CAUTIONこれは個人のまとめや感想であり、本来主催者が伝えたかった内容とは異なる可能性があります。
あくまで私の主観でまとめた内容であることをご了承ください。
Security Daysに行ってきました。
こんにちは、YAMAです。
Security Daysというセキュリティに関するイベントに参加してきました。
本イベントでは、企業のセキュリティ担当者やエンジニア向けに、最新のセキュリティ動向や対策について紹介されるカンファレンスでした。
今回は、感想や印象に残ったセミナーの内容について書いていこうと思います。
その1、AI活用における「アクセス制御」の難しさについて
最初に参加したのは、
**「AI活用におけるアクセス制御の難しさ」**というセッションです。
この内容は、主に企業の情報システム部門向けの話でした。
人向けのアクセス制御をAIにそのまま使うのは危険
従来のシステムでは、人間が画面を見ながら操作を判断することが前提でした。
しかしAIの場合は、API経由で自動的に処理を実行します。
つまり…
-
人間 → 画面を見て判断
-
AI → ポリシーを見て自動判断
という違いがあります。
そのため、人向けに作られたアクセス制御をAIにそのまま適用すると、判断ミスが発生する可能性があるとのことでした。
AIは処理速度が圧倒的に速い
もう一つの問題が処理速度です。
人間が1日に処理できる数は
- 50〜200件程度
と言われています。
しかしAIは
-
数万件 / hour
というレベルで処理できます。
一見便利ですが、ここに大きなリスクがあります。
もしAIが誤った判断をすると
大量の処理が一気に実行される
人間が後から確認しようとしても追いつかない
見落としが発生する
重大インシデントにつながる
という可能性があります。
AIは文脈を理解できない
AIはポリシーに書かれている内容のみを基準に動作します。
つまり
「暗黙のルール」
「文脈」
のようなものは理解できません。
そのため
明示的に書かれていないルールは守れない
想定外の動きをする
というリスクがあります。
またAIが増えることで
誰が
どのデータに
どこまでアクセスしているのか
が分かりにくくなり、システムがブラックボックス化する可能性もあります。
そのため、ID管理の対象を
人 → 人 + AI
に拡張する必要があるという話でした。
AIエージェントのリスク
最近はAIエージェントのように
- 自律的に判断する
- 複数SaaSを横断する
- 人の代わりに作業する
といったAIも増えています。
ただし権限が強すぎると
- Slackのメッセージ
- Google Driveのデータ
などをすべて閲覧できてしまう可能性があります。
これはセキュリティ上かなり危険です。
「野良AI」という問題
セッションで面白かったのが野良AIという概念です。
これは
組織が存在を把握していないAI
のことです。
例えば
従業員が個人判断でAIツールを導入
SaaSを勝手に操作
社内データをAIに学習させる
といったケースです。
これにより
- 情報漏洩
- ガバナンス崩壊
のリスクが生まれます。
AIにはRBACよりPBAC?
講演ではアクセス制御の方法として
- RBAC(Role Based Access Control)
- PBAC(Policy Based Access Control)
の2つが紹介されていました。
RBACは
「役割ごとに権限を設定する」
という方法ですが、AIのように動的に動くシステムでは柔軟性が不足します。
一方PBACでは
ポリシーでルールを定義し自動化できる
ため、状況に応じて動的に最小権限を生成できるそうです。
AIの時代には、RBACよりPBACが適している可能性があるという話でした。
おまけ : お昼ご飯
会場は梅田だったので、せっかくならと、おいしいお昼ご飯を食べようと思い、梅田のヨドバシカメラの上にある、レストラン街に行きました。
そこで目についたのは、肉の焼ける音と香ばしい香りが漂う、ステーキ屋でした。
そこでその音とにおいに負け、誘われるように入店、ランチセットがあったので流れるように注文しました。
このランチセットは、ステーキとハンバーグが両方楽しめるセットで、どちらもとてもおいしかったです。
特にステーキは、肉厚でジューシーで、口の中でとろけるような食感で、最高でした。
盛り上がっていた企業ブース
さて、お昼ご飯の話はこのくらいにして、会場内の企業ブースの話をしていきます。
会場内では一部のルームに企業ブースが設置されていて、いろいろな企業が自社のセキュリティ対策やサービスを紹介していました。
その中ではいろいろな人がたくさんのブースで話を聞いていて、かなり盛り上がっている印象でした。
大体の企業はIDやアクセス管理系のサービスやセキュリティ対策、診断サービスなどを紹介していました。
その中で一番印象に残ったのは、Matrix認証というセキュリティの方法を活用したサービスを紹介しているブースでした。
Matrix認証は、従来のパスワードやワンタイムパスワードなどの認証方法とは異なり、ユーザーがあらかじめ設定した図形や形をマトリクス表を使用して認証を行う方法です。
この方法は、パスワードの漏洩やリプレイ攻撃などのリスクを減らすことができるため、セキュリティの向上につながるとされているそうです。
ブースでは、実際にMatrix認証を体験できるデモを見て、これは確かに侵入されづらいなと感じました。
まとめ
今回は、Security Daysというセキュリティに関するイベントに参加してきました。
AI活用におけるアクセス制御の難しさや、企業ブースの内容など、いろいろな話が聞けて面白かったです。
特にAIのアクセス制御の話は、AIがますます普及していく中で、セキュリティの観点からも重要なテーマだと感じました。
今後も、こういった外部のイベントに積極的に参加して、最新の情報をキャッチアップしていきたいと思います。
以上、YAMAでした。