AI イノベーションのメリットを享受できるかどうかは、安全なコードから始めることにかかっています
ソフトウェア開発者は、ジェネレーティブ人工知能 (AI) を利用してコードを書く準備ができており、進んで利用する意志があることを示しており、概ね好調な結果が得られています。しかし、危険なゲームをしている可能性があるという兆候もたくさんあります。
最近によると GitHub による調査、米国の開発者の90%以上がAIコーディングツールを使用しており、完了時間の短縮、インシデントの迅速な解決、より協調的な環境などの利点を挙げています。これは重要だと感じています。AI ツールを使うことで、開発者はルーチンタスクを引き継ぐことができるため、会社に利益をもたらす、よりクリエイティブな仕事に取り組むことができるようになり、偶然ではなく、仕事中の燃え尽き症候群の可能性が減ります。
ただし、研究により、AIツールには次のような傾向があることも示されています 欠陥を導入する コードを書くとき。A スナイクによる調査 回答者の 75.8% がAIコードは人間のコードよりも安全だと答えたものの、56.4%がAIがコーディングの問題を引き起こすことがあると認めていることがわかりました。驚くべきことに、回答者の 80% が開発中に AI コードのセキュリティポリシーを迂回していると答えています。
オープンAI以来 GPT チャット 2022年11月に登場したジェネレーティブAIモデルの使用は、他の多くの分野と同様に、金融サービスのコード開発プロセス全体に急速に普及しています。他にも次のようなモデルが急速に登場しています。 GitHub コパイロット、 オープンAIコーデックス、および 増え続けるリスト 他の人の中には、ジェネレーティブAIができることとそれがもたらす影響のほんの一部しかないという意見もあります。しかし、その影響がプラスになるためには、生成されるコードが安全であることを確認する必要があります。
コーディングのバグはすぐに広がる可能性があります
人間の開発者によって作成されたものであれ、AIモデルによって作成されたものであれ、コードは いくつかのエラーを含む。高度に分散されたクラウドベースのコンピューティング環境における増え続ける要求を満たすために、AI がコード開発を加速するのに役立っているため、不良コードが発見される前に広く伝播する可能性が高まる可能性があります。
コードを書くように訓練されたAIモデルは、さまざまなタスクを実行する何千ものコード例を取り込み、それらの例を利用して独自のコードを作成できます。しかし、処理対象のサンプルに欠陥や脆弱性が含まれている場合、それがもともと人間によって作成されたものであれ、別の人工知能によって作成されたものであれ、モデルはそれらの欠陥を新しい環境に移す可能性があります。
検討中 研究によるとわかっています AIモデルは、使用しているコードの欠陥を確実に認識できないため、欠陥や脆弱性の拡散に対する組み込みの防御策はほとんどありません。AIはコーディングのミスを犯すだけでなく、将来どこかで脆弱性が特定されるまで、おそらく自社が開発したソフトウェアを使用している企業への侵害が成功するという形で、自身や他のソースのミスを繰り返します。
コーディングの欠陥が蔓延するのを防ぐ真の防御策は、人間とAIモデルが連携することです。人間の開発者は AI コードの記述を監督し、安全でないコーディング手法や脆弱なコードに対するチェックの役割を果たすべきです。しかし、そのためには、開発者がAIが犯す可能性のあるコーディングミスを特定して迅速に修正できるように、安全なコード作成のベストプラクティスについて徹底したトレーニングを受ける必要があります。
AI コードの作成と修正の課題
ChatGPTのような大規模言語モデル (LLM) が突然爆発的に増加したことは、諸刃の剣のようなものでした。一方では、時間と手間がかかる、または困難な雑用を AI を使って処理することで、企業や日常ユーザーの生産性が大幅に向上しました。一方で、AIに仕事を任せようとやみくもに信頼した場合に、何がうまくいかないかの例はたくさんあります。
AIモデルが作った 明白な間違い、バイアスを示して制作した 完全な幻覚。多くの場合、問題の根源は不十分または無責任なトレーニングデータでした。どのAIモデルも、そのトレーニングに使用したデータによって品質が決まるため、トレーニングデータは包括的で慎重に吟味されていることが不可欠です。ただし、それでもいくつかの間違いは犯されます。
