ソフトウェアのサプライチェーンは常に脆弱だった — JP Morganによる声明

JP MorganのPatrick Opet最高情報セキュリティー責任者（CIO）が今週、公開書簡にてアメリカ企業に警鐘を鳴らし、ソフトウェアのサプライチェーンにおけるセキュリティーを優先するよう業界に呼びかけた。これは、ほとんどの人がかつて耳にしたことのない内容でした。このニュースで衝撃的だったのは、この声明が資産額で米国最大かつ時価総額で世界最大の銀行から発信されたという点です。金融機関は一般に、大胆かつ全面的な声明を出すことはありません。

さらに、Opet氏の書簡では、失敗のコストが数兆ドルに達する可能性がある金融業界など、より規制が厳しく機密性の高い部門でのリスクを特に強調しています。IBMの2024年 データ侵害のコストに関する調査によると、金融業界における1件の情報漏えいにかかる世界平均コストは608万米ドルで、ヘルスケア業界における情報漏えいコストの977万米ドルに次いで2番目でした。

「利便性はもはやコントロールを上回ることはできません」とOpet氏はLinkedInの投稿で述べ、サードパーティーのソフトウェア・プロバイダー、セキュリティー・リーダー、そしてより広範な技術コミュニティーに対し、「システム全体に壊滅的な結果をもたらす」可能性のある「単一障害点」をより詳しく検討するよう呼びかけました。

ここでの「利便性」は、遅延や手動によるやり取りなしに更新される、データとプロセスがシームレスに統合されたシステムを指すと思われます。これは間違いなく各企業にとって目指すべき地点です。しかし、IBMのAIセキュリティーおよびインフラストラクチャー担当CTO（最高技術責任者）であるNataraj Nagaratnamは、「AIエージェントがAIのより自律的な使用を普及させるにつれて、エンタープライズ・セキュリティー対策がそのイノベーションに伴うリスクに見合ったものであると確認することがこれまで以上に重要になっています」と警告しています。

Nagaratnamは、サンフランシスコで開催されたRSAイベントの会場からIBM Thinkの取材に応じました。同イベントは今年最大級のサイバーセキュリティー・イベントの1つであり、4万人のセキュリティー分野の専門家が参加しました。Opet氏の書簡はその日の話題となり、議論を巻き起こしました。また、この内容が業界全体の標準を作成し、その遵守状況を測定する方法を確立するよう求める呼びかけであることが認知されました。

初期段階では、これらの標準や測定基準が具体的にどのようなものであるべきかについて、まだ結論が出ていませんでした。しかし、リスクはこれ以上ないほど高いのです。一例として、ミシガン州イーストランシングのコンサルティング会社のAnderson Economic Groupによると、自動車業界にソフトウェア・サービスを提供するソフトウェア・ベンダーのCDK Globalへのランサムウェア攻撃は、自動車販売ディーラーに総額10億米ドル以上の損害を与えたと推定されています。Opet氏は、「セキュリティーを犠牲にして市場シェアを追求すると、顧客のエコシステム全体が重大なリスクにさらされ、結果として経済システムの持続不可能な状況が発生します」と述べています。

ここからすぐに得られる学びはあるでしょうか？IBMの専門家は、Opet氏の書簡とその周辺の議論から、次の3つの取るべき具体的なアクションを聞き取りました。

1. セキュア・バイ・デザイン：セキュリティーは後になってから考慮すべきものではありません。「プロバイダーは、セキュリティーを新製品の発売と同等かそれ以上の位置付けにして、早急にセキュリティーの優先順位を見直す必要があります」とOpet氏は書いています。IBMのサイバーセキュリティー・サービスのグローバル・マネージング・パートナーであるMark Hughes氏は、最近のサイバーセキュリティー・レポートからこのような見解を予見し、「企業は場当たり的な予防の考え方を転換し、認証管理の近代化、多要素認証に潜む穴を埋めること、リアルタイムの脅威ハンティングなど、機密データの漏洩前に隠れた脅威を発見するためのプロアクティブな対策に焦点を当てる必要があります」と述べていました。Opet氏の書簡を受けたLinkedInの投稿で、Hughes氏は企業に対し、テクノロジーとデータ・ガバナンスのギャップが「リスクの入り口になる前に」対処するべきであると促しています。
2. 標準化されたコントロール：SaaSやその他のサードパーティ・ベンダーは、標準化されたコントロールを採用して継承する必要がある、とIBMのDinesh Nagarajan（IBM Consulting for Data& AI、耐量子安全、アプリケーション・セキュリティ・サービスのパートナー）は述べています。しかし、ソフトウェア・ベンダーを評価する標準的な方法を確立するだけでは十分ではなく、「ベンダーが必要な規制やコントロールに準拠しているかどうか」を監視することが重要であると彼は付け加えました。IBMは、クラウド業界全体にわたるコントロールの開発を支援し、クラウド・セキュリティー・アライアンスのような業界団体と協力して、特に金融機関向けのクラウド管理体制の整備に取り組んできました。この取り組みを踏まえて、IBMは複数の大陸わたって拠点を構える10の銀行と共同で、金融機関での生成AIの利用のためにこのアプローチを拡張しました。
3. サプライチェーン全体のガバナンス：SaaSプロバイダーと企業は、セキュリティーを積極的にガバナンスおよび管理し、コンプライアンスを継続的に監視するための総合的なアプローチを取る必要があるとNagaratnamは述べています。その1つの方法は、エクスポージャーを特定し、リスクを評価し、インシデントの影響を軽減することを目的とした独自のサイバーセキュリティー・プレイブックを開発し、その内容を実行することです。このようなインシデント対応プレイブックでは、サードパーティーが提供する生成AIソリューションのセキュリティーを確保するための責任を負う（そして潜在的に責任を負う）など、特定のアクションの責任者を検討する必要もあります。サードパーティ・コンポーネントへの依存には、厳格な監視とコントロール、そしてベンダーがその一部だけでなくソフトウェア・スタック全体のセキュリティー保護に責任を負うような共通の責任に対する理解が必要です。

また、企業のガバナンスやコンプライアンスを支援する新たな業界ツールも毎週のように登場しています。例えば昨日、AIガバナンス・プラットフォームであるCredo AIとIBMが共同開発したwatsonx.governance Compliance Acceleratorがリリースされました。これにより、AIユースケースの所有者とコンプライアンス担当者は、より迅速かつ自動化された方法でさまざまな規制に準拠できるようになります。

IBMのNagarajanは、個々のビジネスリーダーが使用するテクノロジーに対して責任を持つようにすることが、セキュリティーの向上に大いに役立つだろうと述べています。「ビジネスリーダーに、使用するテクノロジー、その管理方法、目的、安全性の維持方法について責任を持たせることで、セキュリティーは自動的に向上します。」