先週、AI企業のAnthropicは、セキュリティインシデントが発生したことを認めた。 ブログ記事草稿 にリークされた。 フォーチュン.
ブログでは、新プロジェクト「クロード・ミトス」と新モデル「カピバラ」が、AIアシスタントの「一歩進んだ変化」を表していると指摘した。ブログでは、“推論、コーディング、サイバーセキュリティにおいて有意義な進歩を遂げた汎用モデル ”と宣伝している。“
また、Anthropicブログは次のように警告している:「クロード・カピバラをリリースする準備として、私たちは細心の注意を払って行動し、それがもたらすリスクを理解したいと思います。“
アメリカの 草案 また、この新しいモデルは、「防衛側の努力をはるかに上回る方法で脆弱性を悪用することができるモデルの今後の波を予兆している」とも指摘している。“
クロード・ミトスは、組織のサイバーセキュリティ体制に大きなリスクをもたらす可能性がある。この新しいモデルは、AIやエージェント、その他の非人間的アイデンティティ(NHI)によって引き起こされるリスク増大の波に続くものである:
- ガートナー エージェント型AIは2025年のトップ・テクノロジー・トレンドであり、2024年の1%未満から2028年までに33%の企業アプリにエージェント型AIが搭載されると予測している。.
- 他の調査によると、薬価は人間の使用者数を上回っている。 45対1DevOps環境における。.
- 最近の調査によると 60%の企業が、薬価を適切に確保する能力に自信がないと表明した。.
クロード・マイトスであれ、ChatGPTであれ、他のエージェントサービスであれ、先週行われた RSAC会議 は、AIが脅威の状況をどのように変化させるかに焦点を当てた。.
ここでは、組織がAIを利用する準備とAIに対する防御に役立つベスト・プラクティスを顧客に紹介する。.
AIによる脅威は「来る」のではなく「来た」。以前の人間学 ブログ記事 このエージェントは、ある国家に支援されたグループが、クロードのガードレールを回避するために「合法的なセキュリティ・テスト組織のために働くふりをする」ことによって、「およそ30の世界的なターゲットに潜入するために使用され、少数のケースで成功した」と説明している。私たちはこれからも AIによるフィッシング攻撃 ユーザーの認証情報を盗むことを目的としている。.
組織は、より多く、より効果的な攻撃に備えるために、適切なアイデンティティ管理を行う必要がある。それには次のようなものがある:
- パスワードレス認証パスワードレスにすることで、AIによるフィッシング攻撃が盗み出そうとする認証情報を取り除くことができる。目指せ パスワードレスを大規模に展開 すべての環境のすべてのユーザーのために。.
- 認証プロセスを保護する:パスワードレス化は、AIから組織の安全を守るための素晴らしい第一歩だが、それは最初の一歩に過ぎない。以下のようなソリューションを使用することで、認証プロセスそのものを安全に保つことができる。 ユーザー信号を動的に評価 また、リスクの高いログイン試行時にステップアップ認証を要求したり、近接認証を使用してユーザーのデバイスがアクセスしようとしているものの近くにあることを確認したりすることもできる。.
- 双方向の本人確認:ディープフェイクは、攻撃者がユーザーやヘルプデスク担当者を装うことを容易にする。エージェントは、敵がより説得力のあるソーシャル・エンジニアリング攻撃を仕掛けるのに役立つ。組織には、この2つの戦術を説明する簡単な方法が必要です。 ユーザーを確認する を犠牲にするような攻撃を防ぐために、彼らが主張する人物とは誰か? MGMリゾーツ、シーザーズ・エンターテインメント・グループ、マークス&スペンサー に数億ドルの損害を与えた攻撃を思い起こさせる要素があります。
- アイデンティティ・ガバナンスと管理(IGA): ほとんどの侵害では、攻撃者は特権をエスカレートさせ、アクセスを拡大するために素早く動く。そのため アドバンスドIGAプログラム IDが必要なものだけにアクセスできるようにし、最小限の特権を強制し、ゼロ・トラスト・アプローチをサポートすることで、リスクを抑制することができます。.
外部のAIを防御するためのセキュリティ機能を備えるだけでは十分ではない。組織には、AIを安全に利用するためのアイデンティティ・セキュリティ管理も必要だ。その 2026 RSA ID IQレポート, サイバーセキュリティ、アイデンティティとアクセス管理(IAM)、コンプライアンス、および技術リーダー2,100人以上を対象とした業界調査によると、91%の組織が今年、サイバーセキュリティスタックに何らかの形でAIを導入する予定であることが分かった。.
AIを安全に利用するために、組織は次のことをしなければならない:
- すべてのエージェントをアイデンティティのように扱う. .組織は、すべてのエージェント、ボット、AIサービスをIDとして扱う必要がある。人間のユーザーと同じレベルの管理、権限、監視をNHIに導入する必要がある。まず、今あるものを棚卸しし、そのアクセスを把握する。そして、エージェントにはパスワードレスを義務付け、従業員が自分のパスワードをハードコーディングして代行するリスクを排除する。.
- 方針を明確に、大きな声で、頻繁に伝える。. .これはテクノロジーだけの問題ではない。組織は、どのようなサービスが公正なゲームであり、従業員がどのようなリソースを提供できるかを特定する必要がある。シャドーAIは、個人情報、財務情報、その他の制限されたデータを失う大きなリスクとなる。.
- より良いIGAを建設する。. AIを安全に利用するために、組織はIDデータの規模に対応したガバナンスを必要としている。つまり、アイデンティティが必要なアクセスしかできないようにし、アクセスを継続的に可視化し、複雑なデータを明確で優先順位の高いアクションに変えることです。AIは、レビュアーが自信を持って意思決定できるよう支援し、セキュリティ専門家にリスクを特定し、規模に応じて行動するための洞察を与えることで、アクセスに対する継続的でインテリジェントな制御を可能にします。.
- AIのためのデータ主権. .コンプライアンス、セキュリティ、および可用性の要件が強化されている組織は、以下を使用することを検討する必要があります。 主権配備 データ、データの保存場所、データへのアクセス権を完全に管理するための機能です。プライベートクラウド、マルチクラウド、オンプレミス、エアギャップ構成で、完全なアイデンティティ・アクセス管理(IAM)機能をサポートできるソリューションを探す。.
