私たちは、300 人以上の VP および C レベルの幹部を含む、世界中の 1,200 人以上の技術専門家を対象に、AI/ML の使用とソフトウェア サプライ チェーン (SSC) のセキュリティの取り組みについて調査しました。分析の結果、幹部が起こっていると考えていることと、開発者やエンジニアが報告している状況との間に驚くべきギャップが明らかになりました。
私たちが発見したことは次のとおりです:
詳細については、レポートをダウンロードするか、こちらをお読みください。
AI/ML の使用に関しては、経営幹部の 88% がこの新しいテクノロジーがセキュリティ スキャンと脆弱性修正プロセスに統合されていると考えていますが、開発者の 60% だけがそのように報告しています。
この研究では地域差も浮き彫りになった。
APAC 地域が世界のリーダーとして浮上し、99% の経営幹部が、自社のセキュリティ プロセスに AI/ML を統合していると考えています。米国は 91% でこれに続き、ソフトウェア アプリケーションへの ML モデルの統合が EMEA (82%) よりも速く進んでいます。これは、米国での競争圧力や、厳格な規制によるヨーロッパでのよりリスク回避的な環境を反映している可能性があります。
ソフトウェア アプリケーションで ML モデルを使用していますか?
組織は、ML モデルと AI コンポーネントに重点を置き、これらのタスクに関して経営陣と開発者の間で整合性を確保する必要があります。経営陣の 90% 以上が、組織がソフトウェア アプリケーションに ML モデルを組み込んでいると回答しましたが、開発者の 63% だけがこれに同意しました。
悪意のあるオープンソース パッケージを検出するためのソリューションはありますか?
幹部の 92% が、組織には悪意のあるオープンソース パッケージを識別するために必要なツールがあると確信している一方で、開発者で同じ考えを共有しているのは 70% に過ぎませんでした。この食い違いは、2 つのグループ間でオープンソースのセキュリティ課題に対する理解に差があることを示しています。幹部は、セキュリティ チームが脆弱性を修正し、新しいパッケージやライブラリの承認を得るために費やす時間を過小評価しているようです。
さらに、経営陣は、開発者が認識しているよりも多くの割合のコードレビューが自動化されていると想定していました。
コードレベルとバイナリレベルでセキュリティスキャンを適用していますか?
幹部の 3 分の 2 は、組織がコードまたはバイナリ レベルでセキュリティ スキャンを実施していると考えていましたが、これに同意する開発者はわずか 41% でした。幹部はまた、開発者からの報告と比較して、組織内で使用されているアプリケーション セキュリティ ソリューションの数が多いことを示しており、これはこれらのツールが十分に活用されていないことを示唆している可能性があります。
ギャップを埋める
悪意のある行為者が SSC に焦点を絞るにつれて、組織は防御を強化するプレッシャーにさらされています。オープンソース エコシステムの継続的な成長とセキュリティ ツールの急速な進化により、経営陣はソフトウェア開発プロセスを保護するためのより効果的な方法を模索せざるを得なくなりました。AI / ML の保護は、単純な 1 ステップのソリューションではありません。最初のステップは、組織内で AI がどのように、どこで活用されているかをしっかりと理解し、保護戦略を考案することです。セキュリティおよび IT リーダーは、経営陣から開発者まで、特に AI の使用に関する会社の現在のリスクとセキュリティ体制を全員が理解できるようにする必要があります。新しい規制を順守するための積極的なアプローチ、境界を保護して「悪いもの」の侵入を阻止する取り組み、AI モデルの品質とセキュリティを採用することで、組織は防御を強化しながら、開発者に革新の自由を与えることができます。