこの件について多くの会話をしていますが、ほとんどの場合、「でも、その解決方法は知っているよね?」「でも、その解決方法は知っているよね?」という話になります。ですから、私たちが本当に注視したい2つの事柄は何でしょうか。
ブレント、あなたはそれを行うための技術的な方法について話したばかりですが、ビジネスプロセスにガードレールを設けたいわけです。それらは、企業がお金を稼ぐために、あるいは世界における彼らの明示された目的が何であれ、依存しているものです。彼らにはポイントAからポイントZまで実行する必要があるワークフローやプロセスがあり、それらは途中のどこでも中断され、カバーされる可能性があります。
もしそれを実行するためにエージェントを構築するのであれば、すべてのステップを監視できるはずです。以前にそれをやっていた人間を監視していたのと同じです。私はAI以前から、AIなしで自動化やオーケストレーションを構築してきました。ですから、問題の解決方法は知っています。ビジネスプロセスがその1つです。
そして2つ目は、セキュリティの実践者として人々が注目しているのが嬉しいのですが、ただデータを保護することです。データが信頼できないものだったり、利用できなかったり、あるいはランサムウェアにかけられたりしたら、何も機能しません。それが2つの事柄です。行動の対象となるものと、行動を起こすものです。
ですから、そのようなコントロールを導入し、それらを強化することは素晴らしいことです。複雑にする要因は、その複雑性自体にあります。私がここに座って「ああ、ガードレールを設けてデータを監視すればいいんだよ、何をやっているんだ?」と言うのは本当に簡単です。
しかし、振り返ってビジネスの成果やフローについて考え始めると、中小企業であっても、あらゆる種類の独自コードを持っています。あらゆる種類です。先週、かなり大規模なクライアントと一緒にいたのですが、彼らは見当もつかないのです。何をすべきかは分かっています。いつやるべきかも分かっていますが、それを2万回やらなければならないのです。2万回です。「ああ、そうだね」と言います。なぜなら、彼らは現在、ITとOTの世界に住んでいるからです。彼らのOTの世界では、何一つ互いに会話をしません。そのため、すべてが特注で育ってきており、2万というのは単なる推測にすぎません。彼らは自分たちが何を持っているのか本当に分かっていないのです。
ですから、私たちは何をすべきかを学ぶ必要はありません。必要とされる複雑さとスピードにどのように対処するかを考え出さなければならないのです。そして、私にとってそれがより難しい部分です。
しかし、私たちは何をすべきかを知っています。これは、「おい、こんなことが起きたぞ、それが何だか分からない」となるよりも、はるかに良い状態です。私たちはそれを監視できます。それに対して保護できます。これらすべてのことができます。ただ、私たちがシステムの中に構築してきた複雑性の量が、気の遠くなるようなものだというだけです。ですから、私たちがそれらをすべて書き直している間に、あるいはロボットがそれをやり始める間に、そのようなトラックやガードレールを導入し始めるには絶好の場所になるかもしれません。
企業におけるAI利用の実態とリスクの集中
そうですね、解決方法を知っているというアイデアは好きです。なぜなら、それは先週出てきたこと、私たちがセキュリティの、いわば永遠のサイクルについて話していたことを思い出させるからです。問題を解決すると新しい問題がポップアップしますが、それは古い問題によく似ています。今回は単に異なるテクノロジーであるというだけです。そして、ある特定の脆弱性のパターンがただ繰り返される、ということですね。
ですから、現在私たちはAIの世界でそれらに対処しており、あなたが言ったように、私たちは解決方法を知っています。ただそれに適応するだけのことです。
皆さん、今日の最後のニュースに進まなければなりません。これはAI利用報告書です。Layer X Securityが2026年版のAI利用実態報告書をリリースしました。これは、企業内で人々が実際にどのようにAIを使用しているかを見ており、セキュリティのプロが注目すべきいくつかの発見と影響があります。その中には、AIの利用とそれに伴うリスクが、企業全体に均等に広がっているわけではなく、スーパーユーザーのグループに集中しているという事実があります。
そして、AIが単に人々が会話するチャットボットを超えて進化しているという事実もあります。現在はブラウザの拡張機能に入り込んでおり、AIコネクターが成長し、いたるところに広がっています。利用は集中している一方で、その姿は断片化しているという、非常に興味深いダイナミクスがそこにあります。
ソフィー、深掘りしたい具体的な事柄に入る前に、まずはあなたから始めたいと思います。この報告書を見て、何か目についたものはありましたか。これを見たとき、どのようなことを考えましたか。
