「便利になるはずなのに……」 生成AIに苦しめられるセキュリティ担当者たち：Cybersecurity Dive

多くのセキュリティツールでAIが活用されているが、生成AIの登場によって状況は変化した。専門家たちは生成AIをどうセキュリティ製品に組み込むべきかを苦慮している。

[Sue Poremba，Cybersecurity Dive]

　サイバーセキュリティにとってAIは目新しいものではない。自動化されたセキュリティツールの大半は何らかの形でML（機械学習）を含めたAIに依存しているにもかかわらず、誰もが生成AIを話題にし、懸念を感じている。

こんな調子で大丈夫？　約半数がAIを活用したセキュリティの経験が浅い

　ただ、サイバーセキュリティの専門家が、セキュリティに対する生成AIの影響を甘く見ていまだに対処していないのであれば大きな遅れが生じることになるだろう。

　米国サンフランシスコで開催された2024年度の「RSAカンファレンス」において、サイバーセキュリティ事業を営むSlashNextのパトリック・ハー氏（CEO）は「列車はすでに駅を出発した」と述べた。

　サイバーセキュリティ企業Darktraceの調査によると（注1）、AIによる脅威はすでに4分の3の組織に影響を及ぼしている。そのうち60％は「AIベースの攻撃に対処する準備ができていない」と認めている。

　AIを活用したサイバー攻撃によって、サイバーセキュリティ領域における人材不足が明らかになりつつある。特にクラウドコンピューティングやゼロトラストの実装、MLを含めたAIに関する能力などの分野で、企業はすでにスキルギャップに懸念を抱いている。

　情報セキュリティの認証を行う非営利団体であるISC2のクレア・ロッソ氏は、RSAのカンファレンスの聴衆に対して「AIによる脅威の高まりを考慮すると、サイバーセキュリティチームには数年の猶予もない」と語った。

　ISC2の調査によると（注2）、現在、サイバーセキュリティの専門家の41％はAIを活用したセキュリティ保護について、ほとんど経験がなかったり、全く経験がなかったりする。21％は「懸念を軽減するためのAIに関する十分な知識がない」と回答した。

　これらの専門家が、2025年までにAIが業界最大の課題になると述べたのも不思議ではない。

なぜセキュリティ業界は生成AI活用の準備が足りていないのか？

　組織は何年も前からサイバー脅威を検知するためにAIを利用してきた。しかし、生成AIが議論の焦点を変えた。

　これまでは、AIについて考えるときに前提とする範囲は企業ネットワークや攻撃者に限定されていたが、今や顧客との関係も含めて考えなければならない。

　組織はチャットbotなどのツールを通じて、消費者とのやりとりにおいてAIに依存するようになる。この中で、セキュリティチームはAIと第三者のエンドユーザーとのやりとりを中心に据えたセキュリティ検出とインシデント対応へのアプローチについて再考しなければならない。

　問題は生成AIに関するガバナンスだ。サイバーセキュリティチームや組織全体は、AIのトレーニングに使用されるデータがどのようなもので、誰がこれらのトレーニングモジュールにアクセスできるのか、そして、AIがコンプライアンスにどう適合するかについて明確な理解を持っていない。

　以前は、第三者が機密と見なされる可能性のある企業情報を求めても、セキュリティリスクの可能性があったため、誰も提供しなかった。現在では、その情報はAI対応モデルに組み込まれている。しかし、その情報のガバナンスについて誰が責任を持つかは定義されていない。

　サイバーセキュリティチームは、攻撃をいかに阻止するかに集中しており、彼らが積極的に共有しているデータに関するリスクを見逃している。

　Darktraceのニコル・カリニアン氏（サイバーAIに関する戦略を担当するバイスプレジデント）は、RSAのカンファレンスで「セキュリティの観点から、技術を安全に導入するためには、MLモデルが何なのか、データとどのように接続されているのか、事前学習されているのかどうか、連続的に学習しているのかどうか、重要性をどう評価するのかを理解する必要がある」と述べた。

セキュリティチームはどこからAI活用を始めればいいのか？

　生成AIはAIの一種にすぎず、そのユースケースも限られている。AIツールが何を得意としているかを知ることは、セキュリティチームがAIの脅威に対処するためのスキルとツールを構築する手助けとなる。

　一方、組織は現実的になる必要がある。ニーズがあるからといって、スキルギャップが2年後や5年後に魔法のように解消されるわけではない（注3）。

　セキュリティチームが必要なスキルを習得するまでの間、マネージドサービスプロバイダー（MSP）が状況をサポートするのに役立つ。MSPを利用してAIセキュリティを管理するメリットは、単一の組織のネットワークを超えて管理できることだ。MSPは、さまざまな環境でAIの脅威がどのように操作されているかを観察できる。

　しかし、それでも組織は社内のAIシステムを訓練したいと考えるだろう。データ管理ソリューションを提供するZendataのナラヤナ・パップ氏（CEO）は「このような状況では、セキュリティチームは合成データを使用してサンドボックスから始めるべきだ」と述べた。これにより、セキュリティの担当者は安全なデータを使ってAIシステムをテストできる。

　社内のスキルに関係なく、最終的にAIの脅威を管理するためには、セキュリティツールキットにおけるAIの使用方法が重要になる。セキュリティの専門家は、基本的なセキュリティ衛生を実施するためにAIを活用し、コンプライアンス規制を順守するためのガバナンスを追加する必要がある。

　「AIについて、さらに多くのことを学ぶ必要がある。私たちの仕事は、自己の教育だ」（ロッソ氏）

（注1）Industry Perspectives on the Growing Role of AI in Cyber Security（DARKTRACE）
（注2）The Real-World Impact of AI on Cybersecurity Professionals（ISC2）
（注3）To fill cybersecurity skills gaps, experts look to novel measures（Cybersecurity Dive）

原文へのリンク