生成AIや量子技術で生まれる新たな脅威とは？ 企業に求められるセキュリティ対策のパラダイムシフト

多くの企業の業務変革を加速している生成AIだが、この技術を悪用したサイバー攻撃も増加している。2030年ごろまでに実用化すると予想される量子コンピュータは、現在広く使用されている暗号化技術など、既存のセキュリティ対策を無力化してしまう恐れがある。さまざまなテクノロジーの変化を受けてセキュリティ対策のパラダイムシフトが次々に起こる時代に、企業はどんな備えをすべきか。キンドリルジャパンでセキュリティビジネスを主導し、多くの企業の取り組みを支援しているコンサルトパートナーの小林 勝氏に話を聞いた。

[PR／ITmedia]

技術の進化で障壁が下がったサイバー攻撃

　テクノロジーの進化や高度化に伴い、セキュリティ対策のパラダイムシフトが加速している。中でも注視すべきは、生成AIを含むAI技術の普及だ。

　AI活用の「民主化」が進んだことは企業に多くの恩恵をもたらしているが、攻撃側のハードルが下がるという負の側面も生み出している。数年前まで、情報システムに対して攻撃を仕掛けるためには、ある程度の知識とスキルが必要だったが、今では専門知識がない人でも容易に攻撃ができる時代となっている。

　「海外ではわずか5歳の子どもがサイバー攻撃に加担した事例があり、最近ではサイバー攻撃を代行するオンラインのサービスまで登場しています。2024年末には国内でも中学生2人が代行サービスを利用して、自分が通っている学校に関係するWebサイトに攻撃を仕掛けたとして、書類送検や児童相談所に通告される事案が起こっています」こう語るのは、キンドリルジャパンのコンサルティング＆ソリューションデザイン事業部　セキュリティビジネス推進部　マネージャー／コンサルトパートナーの小林 勝氏だ。

キンドリルジャパン　小林 勝氏

　小林氏によると、サイバー攻撃の高度化だけでなく、攻撃の総量が急増していることも大きな課題だという。ただでさえサイバー攻撃は攻撃側が有利な状況にあるのに対して、守る側の対応が全く追い付いていないのが実情だ。

AIモデルそのものへの攻撃手法も

　とはいえ、AIを社会の害悪として遠ざけるのは早計だ。逆にAIを防御の手段として積極的に活用することで企業側にも大きなメリットをもたらす。侵入した脅威の検出や分析など、既にさまざまなセキュリティ製品がAI機能を取り入れている。

　「多くの企業が慢性的なセキュリティ人材不足に悩んでいますが、AIを活用することで、その不足部分を補うことができます。複数のインシデント情報をAIが相関的に分析して起こっている状況を説明するとともに、取るべき対策をアドバイスし、上層部への展開レポートまで自動的に生成してくれる時代です。セキュリティ対策で最重要とされる初動対応にも大きな効果を発揮します」

　もちろん、全てをAI任せにして、導き出される回答をうのみにしてしまうのも危険だ。AIは間違った情報を生成する可能性もあるからだ。実際にAIに誤った回答を導かせるために、企業が利用しているLLM（大規模言語モデル）を攻撃するといったサイバー攻撃の手法も存在する。そもそもオープンな生成AIサービスに対して、不用意に内部機密情報を入力することは、その行為自体が情報流出につながるリスクとなる。

　すなわち、AIに限らずどんなテクノロジーについても、その特性を十分に理解した上で活用することが大前提だ。「最終的な判断は必ず人が行うことが重要なポイントです。AIに関して言えば、サブ的なアドバイザーとして活用することで、非常に有用なツールとなります」と小林氏は強調する。

既存のセキュリティ対策を無効化する量子コンピュータ

　サイバー攻撃とセキュリティ対策の両面に大きな影響を及ぼすことが予想されるもう一つのテクノロジーである量子コンピュータへと話を移そう。

　量子コンピュータは、その名の通り量子の特性を利用したもので「1と0が同時に存在する状態」を応用して、一度に膨大な計算を処理するものだ。現行のコンピュータとは根本的に仕組みが異なるため、これまで年単位を要していたような計算も一瞬で終わらせられると考えられている。

　スーパーコンピュータを駆使しても解読に1万年くらいかかるとされていた暗号を、量子コンピュータがわずか200秒で解読してしまったというレポートもある。そんな量子コンピュータ時代の到来を見据える中で、セキュリティ対策の観点から叫ばれているのが「暗号の2030年問題」だ。

　「量子コンピュータが実用化すると見込まれる2030年には、現在一般的に使われている暗号化アルゴリズムや暗号を解くための鍵などを一瞬で解読されてしまう恐れがあり、情報の秘匿性が失われることが懸念されています」

未来のセキュリティ技術として注目を集める量子暗号や量子鍵配送

　では、守り側は完全にお手上げになってしまうのかというと、決してそうではない。先ほどAIを悪用した攻撃にはAIで対応する意義を述べた通り、量子コンピュータを悪用した攻撃には量子技術で対抗すればよい。

