Amazonのセキュリティ部門ディレクターが語る、企業が実施すべきAIの安全対策:CIO Dive
Amazonのセキュリティ部門ディレクターであるマーク・ライランド氏は「これまでにも熱狂的な盛り上がりは見てきたが、現在のAIに関する盛り上がりは様子が違う」と語った。
この記事は会員限定です。会員登録すると全てご覧いただけます。
企業がAIを迅速に導入しようとする中で、サイバーセキュリティに関する懸念がますます高まっている。
サイバーセキュリティ事業を営むArctic Wolfのデータによると(注1)、AIの導入が進む中で、セキュリティ責任者の約3分の1はランサムウェアよりもAIに関する問題を深刻なものと認識しているという。AIが正確な結果を生成できるかどうかは企業のデータに依存している。そのためサイバーセキュリティが最重要課題となっている。
2025年6月にCIO DiveはAmazonでセキュリティ部門のディレクターを務めるマーク・ライランド氏にインタビューを実施し、AIの急速な発展や経営層の懸念の変化、AIがサイバーセキュリティ対策に与える影響について話を聞いた。
CIO DIVE 生成AIやAIエージェントなどの最新のAI技術が特定の面においてセキュリティ上の重要な課題となっているのはなぜか。なぜAIに関する懸念がこれほど高まっているのか。
マーク・ライランド氏 これらのAIは非決定的なシステムであり、同じ入力から異なる結果が返ってくる場合がある。これは従来のコンピューター技術者たちにとって不慣れな現象だ。これらのAIツールをさまざまなビジネス課題に一気に適用しようとしている点も懸念の一因となっている。これまでにもAIに関する熱狂的な盛り上がりを見てきたが、今回は様子がやや異なる。構造化データと非構造化データの両方を活用できる強力な技術の登場によって大きな変革が確実に起こりつつあり、ビジネスの在り方も大きく変わろうとしている。
CIO DIVE AIによって企業のサイバーセキュリティ業務はどのように変化したのか。また、今後AIが最も大きな影響を与える分野はどこか。
ライランド氏 AIはサイバーセキュリティの分野に大きな影響を与え始めている。自然言語で質問するといったシンプルな使い方からAIの導入が始まっている。サイバーセキュリティアナリストを育成する際にも、人間の言葉で知的な質問をするだけで、優れた結果を効率的に得られる。
効果が顕著に現れている分野としては、文脈に基づく要約が挙げられる。誰かが「何か不具合があるかもしれない」と考えてセキュリティチケットを発行した際、AIは膨大なデータの中から類似する過去のチケットを見つけ、関連性の高い情報をまとめてくれる。これは人間によるキーワード検索では見つけにくいものだ。さらに、アプリケーションセキュリティチームはAIを活用して、より優れた自動テストを生成している。
CIO DIVE こうした技術の導入はサイバーセキュリティ業界の人材にどのような影響を与えるか。
ライランド氏 私たちが目指しており、かつ望ましいと考えているのはAIで人間の専門家の能力を高め、これまで困難だった作業をより効率的に実施できるようにすることだ。同時に、人間がこれらの分野で専門知識と判断力を磨くプロセスをやめるべきではないと考えている。業界全体として、人材育成を継続する方法を模索する必要があるが、多くの作業がAIツールで代替できるようになっている現実も受け入れる必要がある。人間の専門性を高いレベルで維持するという目標を持ち続けることが重要だと考えている。
CIO DIVE AIエージェントを導入する際、組織はどのようにしてサイバーセキュリティ体制を強化すべきか。
ライランド氏 私たちが推奨しているのは、AIエージェントシステムを使う際にも引き続き決定論的なチェックポイントを設けることだ。例えば、IDベースのアクセス制御を用いることで、各IDに応じてアクセス可能なデータを制限できる。AIエージェントが特定のIDに基づいて動作している場合、AIエージェントによる意図しない挙動を防げる。エージェントそのものを「ミスをする可能性のある人間のような存在」として扱うべきなのだ。しばらくの間は「人間が介在する仕組み」(ヒューマン・イン・ザ・ループ)も重要となるだろう。さらに、人間による監視やフィードバックをAIモデルの一部として組み込むことで、AIエージェントの精度を高められる。
CIO DIVE IT部門とセキュリティ部門が、より効果的に連携および協力するためのアドバイスが欲しい。
ライランド氏 パフォーマンスやコストをはじめとする他の基準と同様に、エンジニアリングの目標にセキュリティを適切に組み込むことが重要である。私たちが目指すべきは「最も簡単な方法が安全な方法である」という状態だ。ソフトウェアエンジニアがビジネスロジックを書くだけで、その他のセキュリティ要素があらかじめ整っている環境を提供できるのと理想だ。
もう一つの有効な取り組みとして挙げられるのは、「クラウド・センター・オブ・エクセレンス」の設置である。これは、CTO(最高技術責任者)およびCIO(最高情報責任者)、CISO(最高情報セキュリティ責任者)などが協力し、それぞれの専門知識を持ち寄るスキルチームであり、設置によりエンジニアリングチームがクラウド技術を導入および活用しやすくなる。
(注1)AI drives cyber strategies, security execs say(CIO Dive)
© Industry Dive. All rights reserved.
アイティメディアからのお知らせ
注目のテーマ
人気記事ランキング
- 10万超のWebサイトに影響 WordPress人気プラグインに深刻なRCE脆弱性
- 生成AIの次に来るのは「フィジカルAI」 NVIDIAが語る、普及に向けた「4つの壁」
- セールスフォースにも決められない? AIエージェント、「いくらが適正価格か」問題が勃発
- 7-Zipに深刻な脆弱性 旧バージョンは早急なアップデートを
- ランサム被害の8割超が復旧失敗 浮き彫りになったバックアップ運用の欠陥
- Let's Encrypt、証明書有効期間を90日から45日へと短縮 2028年までに
- サイバー戦争は認知空間が主戦場に? 「詐欺被害額が1年で倍増」を招いた裏事情
- 「フリーWi-Fiは使うな」 一見真実に思える“安全神話”はもう時代遅れ
- ソニー、AWSのAI基盤で推論処理300倍増へ ファンエンゲージメントはどう変わる?
- 三菱UFJ銀行もサイバーセキュリティの合弁会社を設立へ GMOイエラエらと
ITmediaはアイティメディア株式会社の登録商標です。