最近、私はウェビナーを主催する機会に恵まれた。ウェビナーでは、当社CTOのマティアス・マドゥとMednd.ioのシャロン・コチェフスキーが、脆弱性アラートを担当することについて議論した。セッションの中で、彼らはセキュリティ脆弱性アラートの処理における課題とソリューションの両方を探りました。ウェビナーを見逃した方のために、彼らの会話からいくつかの重要なポイントをご紹介します。もちろん、このウェビナーは現在オンデマンドでも配信されており、全詳細をご覧いただけます。 

AIがセキュリティに与える影響

マティアスは自動運転車に例えて、安全なソフトウェアを作るAIの現状を説明した。自動運転車は技術的には自分で運転することができるが、道路を走行中に問題に直面する。例えば、自動運転車が道路上で今までに遭遇したことのない問題に遭遇し、その結果ゴーストが壊れるという状況に言及した。問題は必ず起こり、それを解決するのは人間の技術者だ。同様に、開発者が盲目的にAIに従えば、コードのエラーや脆弱性が出てくる可能性がある。  

マティアス氏は、AIがより良いアウトプットを生み出すためには、AIモデルについて開発者を訓練するための規則性と数多くの優れたコード例が必要だと強調した。AIは現在、一般的なフレームワークではうまく機能しているが、何百万ものコード行で動作する実世界のアプリケーションでは不十分だ。

さらに、熟練した開発者であれば、コーディングの高速化というジェネレーティブAIのメリットを享受できるが、訓練を受けていない開発者は、不具合のあるコードを高速で再現し、貼り付けることができるため、脅威となる可能性があると説明した。 

積極性へのシフト

ディスカッションをリードしたトピックの1つは、プロアクティブな行動へのシフトであった。シャロン・コチェフスキーは、セキュリティ問題を監視し続けるのではなく、企業やAppSecプログラムが、セキュリティ報告に焦点を当てたリアクティブなアプローチではなく、実際のコード修正により、よりプロアクティブなアプローチを取ることを提唱している。マティアス氏と同様に、同氏は、純粋な管理的慣行を超えて、結果的な成果に焦点を当てる必要性を強調している。パネルディスカッションでは、リアルタイム・ダッシュボードや課題追跡機能を備えたセキュリティ製品の活用とともに、レポート作成の主要分野についても議論された。 

ギャップを埋める 

シャロンとマティアスはまた、開発者とセキュリティ管理者の間の断絶という、取り組むべき重要な問題を指摘した。組織や企業は現在、このギャップを埋めるためにセキュリティ・チャンピオンを増員している。セキュリティ・チャンピオンは、エンジニアリング・チーム内に配置されたセキュリティのプロであり、積極的なセキュリティ対策の推進を支援する。

言うまでもなく、私たちはこのトピックを表面化させたに過ぎず、会話はこのウェビナーの枠を超えて広がっている。継続的な議論と関与は、私たちの日進月歩の業界において極めて重要である。さらに詳しく知りたい方、セッションを再生したい方は、オンデマンドでご覧いただけます。

‍