　「現在実用化に向けて開発が進められている量子技術に、量子暗号（PQC：Quantum-safe Encryption)や、量子鍵配送（QKD：Quantum Key Distribution）などがあります。量子暗号は『究極の暗号』と言われており、現時点では解読は絶対にできないと言われています。一方の量子鍵配送は、暗号化された情報を第三者がなんらかの方法で復号するための鍵を盗み出そうとすると、その鍵自体が無効になる仕組みです。どんなに離れた場所にあっても、一方の粒子の状態が変化すると、それに応じてもう一方の粒子の状態も瞬時に変化する量子エンタングルメント（量子もつれ）という特性を生かして、安全な鍵配送を実現します」

　なお、量子技術の応用系として「量子テレポーテーション」と呼ばれる技術の研究も進められている。量子もつれ状態にある複数の量子間で量子状態が同時に伝搬する現象を応用したもので、この技術が実用化すれば暗号鍵を瞬時に届けるだけでなく、安全にデータを転送することが可能になるという。

急がれる各国のセキュリティガイドラインや法規制への対応

　ここまで述べてきたように、AIや量子コンピュータといったテクノロジーの進化と実用化に伴い、新たなサイバーリスクが台頭してくるのはもはや不可避であり、これに対抗するためにセキュリティ対策もまた、パラダイムシフトを進める必要がある。

　そのための備えとして、各国の政府や省庁、業界団体などがセキュリティ対策の底上げを目的としたさまざまなガイドライン、法規制などを発表している。

　欧米をはじめとする諸外国と比べて取り組みの遅れが目立った日本も、各国と同程度までセキュリティ水準を高めるため、NIST（米国立標準技術研究所）のサイバーセキュリティフレームワークなどを意識したガイドラインの策定、展開を進めている。

　当然、各企業としてもこの動きに対応した準備を怠ることはできない。

　「2024年5月に施行された経済安全保障推進法に続き、金融庁も新たなセキュリティガイドラインを策定し、ゼロトラストモデルを金融分野にも取り入れるように指導しています。重要なことは、今やれることから確実にやっておかなければ、AIや量子コンピュータを悪用した新たなサイバー攻撃のリスクにも対応できないことです。セキュリティ対策のあるべき姿は、一足飛びには実現できません」

　サイバーセキュリティに関する主要なガイドラインや法規制への対応の遅れは、経営リスクに直結することを忘れてはならない。

　「現在のサプライチェーンは国内だけでなくグローバルに広がっており、当該国のガイドラインや法規制に対応しているかどうかが、ビジネスの取引条件となります。EUサイバーレジリエンス法など新しい法令に対応できていないと、EUと取引のある製造業などでは製品や部材を輸出できないといった問題も懸念されています」

　サイバーセキュリティのガイドラインや法規制への対応は、いまやサプライチェーンにおいて当たり前のルールとしてグローバルに浸透しており、各国のビジネスへの「参加資格」や「パスポート」となりつつあるのだ。企業としては新たなセキュリティの脅威に備えるだけではなく、ビジネス継続の観点からも各国や地域の動向をアンテナ高く注視し、適切な対応を進めていかなければならない。

ビジネス目標に追随するセキュリティ戦略全般をトップダウンで支援

　ところが当事者である企業では「何から始めればよい？」「どこまで行えばよい？」といった悩みを抱えるケースも多い。

　セキュリティ対策が失敗に陥りやすい原因の一つとして、世間で騒がれている攻撃者の新たな手口を捉え、それを防ぐためのセキュリティ対策を積み上げていく「近視眼的なボトムアップのアプローチ」のみに終始してしまうことが挙げられる。

　そこでより重要となるのは、自社のビジネスにとって最適なセキュリティ対策の戦略を立案し、事業部門へと展開するトップダウンのアプローチである。

　前述したさまざまなガイドラインや法規制に対応しつつ、AIや量子コンピュータの技術を悪用した今後の脅威にも備えていくためには、ビジネス目標（達成したい企業目標やビジネス戦略など）や社会の環境変化なども踏まえた上でロードマップを策定し、着実に進めていくためのマイルストーンに落とし込む必要がある。こうした企業のあるべきセキュリティ対策を支援しているのがキンドリルだ。

　「私たちはセキュリティに関する上流のコンサルティングから、構築、実装、運用までワンストップで対応しています。当社はIBM時代から30年以上にわたり社会の生命線となる重要なシステムの運用を担ってきました。こうした世界最大級のITインフラサービス企業だからこその経験と知見を生かして、ビジネス目標の達成からガイドライン対応までセキュリティ戦略全般を一貫して支援できるのが強みです」

　セキュリティ対策の構想策定や戦略コンサルティング、SOCサービス、ソリューション提供、クラウドサービスなど、それぞれ得意分野をもつベンダーは数多いが、その全てを横串で見ることができるセキュリティサービス企業は限られている。

　起こった事象の関連性や相関性などを考えると、インフラ全体を横串で見ていくことがセキュリティ対応の肝となる。裏を返せば、それらがサイロ化された状態は初動が遅れる原因となり、被害が拡大してしまうことにもなりかねない。

　キンドリルとタッグを組むことで、企業は世の中の動向に合わせて自社のセキュリティ対策をアップデートし、自社ビジネスの優位性やレジリエンスを高めていくことが可能になるだろう。

※本稿は、キンドリルからの寄稿記事を再構成したものです。