AIがシステムの弱点を暴き、AIが攻撃する時代へ 自治体サイバー防衛の「新・生存戦略」（2/3 ページ）

生成AIの進化により、ソフトウェアの弱点が発見されるようになり、サイバー攻撃を取り巻く環境は大きく変わりつつある。これまでなら見過ごされていた問題が明らかになる一方で、AIを活用した攻撃の自動化も進み「防ぎ切ること」を前提とした従来の対策だけでは十分とは言えなくなってきた。AI時代のサイバー攻撃の実態と、自治体に求められる新たな防衛の在り方を考察する。

[川口弘行，ITmedia]

AIがシステムの弱点を暴き、AIが攻撃する　変化するサイバーセキュリティ

　情報システムの中には、社会に広く認知されておらず、対策も講じられていない脆弱性（ゼロデイ）が存在します。

　サイバー犯罪の世界において、これらゼロデイを知っている悪意ある攻撃者は、標的を慎重に選び、攻撃の機会をうかがいながらゼロデイを温存することが従来のセオリーだったように思います。

　しかし近年では、AIエージェントがネットワーク内を自律的に探索し、脆弱性のあるデバイスやサーバを特定。さらには多様な攻撃手法を自動で使い分ける完全自動化型の攻撃が普及しつつあります。ランサムウェアであれば、攻撃によりデータを暗号化した後に、身代金の要求、決済まで人間の手を介さずに完結させることも可能です。

　その結果、これまで以上に広範囲かつカジュアルに攻撃が仕掛けられ、脆弱な箇所はすぐさま狙われるという構図へと変わりつつあるのです。

　「まさか自分のところは攻撃されることはないだろう」と楽観する時代は終わり、誰もが攻撃対象となり得る時代に、自治体や企業はどのような対策を講ずる必要があるのでしょうか。

「侵入を防ぐ」から「被害を抑える」への発想転換

　第一に重要なのは「攻撃される前提」で対策を練る思考への転換です。

　従来は「全ての脆弱性をふさぐ」ことがゴールとされてきましたが、AIによって未知の脆弱性が高速かつ大量に発見される現代では、攻撃の「侵入」を完全にはふさぎ切れないことを前提に、被害を最小限にとどめる体制づくりが欠かせません。

　具体的な対策としては、次のような観点が挙げられます。

• 重要データのバックアップと、バックアップの定期的な耐性確認
• ネットワーク分離や最小権限運用など、被害が全体に広がらない環境設計
• 不審な通信やアクセスを検知し、早期遮断を可能にする監視体制
• 被害が出た場合の通報、復旧マニュアルの整備と復旧訓練の実施

　特に自治体においては、いわゆる「三層分離」により、庁内ネットワークとインターネットが分離している状態が続いてきました。

　ただ近年では、業務効率や利便性の観点からさまざまな分離形態が提唱されており、その中にはゼロトラストの考え方も含まれています。この点については過去の記事（自治体DXを阻む「三層分離」の壁　国主導のゼロトラスト移行に、現場が抱く“決定的な違和感”）でも紹介した通りです。

　しかし、AIエージェントが脆弱性のあるデバイスやサーバを特定する時代、ゼロトラストは有力な考え方である一方、状況によっては攻撃ポイントが広がるリスクも考えられるため、慎重な検討が求められます。

　筆者は、外部との結節点（インターネットと庁内ネットワークの接続箇所など）を最小限に抑えつつ、リアルタイムでの監視体制を強化することが、現実的かつ有効な対策ではないかと考えます。

　また、リアルタイム監視には相応のコストがかかるため、複数の自治体による監視体制の共同運営といった“集約のメリット”を活用する仕組みもぜひ検討したいところです。

　すでに自治体では都道府県単位で「情報セキュリティクラウド」が運用されており、集約監視の仕組みが存在しています。受託事業者間での健全な競争環境を維持しつつ、研鑽（けんさん）を積む仕組みを作れるよう、自治体側も積極的に要望や意見を発信していく必要があります。

　この考え方がさらに拡大すると、国単位のグレートファイアウォールでの監視につながりますが、保護されているのか監視されているのか、というバランスが難しそうです。