コーディングにAIを使用することは、同じハードルの多くに直面します。AI によって生成されたコードには、クロスサイトスクリプティングやコードインジェクションに対する脆弱性や、AI や機械学習 (ML) に特有の次のような攻撃など、さまざまな欠陥が含まれていることが明らかになっています。 プロンプト注入。また、AI モデルはプロセスが透明でないためにブラックボックス内で動作し、セキュリティチームや開発チームが AI がどのように結論に達したかを見ることができません。その結果、モデルは同じミスを何度も繰り返す可能性があります。コード作成に影響する可能性があるのと同じ欠点が、AI の使用にも引き継がれます。 コード修復 そしてコンプライアンス要件を満たしています。
AIモデルによって欠陥が生み出されたり繰り返されたりする可能性が高まり、LLMが独自のオープンWebアプリケーションセキュリティプロジェクト(OWASP)リストを持つようになりました。 上位 10 件の脆弱性。
開発者とAIが協力して安全なコードを作成できます
AI で生成されたコードに潜在的な欠陥があるという懸念から、一部の組織は、一時的ではあるが、テクノロジーの導入を断念するかもしれない。しかし、特にAI開発者がモデルの革新と改善を続けている中で、その潜在的なメリットは無視できないほど大きいです。たとえば、金融サービス業界は、この魔力を取り戻す可能性は低いでしょう。銀行や金融サービス企業はすでにテクノロジー主導型になっており、常に競争上の優位性を求めている分野で事業を展開しています。
重要なのは、リスクを最小限に抑える方法でAIモデルを実装することです。つまり、セキュリティを意識し、安全なコーディングのベストプラクティスについて十分なトレーニングを受けた開発者がいるということです。そうすれば、開発者は安全なコードを自分で作成し、AI モデルが生成するコードを綿密に監視できます。AIエンジンと人間の開発者が緊密なパートナーシップのもとで協力し、開発者が最終決定権を持つことで、企業は生産性と効率性の向上のメリットを享受できると同時に、セキュリティの向上、リスクの軽減、コンプライアンスの確保も実現できます。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされたSecure Code Warriorガイドをご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
チェックしてください セキュア・コード・ウォリアー ブログページでは、サイバーセキュリティ、つまりますます危険になる脅威環境についての洞察を深め、革新的なテクノロジーとトレーニングを採用して組織と顧客をよりよく保護する方法について学ぶことができます。
ジェネレーティブAIは、金融サービス企業に多くの利点をもたらすだけでなく、多くの潜在的なリスクももたらします。セキュリティのベストプラクティスを開発者に教え、それを AI モデルと組み合わせることで、最初から安全なコードを作成できます。
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身につけることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
ソフトウェア開発者は、ジェネレーティブ人工知能 (AI) を利用してコードを書く準備ができており、進んで利用する意志があることを示しており、概ね好調な結果が得られています。しかし、危険なゲームをしている可能性があるという兆候もたくさんあります。
最近によると GitHub による調査、米国の開発者の90%以上がAIコーディングツールを使用しており、完了時間の短縮、インシデントの迅速な解決、より協調的な環境などの利点を挙げています。これは重要だと感じています。AI ツールを使うことで、開発者はルーチンタスクを引き継ぐことができるため、会社に利益をもたらす、よりクリエイティブな仕事に取り組むことができるようになり、偶然ではなく、仕事中の燃え尽き症候群の可能性が減ります。
