JFrogレポート、AI/MLセキュリティー認識の乖離を明らかに

大手ソフトウェア企業であるJFrogは、AI/ML、セキュリティー検出、修復テクノロジーの使用に関して、上級管理職と現場チームの認識に大きなギャップがあることを明らかにするレポート「Knowing the Enemy: What Execs Need to Understand to Secure Their Software Supply Chain」を発表した。レポートでは、この乖離が世界中でソフトウェアサプライ チェーン（SSC）攻撃のリスク増加の一因になっていると示唆している。

このレポートは、ソフトウェアサプライ チェーンのセキュリティー侵害が増加している時期に発表された。最近のIDCの調査では、このような攻撃が前年比で241%増加していることが示されている。この憂慮すべき傾向にもかかわらず、ソフトウェアサプライチェーンの脆弱性に対処することが最大のセキュリティー上の懸念事項であると回答したのは、調査回答者のわずか30%だった。この矛盾は、組織がセキュリティー戦略を見直し、AI/MLコンポーネントをより重視する必要があることを示している。

このレポートでは、セキュリティー担当役員と最前線のソフトウェアチームの間にいくつかの相違があることも明らかにしている。例えば、92%の役員が自社には悪意のあるオープンソースパッケージを検出するツールがあると考えているが、開発者の同意率はわずか70%だった。同様に、90%以上の役員が自社のソフトウェアアプリケーションでMLモデルを使用していると考えているが、これを認めている開発者はわずか63%だ。これらの調査結果は、リーダーシップと最前線のチーム間の理解とコミュニケーションに大きなギャップがあることを示唆しており、これがソフトウェアサプライチェーンのセキュリティーを危険にさらす可能性がある。

レポートでは、こうした世界的な調査結果に加え、ソフトウェアサプライチェーンのセキュリティー、可視性、AI/MLテクノロジーの使用に関する地域格差についても調査している。例えば、EMEAの回答者の14%は悪意のあるオープンソースパッケージを識別するツールを認識していなかったが、米国（9%）やアジア（1%）ではその割合が低くなっている。これは、EMEAのセキュリティー戦略と運用上の理解に大きな隔たりがあることを示唆している。さらに、AI/MLモデルを使用していると回答したEMEAの回答者は82%にとどまったが、米国では91%、アジアでは99%だった。これは、リスク回避的な環境と厳しい規制により、ヨーロッパではAI/MLテクノロジーの採用が遅れていることを示している。

JFrogのレポートは、ソフトウェアサプライチェーンのセキュリティーの現状とAI/MLテクノロジーの使用に関する貴重なインサイトを提供する。ソフトウェアサプライチェーン攻撃のリスク増大に効果的に対処するためには、経営陣と最前線のチーム間のコミュニケーションと連携を改善する必要があるだろう。

レポート全文はこちら

出典：JFrog