何が起きたか
UK National Cyber Security Centre (NCSC)は5月11日に『脆弱性を発見するためのAIモデル使用時に問いかけるべき10の質問』というタイトルのガイダンスを公開しました。このドキュメントは、AI支援の脆弱性スキャンおよび発見の展開を検討中またはすでに展開している セキュリティチームのためのチェックリストを提供します。本ガイダンスは、攻撃的セキュリティと脆弱性研究ワークフローにおいてAI(特に大規模言語モデル)を使用するための実践的な考慮事項をカバーしています。
なぜ重要か
セキュリティ運用におけるAI導入が加速するにつれ、ディフェンダーはAI支援のセキュリティツーリングを安全に評価・統治する方法に関するガイダンスが必要です。NCSSガイダンスは、AI駆動型脆弱性発見の誇大広告と、このようなツールを責任を持って展開するために必要な実践的なリスク管理との間のギャップを埋めます。これは、AIが従来のスキャナーでは見落とすクラスの脆弱性(特にセマンティック/ロジックの欠陥)を発見できることを認めていますが、適切に統治されない場合は新たな運用上およびセキュリティリスクをもたらします。
必要な対応
AI支援の脆弱性発見ツールを展開するセキュリティチームは、実装を監査するためにNCSSガイダンスを参照する必要があります。コンプライアンスチームはこれを脆弱性管理プログラムにおけるAI統治の基準として使用する必要があります。AIを活用するセキュリティツールの調達基準にNCSSチェックリストを組み込むことを検討してください。