ただし、研究により、AIツールには次のような傾向があることも示されています 欠陥を導入する コードを書くとき。A スナイクによる調査 回答者の 75.8% がAIコードは人間のコードよりも安全だと答えたものの、56.4%がAIがコーディングの問題を引き起こすことがあると認めていることがわかりました。驚くべきことに、回答者の 80% が開発中に AI コードのセキュリティポリシーを迂回していると答えています。
オープンAI以来 GPT チャット 2022年11月に登場したジェネレーティブAIモデルの使用は、他の多くの分野と同様に、金融サービスのコード開発プロセス全体に急速に普及しています。他にも次のようなモデルが急速に登場しています。 GitHub コパイロット、 オープンAIコーデックス、および 増え続けるリスト 他の人の中には、ジェネレーティブAIができることとそれがもたらす影響のほんの一部しかないという意見もあります。しかし、その影響がプラスになるためには、生成されるコードが安全であることを確認する必要があります。
コーディングのバグはすぐに広がる可能性があります
人間の開発者によって作成されたものであれ、AIモデルによって作成されたものであれ、コードは いくつかのエラーを含む。高度に分散されたクラウドベースのコンピューティング環境における増え続ける要求を満たすために、AI がコード開発を加速するのに役立っているため、不良コードが発見される前に広く伝播する可能性が高まる可能性があります。
コードを書くように訓練されたAIモデルは、さまざまなタスクを実行する何千ものコード例を取り込み、それらの例を利用して独自のコードを作成できます。しかし、処理対象のサンプルに欠陥や脆弱性が含まれている場合、それがもともと人間によって作成されたものであれ、別の人工知能によって作成されたものであれ、モデルはそれらの欠陥を新しい環境に移す可能性があります。
検討中 研究によるとわかっています AIモデルは、使用しているコードの欠陥を確実に認識できないため、欠陥や脆弱性の拡散に対する組み込みの防御策はほとんどありません。AIはコーディングのミスを犯すだけでなく、将来どこかで脆弱性が特定されるまで、おそらく自社が開発したソフトウェアを使用している企業への侵害が成功するという形で、自身や他のソースのミスを繰り返します。
コーディングの欠陥が蔓延するのを防ぐ真の防御策は、人間とAIモデルが連携することです。人間の開発者は AI コードの記述を監督し、安全でないコーディング手法や脆弱なコードに対するチェックの役割を果たすべきです。しかし、そのためには、開発者がAIが犯す可能性のあるコーディングミスを特定して迅速に修正できるように、安全なコード作成のベストプラクティスについて徹底したトレーニングを受ける必要があります。
AI コードの作成と修正の課題
ChatGPTのような大規模言語モデル (LLM) が突然爆発的に増加したことは、諸刃の剣のようなものでした。一方では、時間と手間がかかる、または困難な雑用を AI を使って処理することで、企業や日常ユーザーの生産性が大幅に向上しました。一方で、AIに仕事を任せようとやみくもに信頼した場合に、何がうまくいかないかの例はたくさんあります。
AIモデルが作った 明白な間違い、バイアスを示して制作した 完全な幻覚。多くの場合、問題の根源は不十分または無責任なトレーニングデータでした。どのAIモデルも、そのトレーニングに使用したデータによって品質が決まるため、トレーニングデータは包括的で慎重に吟味されていることが不可欠です。ただし、それでもいくつかの間違いは犯されます。
コーディングにAIを使用することは、同じハードルの多くに直面します。AI によって生成されたコードには、クロスサイトスクリプティングやコードインジェクションに対する脆弱性や、AI や機械学習 (ML) に特有の次のような攻撃など、さまざまな欠陥が含まれていることが明らかになっています。 プロンプト注入。また、AI モデルはプロセスが透明でないためにブラックボックス内で動作し、セキュリティチームや開発チームが AI がどのように結論に達したかを見ることができません。その結果、モデルは同じミスを何度も繰り返す可能性があります。コード作成に影響する可能性があるのと同じ欠点が、AI の使用にも引き継がれます。 コード修復 そしてコンプライアンス要件を満たしています。
AIモデルによって欠陥が生み出されたり繰り返されたりする可能性が高まり、LLMが独自のオープンWebアプリケーションセキュリティプロジェクト(OWASP)リストを持つようになりました。 上位 10 件の脆弱性。
