KDLが目指す「脆弱性診断がない未来」とAIセキュリティの革新

脆弱性診断がなくなる未来を目指すKDLの挑戦

生成AIの進化により、企業のセキュリティリスクは新たな局面を迎えています。その中で、一般社団法人ソフトウェア協会（SAJ）に所属する株式会社神戸デジタル・ラボ（KDL）は、開発者目線の新たなセキュリティアプローチに挑戦しています。今回は、KDLのセキュリティチームオーナーである松田康司氏にお話を伺い、同社が展開する「AIシステムのセキュリティ診断サービス」と、その背景にある考え方について深掘りしていきます。

生成AIがもたらす新型リスク

近年、企業がAIを導入する際には、新たに生じたセキュリティリスクに直面しています。KDLはこうしたリスクに対応するために、AIアプリケーション特有の脅威を検査する「AIシステムのセキュリティ診断サービス」の提供を開始しました。このサービスでは、プロンプトインジェクションや機密情報漏洩など、生成AIに特有のリスクに対処する診断が行われます。

「生成AIが急速に普及する中で、従来のWebアプリケーション向け診断だけでは不十分な脅威が増えています。これに対し、KDLは独自の開発アプローチで、企業がAIを安全に活用できるようサポートしています」と松田氏は語ります。

KDLの強みと独自のアプローチ

KDLの最大の強みは、開発とセキュリティの両方を深く理解している点です。一般的なセキュリティベンダーとは異なり、KDLは開発現場と密接に連携し、リアルタイムでの最新技術の吸収を続けています。松田氏によれば、「診断チームのすぐ隣に開発チームがいて、実践的なアドバイスができる環境が整っています」とのこと。

このような強固な体制により、KDLでは「脆弱性診断がなくなる世界」を目指しています。松田氏は「開発チームがテストを行い、それだけで高い品質が保証されるのが理想です。セキュリティに対する心配が、開発者にとって無駄な時間にならないようサポートしていきたい」と話します。

セキュア開発トレーニングの実施

KDLは、開発者に対するセキュリティトレーニングも積極的に行っています。松田氏の提案で始まった「セキュア開発トレーニング」は、全社員に実施されています。開発チームが診断チームに出張し、実際のセキュリティ診断を経験するプログラムも有効に機能しているとのことです。

「開発者からは、『知識が身についた』とのフィードバックを得ています。これにより、より多くの開発者がセキュリティを意識し、自然とセキュアな設計ができる文化を育てていきたいですね」と松田氏は語ります。