AIがもたらすスピードの逆説：置き去りにされるセキュリティ

AIを活用したコード生成は急速に進化しているため、既存のセキュリティ対策では追いつけない。その結果、現状、新たな脆弱性が置き去りにされている。そのスピードは従来のセキュリティ対策をはるかに超えており、組織のリスク管理に迅速で抜本的な改革が求められている。

急がれるセキュリテ：AI生成コードにおけるランタイム保護の重要性

AIはコーディングの効率を大幅に向上させる可能性を秘めているが、コード開発のスピードとリリース速度の向上は、アプリケーションセキュリティ(AppSec)に新たな課題をもたらし、組織のリスク管理への取り組み方の転換が必要になっている。

組織は、AIに完全に依存して安全なコードを一貫して生成することはできない。AIがコードのセキュリティをある程度向上させる可能性があったとしても、デプロイのスピードが速ければ速いほど、そのメリットは相殺され、リスクが増加する可能性があります。AIで生成されるコードには依然として脆弱性が残る可能性がある。LLMによって意図せず欠陥が生まれたり、セキュリティのベストプラクティスが誤って解釈される可能性があるからだ。一方、コードをデプロイするのスピードは速くなり、従来のセキュリティ対策では追いつくのが難しくなっている。攻撃者にとっては脆弱性を悪用できる機械が増え、3日以内に脆弱性を悪用することも珍しくない。これとは対照的に、ソフトウェア企業は脆弱性の修正に最大63日かかることがある。

従来のアプリケーションセキュリティのアプローチは、主に静的アプリケーションセキュリティテスト(SAST)や動的アプリケーションセキュリティテスト(DAST)などの半番環境前の脆弱性スキャンに主眼を置いていたが、AI生成コードが普及する以前からすでに不十分であった。これは、バックログの脆弱性数の増加からも明らかだ。2025年3月下旬〜4月上旬の時点で、脆弱性情報データベース(NVD)には、分析待ちの未処理の共通脆弱性識別子(CVE)のバックログが約25,060件あり、2024年8月の約17,000件から増加している。NVDによると、処理率は毎年同じだが、2024年の申請は32%増加しており、以前の処理率では追いつかない量になっている。バックログは今もまだ増え続けており、今後も増え続けるだろうが、本番前のコードスキャンツールはほとんど役に立たない。

従来のセキュリティ対策では追いつかない理由

これらのツールでは、多くの場合、ランタイム固有の脆弱性や、本番環境でのみ発生する複雑な相互作用を特定するのに苦労する。さらに、脆弱性を効果的に優先順位付けするために必要な重要なコンテキスト(脆弱性がアクセス可能か、実際に攻撃されているかなどの情報)が不足していることが多く、セキュリティ担当のアラート疲れや無駄な労力につながっている。アプリケーションの最大76％にセキュリティ上の欠陥があることを考えると、これは極めて深刻な弱点と言える。

このような要因 —　既存のセキュリティツールの限界とAIによるコーディング速度の向上 — の組み合わせにより、可視性と防御に大きなギャップが生じ、組織はWebアプリケーションとアプリケーションプログラミングインターフェイス(API)に対する攻撃にさらされることになる。米サイバーセキュリティインフラセキュリティ庁(CISA)、国家安全保障局人工知能セキュリティセンター(NSA AISC)、連邦捜査局(FBI)、および国際パートナーによる、最近の共同サイバーセキュリティ情報シート(AI Data Security: Best Practices for Securing Data Used to Train & Operate AI Systems)では、AIシステムにおけるデータセキュリティの重要な役割を強調し、AIライフサイクルの全てのフェーズでデータセキュリティと整合性の問題から生じる潜在的なリスクを概説している。このガイダンスでは、データサプライチェーンの問題、悪意を持って変更されたデータ、データドリフトなどのデータ関連の重要なリスクを取り上げているが、コード自体(特にAIによって生成されたコード)を実行時の攻撃から保護することも同様に重要事項としている。

組織には、攻撃が実際に発生する本番環境で継続的なセキュリティを提供する、新たなアプリケーションセキュリティへのアプローチが緊急に必要だ。セキュリティオペレーションセンター(SOC)がリアルタイムでアプリケーション攻撃を検知して対応できるようにし、滞留時間と潜在的な損害を最小限に抑える必要がある。

Contrast ADR：AIの脅威に対するSOCの強化

Contrast ADR(アプリケーションにおける検知と対応)は、AIがもたらすこのような重大な脅威に対し、独自の解決策を提示する。ADRは、そのコードが人間によって書かれたものか、AIによって生成されたものかに関わらず、アプリケーション実行時の内部の動きを詳細に可視化することができる。

Contrast ADRにより、SOCチームは以下が可能に：

• AI生成コードによってもたらされた脆弱性への攻撃を検知する。実行時に動作することによって、実際のデータやユーザとのやり取りがアプリケーションでどのような挙動になっているかを正確に把握することができる。
• 進行中の攻撃を検知する。既知の脆弱性にかかわらず、アプリケーション(AIによって生成されたコードで構築されたものを含む)を標的とする進行中の攻撃を最も早い段階で検知する。AIによって生成されたコードを標的とする不正なアクティビティを実行時に検知してブロックすると同時に、悪用を防ぐための補完的な防御策を即座に展開する。さらには、AI支援開発の欠陥に起因するゼロデイ攻撃からもシステムを保護する。
• 理論上のリスクではなく、実際の脅威に焦点を当て、SOCの効率を向上させるために実際に悪用されている脅威を特定する。このコンテキスト主導の優先順位付けにより、SOCチームは、アプリケーションコンテキスト内の悪用可能な脆弱性に関する実用的なインテリジェンスを得ることができ、アラート疲れを軽減できる。

Contrast ADRは、このような実行時の高度な可視化と防御機能によって、SOCを強力に支援する。その結果、コードが人間によって書かれたかAIによって生成されたかに関わらず、アプリケーションやAPIへの攻撃に効果的に対応できるようになる。さらに、開発者には迅速に情報を伝え、修正作業を効率化するための、正確なコードレベルのコンテキストも得ることができるのだ。

超高速なAIを活用する開発の時代において、アプリケーションのセキュリティ確保はもはやオプションではない。Contrast ADRによるランタイム保護は、単なるアップグレードではなく、絶対に必須なものだ。これがなければ、急速に進化するAIの脅威に対して、システムを脆弱なままにしておくことになる。