開発者とAIが協力して安全なコードを作成できます
AI で生成されたコードに潜在的な欠陥があるという懸念から、一部の組織は、一時的ではあるが、テクノロジーの導入を断念するかもしれない。しかし、特にAI開発者がモデルの革新と改善を続けている中で、その潜在的なメリットは無視できないほど大きいです。たとえば、金融サービス業界は、この魔力を取り戻す可能性は低いでしょう。銀行や金融サービス企業はすでにテクノロジー主導型になっており、常に競争上の優位性を求めている分野で事業を展開しています。
重要なのは、リスクを最小限に抑える方法でAIモデルを実装することです。つまり、セキュリティを意識し、安全なコーディングのベストプラクティスについて十分なトレーニングを受けた開発者がいるということです。そうすれば、開発者は安全なコードを自分で作成し、AI モデルが生成するコードを綿密に監視できます。AIエンジンと人間の開発者が緊密なパートナーシップのもとで協力し、開発者が最終決定権を持つことで、企業は生産性と効率性の向上のメリットを享受できると同時に、セキュリティの向上、リスクの軽減、コンプライアンスの確保も実現できます。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされたSecure Code Warriorガイドをご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
チェックしてください セキュア・コード・ウォリアー ブログページでは、サイバーセキュリティ、つまりますます危険になる脅威環境についての洞察を深め、革新的なテクノロジーとトレーニングを採用して組織と顧客をよりよく保護する方法について学ぶことができます。
ソフトウェア開発者は、ジェネレーティブ人工知能 (AI) を利用してコードを書く準備ができており、進んで利用する意志があることを示しており、概ね好調な結果が得られています。しかし、危険なゲームをしている可能性があるという兆候もたくさんあります。
最近によると GitHub による調査、米国の開発者の90%以上がAIコーディングツールを使用しており、完了時間の短縮、インシデントの迅速な解決、より協調的な環境などの利点を挙げています。これは重要だと感じています。AI ツールを使うことで、開発者はルーチンタスクを引き継ぐことができるため、会社に利益をもたらす、よりクリエイティブな仕事に取り組むことができるようになり、偶然ではなく、仕事中の燃え尽き症候群の可能性が減ります。
ただし、研究により、AIツールには次のような傾向があることも示されています 欠陥を導入する コードを書くとき。A スナイクによる調査 回答者の 75.8% がAIコードは人間のコードよりも安全だと答えたものの、56.4%がAIがコーディングの問題を引き起こすことがあると認めていることがわかりました。驚くべきことに、回答者の 80% が開発中に AI コードのセキュリティポリシーを迂回していると答えています。
オープンAI以来 GPT チャット 2022年11月に登場したジェネレーティブAIモデルの使用は、他の多くの分野と同様に、金融サービスのコード開発プロセス全体に急速に普及しています。他にも次のようなモデルが急速に登場しています。 GitHub コパイロット、 オープンAIコーデックス、および 増え続けるリスト 他の人の中には、ジェネレーティブAIができることとそれがもたらす影響のほんの一部しかないという意見もあります。しかし、その影響がプラスになるためには、生成されるコードが安全であることを確認する必要があります。
コーディングのバグはすぐに広がる可能性があります
人間の開発者によって作成されたものであれ、AIモデルによって作成されたものであれ、コードは いくつかのエラーを含む。高度に分散されたクラウドベースのコンピューティング環境における増え続ける要求を満たすために、AI がコード開発を加速するのに役立っているため、不良コードが発見される前に広く伝播する可能性が高まる可能性があります。
コードを書くように訓練されたAIモデルは、さまざまなタスクを実行する何千ものコード例を取り込み、それらの例を利用して独自のコードを作成できます。しかし、処理対象のサンプルに欠陥や脆弱性が含まれている場合、それがもともと人間によって作成されたものであれ、別の人工知能によって作成されたものであれ、モデルはそれらの欠陥を新しい環境に移す可能性があります。
