AIシステム(特に大規模言語モデル)は、もはや従業員の生産性向上を支援するだけではありません。従来のセキュリティ・ツールが想定していなかった新たなリスクも生み出して検知。
これらの脅威は、マルウェアやフィッシングの添付ファイルといった形では現れません。AIのロジック、アイデンティティの悪用、クラウドサービスや信頼されたワークフロー内で起こる見えにくい振る舞いとして表面化します。
このような状況を受けて、多くのセキュリティチームは MITRE ATLAS、AI Risk Repository、OWASP Top 10 for LLM Applicationsなどのフレームワークを参照し始めています。これらは、攻撃者がAIをどのように標的としているか、どこにセキュリティの死角があるのかを理解するための貴重なリソースです。
AIの攻撃対象は爆発的に増えているが、ほとんどのSOCはそれに気づいていない
AIはすでに、日常業務の一部となっています。Copilotやインテリジェントアシスタント、AI検索などのツールは、カスタマーサポートの効率化、分析の自動化、開発プロセスの簡素化に活用されています。
しかしこの変化により、アタックサーフェスは大幅に拡大しました。
クラウドAI導入のセキュリティに関する最近のブログでは、攻撃者がAWS BedrockやAzure AIなどのプラットフォームをどのように悪用しているかを概説しました。コンピュートリソースのハイジャック、悪意のあるプロンプトの注入、クラウドIDの悪用といったテクニックは机上の空論ではなく、すでに起こっています。これらの脅威の多くは MITRE ATLASでは、AIシステムを対象とした現実の攻撃者の振る舞いが文書化されています。
AIはもはや悪用される単なるツールではなく、それ自体が標的となっています。
さらに2つのフレームワークが重要なコンテキストを加えています。
- AIリスクリポジトリは、AIの構築、展開、使用方法に関連する770以上のリスクをカタログ化しています。これらの脅威の65%以上は、可視性と制御が最も弱いことが多い導入後に発生します。
- LLM LLMアプリケーションのためのOWASPトップ10は、データ漏洩、プロンプトの操作、システムのオーバーリーチを含む、言語モデル特有の脆弱性のトップ10を概説しています。
これらのフレームワークは共通して、「脅威は境界の外側ではなく、信頼された内部環境の中で進行する」という事実を強調しています。
そして、従来のツールでは“その場所”を見るように設計されていないため、脅威の検知に失敗しているのです。
3つのフレームワークに共通する警鐘:AIが新たなリスクを生む
AIが脅威モデルをどのように変化させるかを理解することは、3つの異なる、しかし相補的な視点から学ぶことを意味します。
- MITRE ATLASは、AI推論APIの悪用やモデル制限の回避など、攻撃者が実際に使用するテクニックをマッピングしています。
- AIリスクリポジトリーは、開発から配備に至るまで、AIのライフサイクル全体にわたってうまくいかない可能性がある場所を明らかにします。
- OWASP Top 10 for LLM Applicationsは、LLMが従来のITシステムにはなかった方法でどのように悪用されたり操作されたりするかに焦点を当てています。
これらは単なる学術的なツールではなく、あなたのSOCがすでに見落としているかもしれないものを説明してくれる。AIシステムはこれまでとは異なる振る舞いをする。従来のセキュリティ・ロジックを覆すような方法で、意思決定を行い、動的に反応し、データやユーザーと相互作用する。
これらのフレームワークに共通するのは、リアルタイムかつ振る舞いベースの検知が必要だという点です。既知の悪性リストや静的ルールでは、もはや対応できません。
従来のセキュリティツールでは不十分な点
多くの組織は、malware発見、異常なトラフィックの検知 、不正アクセスのブロックなどを目的に構築されたツールに依存している。これらのツールは重要ではあるが、AI特有のリスクを想定したものではない。
ほとんどのレガシーな検知ツールが捕らえないものがあります。
- 正規のユーザーがAWS Bedrockのような生成AIサービス上で不正なジョブを実行し、コンピュートリソースを使用し、隠れたコストを積み上げている。
- 注意深く作られた一連のプロンプトを通じて、機密情報を漏らすように操作されるチャットボット。
- 学習データの微妙な変化により、AIモデルが偏った、あるいは有害な出力をするようになること。
この種のインシデントは、ファイルやエンドポイントに焦点を当てたツールには不審に見えない。手遅れになるまで、それらは通常のAPIコール、通常のユーザーセッション、または信頼されたアプリケーションの動作に見える。
AI脅威のフレームワークを実行に移す
リスクを理解するだけでは不十分です。セキュリティリーダーにとって重要なのは、これらの知見を日々の検知・対応にどう組み込むかということです。
今、多くのSOCは以下の問いに自信をもって答えられません:
- 組織全体で誰が生成AIサービスにアクセスしているのか?
- 深夜に大きな推論ジョブを実行するなど、異常な動作をしているアカウントはないか?
- データ流出やポリシー違反につながる可能性のある方法で、AIシステムが操作されていないか。
- 私たちは 検知AIモデルのガードレールが迂回されているかどうか?
Vectra AIプラットフォームは、その振る舞い検知ロジックをMITRE ATLASに直接マッピングすることで、これらの課題に対処します。この連携により、SOCチームは、従来のツールでは見過ごされがちな以下のような高リスクのアクティビティを表面化することができます。
- 通常そのようなサービスとは関係のないユーザーまたはIDによる生成AIプラットフォームへの不審なアクセス
- 生成AIモデルとのインタラクション中にロギングやモニタリングを回避しようとする試み
- アカウントの漏洩またはモデルの不正使用を示唆する異常な使用パターン
さらに、VectraのAI主導の優先順位エンジンは、生成AIアクティビティに関与しているIDのリスクプロファイルを自動的に引き上げ、アナリストが本当に重要な事象に集中できるよう支援します。
このプラットフォームはエージェントレスで、アイデンティティを中心に、ハイブリッドクラウドとSaaS全体を可視化するため、モデルやインフラを変更することなくAI関連の脅威を検知可能です。特に、生成AIが業務プロセスに深く組み込まれている本番環境では、非常に有効です。
AIはもはや単なるツールではなく、ターゲットである
企業におけるAI活用が加速する一方で、攻撃者もその進化に適応しています。MITRE ATLASに記載されている攻撃手法は、もはやニッチな存在ではなく、現代のAIシステムを標的にする一般的な戦術になりつつあります。
セキュリティ対策をこれらのフレームワークに合わせ、Vectra AIプラットフォームのようなソリューションを導入することで、受け身の可視化から積極的な検知へと進化できます。AI脅威をリアルタイムで把握し、クラウド上のLLMを保護し、生成AI導入が攻撃の入り口になるリスクを軽減できるのです。
Microsoft 365における生成AIリスクについてもっと知りたい方へ
Vectra AIがCopilot導入における可視性のギャップをどのように埋めるか、Hunt Club Podcastのエピソードをご確認ください。
- 脅威ブリーフィング:攻撃者はどのように Copilot を使用して SharePoint セキュリティを回避しているか
- 脅威ブリーフィング:Copilot for M365 Attack Surface
- 製品ブリーフィング:攻撃者によるMicrosoft Copilot for M365の悪用の検出
セルフガイド・デモをご覧いただくか、当社チームにご連絡いただき、Vectra AIが企業の未来を守るためにどのように役立つかをご確認ください。