たった1件の不備でマイナス1万点 AIの物量攻撃に耐える“基礎の強度”:AIがもたらすセキュリティのパラダイムシフト
激変するセキュリティのランドスケープと、AIの物量攻撃に対抗する実務アプローチを解説。漫然とした基礎対応から脱却し、対策の“練度”を高め、ITとセキュリティの運用を組織的に統合していく必要性を説く。
この連載について
フロンティアAIの台頭がもたらす危機の真因は、脆弱性そのものではなく、それを容認してきたIT運用の仕組みや責任体制の未成熟さにある。本連載は、流行のキーワードに踊らされない冷静な視点から、「他産業に学ぶ制度設計」「ITとセキュリティの運用統合」「防御のAI化への分岐点」「ゼロデイを想定したレジリエンス」など、激変期を生き抜くためのアプローチを提示する。
前回の記事ではフロンティアAIによって今IT業界に何が起きているのか、セキュリティに関するパラダイムシフトについて建築業界の事例を交えつつ解説した。これまでのITシステムは、セキュリティへの要求水準が低かったが故に、脆弱(ぜいじゃく)性を放置していても何とか許されてきた。やられさえしなければ何とか使えていたのだが、そのような「砂のお城」も今後はもう許されない。
パラダイムシフト、すなわち足元で大きな地殻変動が起きているのだから、もちろん私たちが見ている景色、セキュリティのランドスケープもダイナミックに変化している点に注意したい。今まで常識だったことが通用しなくなっていたり、思いもよらないところに落とし穴ができていたり、行く先々で新たな壁が立ち塞がっていたりするかもしれない。
しかもそのスピードは極めて速い。だからわれわれは自分たちが置かれた環境がどのように変化しているのか、そこにいち早く気付いて軌道修正をかけなければならない。ランドスケープの変化のうち、特に多くの企業に共通して重要だと思われるものを紹介する。
変化1:基礎的なセキュリティ対策がますます重要になってくる
フロンティアAIによる攻撃側の変化のうち、やはり最も厄介なのは単純な攻撃量の増加だろう。いつの時代においても争いでは物量がものをいう。そしてAIによる“手当たり次第の圧倒的な物量攻撃”に対応するには、基礎対策を徹底することが極めて重要だ。
サイバーセキュリティの世界では、どうしても技術的に深い領域や新しい領域が華やかで目立ちやすく、世間の関心を集めがちだ。しかし、圧倒的な物量を前に、現実的な防御力に最も差をもたらすのは、何よりも基礎の強度だ。これは前回触れた建築業界と全く同じだ。どんなに高度な対応をしていても、基礎的な部分で隙間が多いと攻撃の多くがすり抜けてしまい、圧倒されてしまう。一言で言うと「基礎的な部分がみっちり、かつきっちりできていないと、その上に位置する応用的対策が成り立たなくなっている」状況が来ているのだ。
ポイントは、基礎の網羅性、厳密性、そしてスピードだ。今やセキュリティはなんとなく頑張っている、のでは通用しない。「仮にセキュリティの第三者評価で他社よりずっと高いスコアを誇っていても、仮に全社的に99%完璧な対策ができていても、たった1件でも特権管理に不備があったり、VPNの脆弱性が放置されていたりすると、マイナス1万点なのです」と私は最近顧客に伝えている。
クリティカルな脆弱性や管理者権限というのは、それぐらいAIに悪用された時の全体へのインパクトが計り知れない。脅威ハンティングをやっています、自前のレッドチームを持っています、と言ったところで、これらの基礎ができていないと、華やかな防御は実効性の観点では何の意味もなさない。
基礎の部分に隙間ができないよう、入念にみっちりと備えてこそ、初めて応用的対策が加点要素として生きてくるのだ。それに、応用的対策はかかるコストも要求される専門スキルも高い。基礎的対策に不備があるとベーシックなところに労力が割かれ、効率も悪い上に余計な消耗をしてしまうことになる。
変化2:セキュリティの“練度”を高められるかどうかがキーになってくる
欧米ではAIが台頭する前からこのような基礎的な領域の重要性を理解し、しっかりと経験を積み重ねてきている企業も多い。そのような企業では、単にプロセスやコントロールが導入されているかどうかは議論するまでもなく、むしろその質的側面に着目して、どこまで網羅的に、迅速にできるかを厳密に測定しながら改善を積み重ねている。