検討中 研究によるとわかっています AIモデルは、使用しているコードの欠陥を確実に認識できないため、欠陥や脆弱性の拡散に対する組み込みの防御策はほとんどありません。AIはコーディングのミスを犯すだけでなく、将来どこかで脆弱性が特定されるまで、おそらく自社が開発したソフトウェアを使用している企業への侵害が成功するという形で、自身や他のソースのミスを繰り返します。
コーディングの欠陥が蔓延するのを防ぐ真の防御策は、人間とAIモデルが連携することです。人間の開発者は AI コードの記述を監督し、安全でないコーディング手法や脆弱なコードに対するチェックの役割を果たすべきです。しかし、そのためには、開発者がAIが犯す可能性のあるコーディングミスを特定して迅速に修正できるように、安全なコード作成のベストプラクティスについて徹底したトレーニングを受ける必要があります。
AI コードの作成と修正の課題
ChatGPTのような大規模言語モデル (LLM) が突然爆発的に増加したことは、諸刃の剣のようなものでした。一方では、時間と手間がかかる、または困難な雑用を AI を使って処理することで、企業や日常ユーザーの生産性が大幅に向上しました。一方で、AIに仕事を任せようとやみくもに信頼した場合に、何がうまくいかないかの例はたくさんあります。
AIモデルが作った 明白な間違い、バイアスを示して制作した 完全な幻覚。多くの場合、問題の根源は不十分または無責任なトレーニングデータでした。どのAIモデルも、そのトレーニングに使用したデータによって品質が決まるため、トレーニングデータは包括的で慎重に吟味されていることが不可欠です。ただし、それでもいくつかの間違いは犯されます。
コーディングにAIを使用することは、同じハードルの多くに直面します。AI によって生成されたコードには、クロスサイトスクリプティングやコードインジェクションに対する脆弱性や、AI や機械学習 (ML) に特有の次のような攻撃など、さまざまな欠陥が含まれていることが明らかになっています。 プロンプト注入。また、AI モデルはプロセスが透明でないためにブラックボックス内で動作し、セキュリティチームや開発チームが AI がどのように結論に達したかを見ることができません。その結果、モデルは同じミスを何度も繰り返す可能性があります。コード作成に影響する可能性があるのと同じ欠点が、AI の使用にも引き継がれます。 コード修復 そしてコンプライアンス要件を満たしています。
AIモデルによって欠陥が生み出されたり繰り返されたりする可能性が高まり、LLMが独自のオープンWebアプリケーションセキュリティプロジェクト(OWASP)リストを持つようになりました。 上位 10 件の脆弱性。
開発者とAIが協力して安全なコードを作成できます
AI で生成されたコードに潜在的な欠陥があるという懸念から、一部の組織は、一時的ではあるが、テクノロジーの導入を断念するかもしれない。しかし、特にAI開発者がモデルの革新と改善を続けている中で、その潜在的なメリットは無視できないほど大きいです。たとえば、金融サービス業界は、この魔力を取り戻す可能性は低いでしょう。銀行や金融サービス企業はすでにテクノロジー主導型になっており、常に競争上の優位性を求めている分野で事業を展開しています。
重要なのは、リスクを最小限に抑える方法でAIモデルを実装することです。つまり、セキュリティを意識し、安全なコーディングのベストプラクティスについて十分なトレーニングを受けた開発者がいるということです。そうすれば、開発者は安全なコードを自分で作成し、AI モデルが生成するコードを綿密に監視できます。AIエンジンと人間の開発者が緊密なパートナーシップのもとで協力し、開発者が最終決定権を持つことで、企業は生産性と効率性の向上のメリットを享受できると同時に、セキュリティの向上、リスクの軽減、コンプライアンスの確保も実現できます。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされたSecure Code Warriorガイドをご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