まず、統計はトリッキーなものです。マーク・トウェインがその引用で言っていたと思います。また、私たちは組織のタイプや規模、誰にインタビューしているのかも知りません。ですから、報告書を見るときはそれを念頭に置くようにしています。
私にとって最も興味深かった点は、やはりパワーユーザーの要素でした。報告書の中では、セキュリティガイドラインのためにそれらのユーザーに焦点を当てることを一種の推奨としていました。彼らの言い分は理解できますが、私は反対意見に同意するというか、むしろパワーユーザーではないユーザーの方が、より危険である場合が多いと考えています。
これを考えるとき、私はコマンドラインのことを思い浮かべます。脅威アクターがコマンドラインコードを送り、それを挿入させるという攻撃です。コマンドラインのパワーユーザーであれば、それに引っかかる可能性は低いと思いますが、たまにコマンドラインを使うような人々は、それを入力してしまう可能性が高いでしょう。ですから、パワーユーザーではないユーザーや通常のユーザーを完全に無視して、それに対する保護を怠りたくはありません。
しかし、ベースラインが必要であるという彼らの根本的な主張には同意します。自分の組織がどこにあるのかを理解し、それがどのようにAIを使用しているかを理解する必要があります。チャットボットに使用しているのか、あるいはエージェント構造に使用しているのかによって、異なる保護が存在するからです。そして、最善の保護方法を理解し、正しいポリシーを実装できるように、ベースラインを把握することです。
パワーユーザーのメンタリティとエージェントの管理
完全に同意しますし、ClickFixはここで本当に良い比較対象になると思います。あなたが言ったように、コマンドラインは、平均的なユーザーがそれに触れることは決してないため、利用が本当に集中しているものの素晴らしい例だと思います。そのため、彼らがClickFix攻撃のようなものに遭遇したとき、本当に比較するものが何もなく、それをそこに入力してしまい、あらゆる種類の問題を引き起こすことになります。ですから、報告書にあるいくつかの解釈とは異なる光をこれに当てることは、非常に正しいと思います。それはいいですね。
ブレント、この報告書を見てあなたはどうですか。何か引っかかるものはありましたか。あなたの注意を引いたものは何でしたか、そして何を考えていますか。
認めますが、私は今週、Project Lightwellで会社から大きな抱擁を受けているような状態です。そのため、そのことで頭がいっぱいです。
一般的に、私はソフィーに同意する傾向があります。つまり、パワーユーザーについてはそれほど心配していません。それは主に、そこにはマインドセットのシフトのようなものもあるからです。多くの顧客と話をして私が目にしてきたことをお話しすると、より初心者寄りの人々は、ウェブブラウザ(例えばGeminiなど)を通じて、あるいはクラウドコードやインタラクティブセッションを通じて直接やり取りしている人々です。それらの人々は、私が必ずしもパワーユーザーと見なすような人たちではありません。彼らはまだ直接的にやり取りしています。彼らは単に、タスクを加速するためにAIを使用する方法を見つけているだけかもしれません。
本当に強力に使いこなしている人々は、物事を異なる方法で考えている人たちです。異なる方法で考えている人たちというのは、AIを単なるコード補完のために使うのではなく、コードを書かせるだけでなく、タスクをAIに引き渡している人たちです。そして、AIが彼らのためにその事柄を行っています。
ですから、彼らは開発者として、かつては午前9時に出社し、午後5時に退社し、一日中コードを書き、プルリクエストをレビューしていた、それが自分の仕事だったと考えています。しかし今や、仕事はもはやコードを書くことではありません。コードを書いているシステムを管理することなのです。そして、AIの非常に洗練されたユーザーは、問題についてそのように考えています。オペレーターにとっても、彼らはもはやシステムを操作していません。システムを操作するシステムを操作しているのです。
ですから、一般的に言って、私はパワーユーザーについてはあまり心配していません。なぜなら、彼らはそのようなニュアンスやマインドセットのシフトを理解しているからです。むしろ、AIとよりインタラクティブに関わり、AIにやるべきことを無理に押し付けがちな人々こそが、セキュリティリスクに対してより脆弱な人たちです。