それはすなわち、“セキュリティをどこまで鍛えられるか”と言い換えられる。セキュリティは防衛である故に、“練度”が極めて重要となるのだ。その観点において、継続的改善を積み重ねるためには、データドリブンなオペレーションが前提となる。
基礎的取り組みに関するKPIをしっかりと持った上で、繰り返し追い込んでいく。そして最近ではさらに意識的にレジリエンシー(問題からの回復・修復能力)を高めるために、サイバーセキュリティにカオスエンジニアリングのコンセプトを導入する動きもある。これにより、本番さながらの障害やインシデント状況を意図的に引き起こし、有事に対処するための経験値を積極的に獲得できる。
残念ながら日本国内を見渡すと、そこまでできている企業は極めて少ない。読者の企業では漫然と基礎的対応をやっていないだろうか。市場で流行りのキーワードに乗せられて、場当たり的な対応をしていないだろうか。改めて、本気で基礎力の鍛錬に取り組んでいただきたい。
変化3:IT運用とセキュリティ運用の垣根がなくなってくる
基礎的対策が重要なことは伝わったと思う。そして国内の企業で、そのような基礎的対策が、IT運用とセキュリティ運用の狭間に落ち込んでしまっているケースが大半だ。
なぜなら日本ではIT運用部門とセキュリティ運用部門が組織として分かれていることが多い。多くの企業で、IDやアクセスの管理、パッチ管理、バックアップという基礎的な運用はIT部門で管轄し、セキュリティ部門では、脆弱性情報の収集、セキュリティアラートの監視などを担当しているケースが多い。
従来のIT運用においてはハードウェアやネットワークの障害対応など、可用性確保を主目的とした低レイヤーでの運用負荷が高かった。しかし、クラウドの普及などによって、その辺りの運用負荷が以前より減っている。一方で、繰り返される緊急のセキュリティパッチ適用や厳格な特権管理など、セキュリティに起因した運用の負荷は日に日にその割合が高まっている。
そしてここにきてAIの脅威を前に、いよいよITシステムそのものの在り方が変わろうとしている。ITシステムは安全でないと成り立たないし使えない。セキュリティ意識の低いIT運用など、企業にとって極めて大きなリスクになってしまう。だから、もはやセキュリティと切り離してIT運用を語ることには効率の観点でも効果の観点でも何のメリットもない。
だからこそ、今まさに組織としてIT運用とセキュリティ運用の統合が求められている。現実的にはIT運用とセキュリティ運用を別々の運用ベンダーに任せているような企業も非常に多いため、それは簡単ではないだろう。ただ、今後企業がITシステムを問題なく、効率良く使っていくためには、恐らくその統合が肝となってくる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
「全部やり直し」が最適解? ランサムウェア被害で突き付けられる3つの地獄
ランサムウェアにより業務が突然停止――。払うか、復旧するか、それとも全てを作り直すか。どの選択も正解とは言い切れず、判断が遅れるほど損失は膨らむ。なぜサイバーセキュリティの現場はここまで過酷な“板挟み”に陥るのか。その構造と現実に迫る。
生成AIの進化で変わる脆弱性対策 CISA新指針と「SCS評価制度」から探るパッチ適用方針
生成AIの進化によって「脆弱性対策」の難易度が急上昇しています。従来は数カ月ごとの定期メンテナンスでパッチを当てるのが主流でしたが、現在はどうでしょうか。これまでの対策が通用しなくなった原因と、CISAやIPAが示す防御戦略を解説します。
AIで高度化するサイバー攻撃にどう立ち向かう? 各種レポートに見る脅威の現在地とセキュリティの基本
ボイスフィッシングの増加や「Claude Mythos」の登場など、生成AIを悪用したサイバー脅威が急速に現実味を帯びています。2026年上半期に公開された注目のセキュリティレポートをひも解き、IT部門が知っておくべきAI利用のリスクと、AIを安全に業務のパートナーとして活用するためのポイントを解説します。
脆弱性の“発見”から“修正”がボトルネックに 「Mythos Preview」で見えた成果と課題感
Anthropicは、AIモデル「Mythos Preview」で重要ソフトの多数の脆弱性を発見したと発表した。オープンソースを含む広範な調査で修正作業の負荷増大が課題となり、防御側の迅速な対応強化を訴えた。
