API 保護ツールとして Generative AI を追加する

Aug 26, 2023

ホーム » Security Boulevard (オリジナル) » Generative AI を API 保護ツールとして追加

セキュリティの世界は、生成型 AI を最大限に活用してサイバーセキュリティを強化し、同時に新たな脅威ベクトルとして防御する方法を模索する初期段階にあります。

API セキュリティを例に考えてみましょう。 最近の Security Boulevard の特集で、Bill Doerrfeld 氏は、生成 AI が API セキュリティに対する脅威になると主張しました。 懸念の 1 つは、攻撃対象領域が大きいため、生成 AI が API の悪用に使用される可能性があることだと Doerrfeld 氏は書いています。 現在、多くの組織が数百もの API を導入していますが、すでに可視性の問題を抱えています。 攻撃者は、組織が API の保護に苦労していることを知っており、組織に急襲して AI を使用して脆弱性を発見する機会を与えています。

「また、生成 AI はさまざまな方法で認証情報を侵害するために使用される可能性があります」と Doerrfeld 氏は書き、生成 AI はパスワードを発見するパターンの検出や、認証情報のスタッフィングに使用される可能性があると付け加えました。

こうしたセキュリティ上の脅威には、遅かれ早かれ対処する必要があります。 しかし、脅威アクターが生成 AI を使用して API に対する攻撃を開始する方法を考案しているのと同じように、セキュリティ研究者も同じテクノロジーを使用して API を保護する方法を開発しています。

「生成 AI は、セキュリティを含む多くの分野で今日のバズワードであることは明らかです」と、Cequence Security の製品管理担当副社長である Subbu Iyer 氏は最近のウェビナーで述べました。 しかし、このテクノロジーを使用すると、かつては手動だったタスクを自動化したり、API のセキュリティをテストしたりできます。

API のセキュリティ ソリューションとして生成 AI の適用を開始する前に、API 保護に何が必要かをよく理解する必要があります。 アイヤー氏は、統合された API 保護アプローチは 3 つの柱に基づいて構築されていると説明しました。1 つは、API の攻撃対象領域がどのようなものであるかを学習および分類することを含む検出、2 つは API のセキュリティ体制を調査し、セキュリティのベスト プラクティスと保護に準拠していることを確認するコンプライアンスです。これは、API に到達するトラフィックを監視し、潜在的な攻撃をブロックすることを意味します。

残念ながら、多くの組織では API 保護が機能していません。 「完全に無人で公開され、顧客データを公開している API がいかに多く発見されたかに驚くでしょう」とアイヤー氏は言います。

API の脆弱性を見つけるにはアプリケーションのセキュリティ テストが必要ですが、Iyer 氏がブログ投稿で指摘したように、「運用環境にリリースする前に関連するビジネス機能をテストできるように、テスト対象のアプリに合わせてカスタマイズされたテスト ケースを生成する」ことは非常に困難です。

ここで、生成 AI が便利な API セキュリティ ツールになります。 アイヤー氏は、そうでなければ膨大な量の手作業が必要となる作業を生成 AI アプリケーションに実行させることができると説明しました。

たとえば、Cequence は、API の種類に基づいてテストを自動的に作成するインテリジェント モードを使用して、API セキュリティ テストを中心とした生成 AI ユースケースを構築しました。 生成 AI を使用すると、アプリケーション内の各 API エンドポイントに適切なテスト ケースを組み合わせることができると Iyer 氏は述べています。

「これにより、セキュリティ エンジニアがテスト ケースやテスト計画を手動で構築するために必要となる、数時間から数週間の作業が不要になります」と Iyer 氏は述べています。

良くも悪くも、生成 AI はセキュリティを変えることになります。 API のセキュリティは、その複雑さと組織全体で使用される API の量が膨大であるため、すでに扱いが難しいものになっています。 生成 AI が潜在的な脆弱性を探し出し、テストを改善する手順を自動化できれば、それは前向きな前進となるでしょう。