人工知能(AI)がソフトウエアを無用の長物にするとの懸念が続くなか、最近米AI企業Anthropicが投入したセキュリティ点検ツール「クロードコードセキュリティ」がセキュリティ業界に波紋を広げている。自ら脆弱性を見つけ出すセキュリティAIエージェント(アシスタント)が従来型のセキュリティソリューションを代替するとの見方が浮上し、主要サイバーセキュリティ企業の株価が一斉に急落した。実際、クラウドストライク、ジースケーラー、パロアルトネットワークスなど大手セキュリティ企業の株価は、Anthropicが新セキュリティツールを発表した直後に最大10%下落した。
Anthropicが引き起こした「サスポカリプス(SaaSpocalypse・サービス型ソフトウエア+終末)」不安がセキュリティ産業にまで広がっているとの分析が出ている。しかしセキュリティ業界は、「クロードコードセキュリティ」の機能はコード脆弱性の検知に限定されるため、短期的に企業環境でリアルタイムに脅威を捕捉し対応する既存のセキュリティソリューションを代替することはできないと主張する。
◇ セキュリティ産業を覆う「AIの脅威」…セキュリティ株は軟調
2日関係業界によると、「クロードコードセキュリティ」はAnthropicが先月20日に開発者向けコーディングツール「クロードコード」に追加したセキュリティ点検機能であり、セキュリティ研究員のようにコードを読み解き推論して、ハッキングに悪用され得る脆弱性を見つけ出し修正案(パッチ)を提案する。Anthropicは「解決すべき脆弱性はあまりに多く、企業のセキュリティ人材は著しく不足している」とし、「『クロードコードセキュリティ』は新たなタイプのAI起点の攻撃からコードを保護し、従来手法では見落としがちな脆弱性をチームが発見し修正できるよう支援する」と説明した。
このようなAIセキュリティ機能が今後エンタープライズ向けセキュリティソリューションを侵食し得るとの危機論が市場を席巻し、先月はサイバーセキュリティ関連株も打撃を受けた。市場の反応に驚いたグローバルセキュリティ企業のトップは直ちに火消しに動いた。
各社はAnthropicの「クロードコードセキュリティ」の機能はコード脆弱性の検知に限られるため、エンタープライズ向けセキュリティソリューションとは性格が異なると強調した。多層防御構造で成るセキュリティスタック(セキュリティ体制)の別の段階で作動するという意味である。
セキュリティスタックは、PC・モバイルなど端末(エンドポイント)侵入の検知・対応、ネットワーク防御、クラウドセキュリティ、アイデンティティ管理、データ保護、アプリケーションセキュリティなどの層で構成される。「クロードコードセキュリティ」はこの中でアプリケーションセキュリティ領域を担い、特に開発段階で潜在的脆弱性を見つけ出すことに焦点を当てており、予防特性が強い。これに対し、パロアルトやクラウドストライクのセキュリティソリューションは、実際の企業運用環境で脅威をリアルタイムに検知・遮断するという点で、エンドポイント・ネットワーク・クラウド・アイデンティティの各セキュリティ領域を網羅する。
例えば「クロードコードセキュリティ」は、ハッカーが企業のネットワークに侵入して潜伏していたり、従業員がフィッシングリンクをクリックした場合に対応できないが、エンタープライズ向けセキュリティプラットフォームは進行中の攻撃を検知し、感染端末を即時に隔離したりマルウエアを遮断できる。また、エンタープライズ向けセキュリティプラットフォームに実装されたAIは、膨大な攻撃データで学習した特化型AIであり、設計目的と特性が異なるというのが専門家の説明である。
ジョージ・カーツクラウドストライク最高経営責任者(CEO)は「AIの革新は励みになるが、現実を直視すべきだ」と述べ、「クロードコードセキュリティはコード脆弱性スキャナーでありパッチ提案ツールにすぎず、全体のセキュリティ体制を代替できない」と語った。カーツは、実際にAIチャットボットのクロードにも「クラウドストライクを代替できるツールを作ってくれ」という命令文を入力したところ、クロードは「数千人のエンジニアが10年かけて構築した大型セキュリティプラットフォームは、単純なスクリプトでは実装できない」と回答したと強調した。
◇ 「短期的には補助、長期的にはセキュリティ産業の構造を変える可能性も」
Anthropicの開発者向けAIセキュリティ点検ツールは新機能ではない。競合各社もすでに類似機能を打ち出し、開発段階でのセキュリティ自動化を推進してきた。オープンソースプラットフォームのギットハブは2023年からAIベースの脆弱性自動修正機能「コパイロットオートフィックス」を運用しており、グーグル・ディープマインドはAIが自律的に脆弱性を探索する「ビッグスリーププロジェクト」を進行中である。
このため業界では、当面は「クロードコードセキュリティ」のようなAIツールが既存のセキュリティソリューションを代替するよりも補完する可能性が高いと見ている。実際、グーグルはAnthropicより先にコード脆弱性を検知して修正案を提示するAIツールを活用していたにもかかわらず、大規模なサイバーセキュリティ組織を運営し、セキュリティ技術にも大型投資を継続している。昨年イスラエルのセキュリティ企業ウィズを320億ドル(約46兆5000億ウォン)で買収した事例が代表的である。
投資銀行バンク・オブ・アメリカ(BoA)は「Anthropicの『クロードコードセキュリティ』は、ギットラブやジェイフロッグのようにコード脆弱性点検ツールを運用する企業には影響を与え得るが、まだ統合セキュリティプラットフォームを代替できるだけの可視性と運用安定性を備えていない」と評価した。
しかし、このようなAIベースのツールが急速に高度化し、コード脆弱性の検知を超えて他分野へ領域を拡大する可能性を排除できないとの意見も出ている。ヨム・フンニョル順天郷大学名誉教授は「現時点ではAnthropicのAIベースのセキュリティツールなどは補助的手段であり、人間の関与なしには活用できないが、今後完成度が高まるにつれ、高度なセキュリティソリューション向けのソフトウエア制作に活用できる」と述べ、「技術進化の速度次第だが、長期的にはセキュリティ産業にとって脅威になると見込む」と語った。