チェックしてください セキュア・コード・ウォリアー ブログページでは、サイバーセキュリティ、つまりますます危険になる脅威環境についての洞察を深め、革新的なテクノロジーとトレーニングを採用して組織と顧客をよりよく保護する方法について学ぶことができます。
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
レポートを表示デモを予約
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
この記事は、Secure Code Warriorの業界専門家チームによって執筆されました。開発者が最初から安全なソフトウェアを構築するための知識とスキルを身につけることを目指しています。セキュア・コーディングの実践に関する深い専門知識、業界動向、現実世界の洞察を活用しています。
ソフトウェア開発者は、ジェネレーティブ人工知能 (AI) を利用してコードを書く準備ができており、進んで利用する意志があることを示しており、概ね好調な結果が得られています。しかし、危険なゲームをしている可能性があるという兆候もたくさんあります。
最近によると GitHub による調査、米国の開発者の90%以上がAIコーディングツールを使用しており、完了時間の短縮、インシデントの迅速な解決、より協調的な環境などの利点を挙げています。これは重要だと感じています。AI ツールを使うことで、開発者はルーチンタスクを引き継ぐことができるため、会社に利益をもたらす、よりクリエイティブな仕事に取り組むことができるようになり、偶然ではなく、仕事中の燃え尽き症候群の可能性が減ります。
ただし、研究により、AIツールには次のような傾向があることも示されています 欠陥を導入する コードを書くとき。A スナイクによる調査 回答者の 75.8% がAIコードは人間のコードよりも安全だと答えたものの、56.4%がAIがコーディングの問題を引き起こすことがあると認めていることがわかりました。驚くべきことに、回答者の 80% が開発中に AI コードのセキュリティポリシーを迂回していると答えています。
オープンAI以来 GPT チャット 2022年11月に登場したジェネレーティブAIモデルの使用は、他の多くの分野と同様に、金融サービスのコード開発プロセス全体に急速に普及しています。他にも次のようなモデルが急速に登場しています。 GitHub コパイロット、 オープンAIコーデックス、および 増え続けるリスト 他の人の中には、ジェネレーティブAIができることとそれがもたらす影響のほんの一部しかないという意見もあります。しかし、その影響がプラスになるためには、生成されるコードが安全であることを確認する必要があります。
コーディングのバグはすぐに広がる可能性があります
人間の開発者によって作成されたものであれ、AIモデルによって作成されたものであれ、コードは いくつかのエラーを含む。高度に分散されたクラウドベースのコンピューティング環境における増え続ける要求を満たすために、AI がコード開発を加速するのに役立っているため、不良コードが発見される前に広く伝播する可能性が高まる可能性があります。
コードを書くように訓練されたAIモデルは、さまざまなタスクを実行する何千ものコード例を取り込み、それらの例を利用して独自のコードを作成できます。しかし、処理対象のサンプルに欠陥や脆弱性が含まれている場合、それがもともと人間によって作成されたものであれ、別の人工知能によって作成されたものであれ、モデルはそれらの欠陥を新しい環境に移す可能性があります。
検討中 研究によるとわかっています AIモデルは、使用しているコードの欠陥を確実に認識できないため、欠陥や脆弱性の拡散に対する組み込みの防御策はほとんどありません。AIはコーディングのミスを犯すだけでなく、将来どこかで脆弱性が特定されるまで、おそらく自社が開発したソフトウェアを使用している企業への侵害が成功するという形で、自身や他のソースのミスを繰り返します。
コーディングの欠陥が蔓延するのを防ぐ真の防御策は、人間とAIモデルが連携することです。人間の開発者は AI コードの記述を監督し、安全でないコーディング手法や脆弱なコードに対するチェックの役割を果たすべきです。しかし、そのためには、開発者がAIが犯す可能性のあるコーディングミスを特定して迅速に修正できるように、安全なコード作成のベストプラクティスについて徹底したトレーニングを受ける必要があります。
