AIの導入が進む中、企業におけるサイバーセキュリティへの懸念が高まっている。現状はまだAIを狙ったサイバー攻撃は少ないが、だからこそ今のうちに脅威アクターに先んじた社内教育や対策をしておくべきだろう。
この記事は会員限定です。会員登録すると全てご覧いただけます。
ITインフラサービスを提供するFlexentialが年商1億ドル以上の組織のIT意思決定者350人を対象に実施し、2024年9月第2週に発表した調査によると、「AI投資が増加したことで、組織がサイバー脅威に対してこれまでより脆弱(ぜいじゃく)になった」とITリーダーは述べているという(注1)。
同調査によると、半数以上の経営幹部がAIアプリケーションの複雑化によって攻撃対象領域が拡大し、自社のサイバーセキュリティ態勢が弱体化していると評価した。また、ITリーダーの約5人中2人が、自社のセキュリティチームにはAIアプリケーションやワークロードを保護するために必要なスキルが不足していると回答したという(注2)。
AIがIT戦略にますます組み込まれる中で、企業のリーダーの間ではセキュリティに対する懸念が高まっている。
Verizon Communicationsのクリス・ノヴァック氏(サイバーセキュリティコンサルティング担当シニアディレクター)によると、これまでのところAIによる攻撃は脅威活動全体から見ればごくわずかだという。
「われわれはAIによる攻撃が起こり得ないとか、そのような事例がないとは言っていないが、注意深く言葉を選んでいる」と、ノヴァック氏は2024年夏の初めに「CIO Dive」に語った。
「しかし、統計的な観点から見ると、AIはサイバー攻撃全体の中で恐らく最もリスクが低いツールの一つだ」(ノヴァック氏)
従来の手法から変化していない要因は、脅威アクターのROI(投資対効果)にある。人為的ミスを悪用したサイバー攻撃は非常に成功率が高いため、コストのかかる新しい手法を追加してもあまり変わらないとノヴァック氏は言う。Verizon Communicationsの年次データ侵害調査報告書によると、2024年のデータ侵害の3分の2以上は、ソーシャルエンジニアリング攻撃や従業員のミスなど、悪意のない人為的な要因が絡んでいる(注3)。
「脅威アクターは必ずしも懸命に努力する必要はない。多くの場合、従来の手法が非常にうまく機能しており、報酬もすぐに手に入るからだ」(ノヴァック氏)
組織はミスを抑制するために従業員のトレーニングに対する投資を続けるべきだが、リーダーらはAIを利用した攻撃がまだ少ない現状を生かすこともできる。
2024年6月に発表されたSkillsoftの調査によると、経営幹部の3分の1以上が、2024年のスキルアップのための最重要の投資分野としてサイバーセキュリティとAIを挙げている(注4)。スキル格差を埋める努力を怠ると、リスクを悪化させる可能性がある。情報セキュリティにおける非営利の認証機関であるInternational Information System Security Certification Consortiumの調査によると、サイバーセキュリティ専門家の5人中2人以上が、AIのセキュリティ対策に関する経験がほとんどない、もしくは全くないことを認めている(注5)。
AIの導入計画にセキュリティを組み込むことは非常に重要だ(注6)。ノヴァック氏は、「通常であれば脅威アクターの行為を確認するために待機するが、AIにおいてはわれわれが先手を打つチャンスだ」と述べている。組織がどのようにAIのリスクを軽減し、AI主導の攻撃からビジネスを守れるかを理解することが大切だ。
(注1)Flexential Survey of Enterprise IT Leaders Reveals AI Creating New Cybersecurity and Resilience Challenges(PR Newswire)
(注2)AI raises CIO cyber anxieties(CIO Dive)
(注3)タイトル(Verizon)
(注4)Cyber, AI and data dominate upskilling priorities, Skillsoft finds(CIO Dive)
(注5)Is the cybersecurity industry ready for AI?(Cybersecurity Dive)
(注6)How CIOs can infuse security into generative AI adoption(CIO Dive)
© Industry Dive. All rights reserved.