アイデンティティ管理における人工知能の脅威

Cyber​​Ark の 2023 年アイデンティティ セキュリティ脅威ランドスケープ レポートでは、貴重な洞察が提供されています。調査対象となった 2,300 人のセキュリティ専門家からは、次のような厳しい統計が寄せられました。

• 68%が従業員の解雇や離職による内部脅威を懸念している
• 99%が、財政削減、地政学的要因、クラウドアプリケーション、ハイブリッドワーク環境が何らかの個人情報漏洩につながると予想している。
• 74% が、従業員、元従業員、サードパーティベンダーに機密データが漏洩することを懸念しています。

さらに、デジタル ID の急増により、人工知能 (AI) 攻撃、認証情報攻撃、二重の恐喝による攻撃対象領域のリスクが高まっていると多くの人が考えています。それでは、デジタル ID の増殖と AI を活用した攻撃に焦点を当ててみましょう。

デジタル ID: 解決策か、究極のトロイの木馬か?

デジタル ID は、サイバーセキュリティの向上とデータ損失の削減につながる潜在的なソリューションとして長い間考えられてきました。基本的な考え方は次のとおりです。すべての人は、生体認証署名から行動まで、独自のマーカーを持っています。つまり、これらのタグをデジタル化し、個人に関連付けることで、認可と認証のリスクを最小限に抑えることができます。

大まかに言えば、これは「信頼と検証」モデルです。

しかし、「信頼」がもはや信頼できないものになった場合はどうなるでしょうか?逆に、そもそも信頼されるべきではなかった偽りのことが検証されたらどうなるでしょうか?この状況を修正するためのリスク分析はどこで行われますか?

デジタル ID の強引な売り込みは、テクノロジーの世界に対する根底にある偏見に一部起因しています。つまり、情報セキュリティ技術と悪意のある行為者の戦術、技術、手順 (TTP) は同様のペースで変化しています。現実はそうではないことを示しています。TTP は、特に AI の助けを借りて、セキュリティ制御を突破しています。

AI 攻撃の特徴の 1 つは、AI が人間よりもはるかに速く IT 資産について学習できることです。したがって、テクニカル攻撃とソーシャル エンジニアリング攻撃の両方を環境や個人に合わせてカスタマイズできます。たとえば、大規模なデータセット (ソーシャル メディアの投稿、インターネットから収集したユーザーに関するデータ、公共の監視システムなど) に基づくスピア フィッシング キャンペーンを想像してください。これが私たちが進む道です。

デジタル ID は、本質的に信頼できる非 AI の世界では、正常に機能する可能性があるかもしれません。しかし、AI主導の世界では、デジタルIDの信頼性は事実上排除され、本質的に信頼できないものへと変化しています。

信頼を再構築する必要がある。なぜなら、何も信頼できない道は、論理的にただ一つの場所、つまり完全な監視につながるだけだからです。

アイデンティティとしての人工知能

認証ソリューションは非常に強力になりました。アクセス要求時間を短縮し、数十億回のログイン試行を管理し、もちろん人工知能も使用します。しかし、原則として、検証ソリューションは、ID が本物であるという確信という 1 つの不変の要素に依存します。

AIの世界では、「アイデンティティの信頼」を変数にすることでこれを変えます。

次のことが真実であると仮定します。私たちはまだ AI の旅の初期段階にありますが、進歩は急速です。大規模言語モデルは、人間の対話を置き換え、マルウェア分析を実行して新しい悪意のあるコードを作成することができます。芸術性を大規模に表現することができ、フィルターにより叫び声をプロの歌手のように聞こえさせることができます。ディープフェイクは、音声と映像の表現の両方において、「あからさまな偽物」の領域から「ちょっと待って、これは本物？」という領域に移行しました。ありがたいことに、慎重な分析によって、この 2 つを区別することができます。

AI 攻撃には、機械学習機能というもう 1 つの特徴があります。より速く、より良く、そして最終的には操作が容易になります。覚えておいてください。偏っているのはアルゴリズムではなく、アルゴリズムに固有の偏りを組み込むプログラマーです。では、オープンソースや商用の AI テクノロジーの利用可能性が高まり続ける中で、本物と偽物を見分ける私たちの能力は、どれくらいの期間保たれるのでしょうか?

完璧なポートレートを作成するための重ね合わせ技術

現在利用可能な強力な監視テクノロジーを検討してください。生体認証、個人的なニュアンス（歩き方、表情、声の抑揚など）、体温、社会的な習慣、コミュニケーションの傾向、その他、あなたをユニークにするあらゆる情報が、その多くは秘密裏に取得される可能性があります。今では、コンピューティング能力、データ転送速度、メモリ容量がますます向上しています。

最後に、悪意のある人物が大規模なデータベースにアクセスし、高度なデータマイニングを実行できる AI 主導の世界を追加します。説得力のあるデジタルレプリカを作成するための増分は縮小しました。逆説的ですが、セキュリティ対策のために自分自身に関するデータを作成する量が増えるにつれて、デジタルリスクプロファイルも増加します。

データ量を制限して攻撃対象領域を減らす

セキュリティをダム、データを水と考えてください。これまで、私たちは主にデータを善のために使用してきました（例：水を使用して水力発電を行う）。これまでのところ、メンテナンス上の問題（攻撃者、データ漏洩、メンテナンスの不備など）は、大変ではあるものの、ほとんど対処可能でした。

しかし、水を管理・貯蔵するためのインフラの設計よりも早くダムの水が満水になったらどうなるでしょうか?ダムが決壊した。この例えを用いると、課題は、余分な水を迂回させてダムを強化するか、データを制限して信頼を再構築するかのいずれかになります。

これを実現するにはどのような方法がありますか?

1. トップダウンのアプローチによりガードレール（ポリシー）が作成されます。必要なデータのみを生成して保存し、特に個人関連データの過剰なデータ保存を抑制します。マイクロターゲティングのためにあらゆる情報をスクレイピングしてデータマイニングしたいという誘惑に抵抗してください。より安全な貯水池がない限り、さらに多くの水が貯水池に流れ込むことになります (ヒント: 貯水池を分割します)。
2. ボトムアップアプローチはアクセス（操作）を制限します。ホワイトリストはあなたの味方です。権限を制限し、アイデンティティの信頼を再構築し始めます。デフォルトでは「オプトイン」ではなくなり、「オプトアウト」がデフォルトになりました。これにより、ダムを流れる水をより適切に管理できるようになります (たとえば、攻撃対象領域とデータの露出を減らすなど)。
3. 重要なこと（戦略）に焦点を当てます。実装により、すべてを保証することはできないことが証明されます。これは批判ではなく、現実です。リスク、特に ID とアクセス管理に重点を置きます。アクセスが制限されていることと相まって、リスクに基づくアプローチではダムの亀裂の修復を優先します。

結局のところ、将来の利益を実現するにはリスクを負わなければなりません。 「リスクフリー」はファンタジー本に適用されます。したがって、データ過剰の時代において、最大の「リスク」は、生成および保持するデータが少なくなることかもしれません。賞？データ損失の影響を最小限に抑え、他のユーザーが失敗したときに対応できるようにします。