AI コードの作成と修正の課題
ChatGPTのような大規模言語モデル (LLM) が突然爆発的に増加したことは、諸刃の剣のようなものでした。一方では、時間と手間がかかる、または困難な雑用を AI を使って処理することで、企業や日常ユーザーの生産性が大幅に向上しました。一方で、AIに仕事を任せようとやみくもに信頼した場合に、何がうまくいかないかの例はたくさんあります。
AIモデルが作った 明白な間違い、バイアスを示して制作した 完全な幻覚。多くの場合、問題の根源は不十分または無責任なトレーニングデータでした。どのAIモデルも、そのトレーニングに使用したデータによって品質が決まるため、トレーニングデータは包括的で慎重に吟味されていることが不可欠です。ただし、それでもいくつかの間違いは犯されます。
コーディングにAIを使用することは、同じハードルの多くに直面します。AI によって生成されたコードには、クロスサイトスクリプティングやコードインジェクションに対する脆弱性や、AI や機械学習 (ML) に特有の次のような攻撃など、さまざまな欠陥が含まれていることが明らかになっています。 プロンプト注入。また、AI モデルはプロセスが透明でないためにブラックボックス内で動作し、セキュリティチームや開発チームが AI がどのように結論に達したかを見ることができません。その結果、モデルは同じミスを何度も繰り返す可能性があります。コード作成に影響する可能性があるのと同じ欠点が、AI の使用にも引き継がれます。 コード修復 そしてコンプライアンス要件を満たしています。
AIモデルによって欠陥が生み出されたり繰り返されたりする可能性が高まり、LLMが独自のオープンWebアプリケーションセキュリティプロジェクト(OWASP)リストを持つようになりました。 上位 10 件の脆弱性。
開発者とAIが協力して安全なコードを作成できます
AI で生成されたコードに潜在的な欠陥があるという懸念から、一部の組織は、一時的ではあるが、テクノロジーの導入を断念するかもしれない。しかし、特にAI開発者がモデルの革新と改善を続けている中で、その潜在的なメリットは無視できないほど大きいです。たとえば、金融サービス業界は、この魔力を取り戻す可能性は低いでしょう。銀行や金融サービス企業はすでにテクノロジー主導型になっており、常に競争上の優位性を求めている分野で事業を展開しています。
重要なのは、リスクを最小限に抑える方法でAIモデルを実装することです。つまり、セキュリティを意識し、安全なコーディングのベストプラクティスについて十分なトレーニングを受けた開発者がいるということです。そうすれば、開発者は安全なコードを自分で作成し、AI モデルが生成するコードを綿密に監視できます。AIエンジンと人間の開発者が緊密なパートナーシップのもとで協力し、開発者が最終決定権を持つことで、企業は生産性と効率性の向上のメリットを享受できると同時に、セキュリティの向上、リスクの軽減、コンプライアンスの確保も実現できます。
セキュア・コーディングが金融サービス企業の成功、セキュリティ、利益の確保にどのように役立つかについての包括的な概要については、新しくリリースされたSecure Code Warriorガイドをご覧ください。 金融サービスのセキュリティトレンドに関する究極のガイド。
チェックしてください セキュア・コード・ウォリアー ブログページでは、サイバーセキュリティ、つまりますます危険になる脅威環境についての洞察を深め、革新的なテクノロジーとトレーニングを採用して組織と顧客をよりよく保護する方法について学ぶことができます。
目次
セキュアコード・ウォリアーは、開発者がスキルを向上させるにつれ、セキュアコーディングを前向きで魅力的な体験に変えます。セキュリティスキルを持つ開発者が、つながった世界で日常的にスーパーヒーローになれるよう、コーダー一人ひとりが望む学習経路へと導きます。
Secure Code Warriorは、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする文化を築くお手伝いをします。アプリケーションセキュリティマネージャー、開発者、CISO、またはセキュリティ関係者であるかに関わらず、安全でないコードに関連するリスクを軽減するお手伝いをします。
デモを予約[ダウンロード]
%20(1).avif)
.avif)