大抵の場合、私は人間をセキュリティにおける最も弱い環と見なしています。デイブが言ったことには完全に同意します。私が知っている人々、例えば私たちのチームでAIのパワーユーザーである一部の人たちについては、それほど心配していません。それよりも、Geminiとやり取りしていて、入力した何らかのプロンプトのせいで誤ってデータを削除してしまうかもしれないような人々の方を心配しています。ですから、私はどちらかというとそちらに傾く傾向があります。それが質問の正確な答えになっているかどうかは分かりませんが。
セキュリティの「変わらない本質」と人間への回帰
いいえ、完全にその答えになっています。なぜなら、今日の3つのニュースはすべて、AIとそれがどのように物事を変えているかに関わるものであり、この番組で話すことの多くはAIについてです。誰もがその話をしているからです。
しかし、すべてのセグメントで出てきたもう一つのこと、そしてこのエピソードのように番組でこれが自然発生的に起こるのが大好きなのですが、それは「AIのせいで、人々は依然として人間であり、彼らが物事を動かしているという事実から目をそらしてはならない」という繰り返されるテーマです。彼らがエージェントを使用し、エージェントを書いているのです。
ですから、私たちはそれを元に戻し、現実的に「オーケー、人々はどのようにAIを使用しているのか、そして彼らがそれをどのように使用しているかを踏まえると、ラボの中でできる綺麗事ではなく、現実世界で実際に何をも変えないかもしれないものではなく、実際の最も可能性の高い攻撃パターンはどのようなものに見えるのか」を考えているという点が気に入っています。
デイブ、番組の終了が近づいていますが、あなたをお呼びして締めくくりたいと思います。この報告書を見て、何か考えは浮かびましたか。AIの利用実態と、それが今日もたらすリスクについてのあなたの見解はどうですか。何かありますか。
重複するリスクを承知の上で言いますが、私は皆さんが言ったことに同意します。しかし、あなたが言ったような見方をすれば、「よし、AIを使用している人々を追いかけよう」ということになります。
しかし、それを特権ユーザーやスーパーユーザーへの比較として描くことはできません。特権ユーザーにはアクセス権があり、あなたが彼らにその権利を与えたのです。ですから、私たちはここに戻る必要があると思います。ここでの心配には2つのアプローチがあります。
1つは、Nemo Cloudのデモが素晴らしいと本気で思った人間のユーザー、あるいは、自分の人生を本当に素晴らしいものにしてくれたと感じて、ひどいプロンプトを書き、あまりにも多くの権限を与えてしまい、そこから問題が発生するというパターンです。現在、それを止めるためのコントロールが存在します。常にバランスが存在します。しかし、それは少し単純すぎると思います。皆さんが言ったように、「ただそれを使用している人々を追いかければいい」と言うのは簡単です。しかし、それがいつまで持ちますか。金曜日まででしょうか。つまり、AIは非常に速いスピードで採用されているため、その道を下っていくことは不可能なのです。
それが人間の側面であり、そして次には人間以外のすべてが存在します。人間ではないアイデンティティが存在します。私たちはそれらをエージェントと呼んでいます。それらは、不適切にプロンプトが与えられたり、適切にガードレールが設けられていなかったり、制御されていなかったり、どのような用語や環境を選んでも構いませんが、指示された仕事を遂行するために動き出します。そして、もし何かを行うように指示され、「それをしてはならないとは言われていない」となったら、その仕事を行ってしまいます。
ですから、それは皆さんがすでに言ったのと同じような事柄を、ただ異なる声を通してエコーしているだけかもしれません。しかし、私はそれが少し単純化しすぎていると思いますし、私はこれらすべての事柄においてポジティブな方である傾向がありますが、常にすべてのことを恐れていなければならない、という言葉は何でしたっけ。ありがとうございます。
常にすべてのことです。まさにその通りです。
ですから、私はそれを完全に一周させて戻すつもりです。ほら、皆さん、ここで聞いた通りです。すべてのことを常に恐れていなければなりません。
いえ、冗談です。ですが、今週のエピソードはこれで終了です。パネリストのブレント、デイブ、そしてソフィーに感謝します。視聴者とリスナーの皆さん、ありがとうございました。プロデューサーの皆さんにも感謝します。ポッドキャストが配信されているプラットフォームでセキュリティインテリジェンスを購読し、エピソードを見逃さないようにしてください。安全にお過ごしください。そして、マルチモデルAI環境におけるセキュリティについて、IBMのデータセキュリティ担当副社長であるヴィシャル・カマットと共にお届けする最新のボーナスエピソードもぜひチェックしてください。これはオーディオのみのボーナスエピソードです。Spotify、YouTube、その他すべての通常のリスニングプラットフォームで視聴可能です。ぜひチェックしてみてください。
コメント