企業活動のデジタル化が進む一方、AIを悪用したサイバー攻撃の脅威が増大し、セキュリティへの関心はこれまで以上に高まっています。攻撃手法の自動化と高度化が進む中、守る側の企業は何を優先して対策を講じるべきなのでしょうか。
25年以上にわたり業界に従事し、現在はEYストラテジー・アンド・コンサルティングでサイバーセキュリティ共同リーダーを務める小川真毅氏に、AIがもたらす攻撃の変化や、それに対抗するための具体的な防御策の在り方、さらに近い将来を見据えたセキュリティの最重要課題などを伺いました。
CIO Japan:企業や組織へのサイバー攻撃において、AIの台頭がどのような影響を与えるとお考えでしょうか?
小川:まず大きいのは、「攻撃者のハードルが下がる」ことですね。従来のサイバー攻撃では、攻撃者自身がそれなりの知識やスキルを身につけ、独自にマルウェアを開発するなど、ある程度の準備が必要でした。ところがAIを活用すれば、自ら学習しなくてもAIに攻撃手法や攻撃コードを考えさせることができます。これまで以上に「短時間で、高度な攻撃を、誰でも実行しやすくなる」点が脅威だと考えています。
CIO Japan:攻撃のハードルが下がってしまう中で、企業がまず取り組むべきセキュリティ強化策はどのようなものでしょうか?
小川:従来のサイバーセキュリティの枠組みが根本から大きく変わるというよりは、「攻撃者がAIを使うなら、守る側もAIを活かす」という考え方が重要です。AIを取り入れて対策を高度化することがポイントで、これまでのセキュリティ対策に加えて、AIを使った検知や防御の仕組みを整備していく必要があります。
CIO Japan:サイバー攻撃の検知や予防にAIを活用する場合、現在どの程度実用化されていて、今後どのように進化していくと見ていますか?
小川:セキュリティでのAI活用は、大きく三つの段階に分けられると思います。
一つ目は脅威の検知。膨大なログやデータをAIが解析し、サイバー攻撃の兆候を早期に発見する。人力では見落としがちなパターンを拾えるため、効率や精度が上がります。
二つ目はAIが脅威を見つけたら、パッチを当てるなどの防御策を自動で進める段階です。人の手を介さず対策を実行できるので、被害を抑えやすくなります。
三つ目はセキュリティオペレーション全体の自動化・オーケストレーションです。SOAR(Security Orchestration, Automation and Response)という仕組みを使い、脅威の検知から対策の検討・実施、さらにファイアウォールのルール変更など包括的にAIが支援する段階です。この段階までいくと検知だけでなく、ファイアウォールのルール変更などネットワーク構成の最適化、各種対応策の提示など、運用をトータルでAIがサポートする段階です。企業全体のセキュリティ運用をAIがリードし、人間は必要に応じて意思決定をする形になります。
現状、多くの企業は第一段階ないしは第二段階まで導入しているところが多いです。第三段階に進むにはコスト面やインフラの複雑さ、グループ企業・サプライチェーンとの連携など、クリアすべき課題が多いのが実情です。
CIO Japan:AI同士の“攻撃 vs 防御”が高度化する中で、人間が最終的にどのような役割を果たすべきなのでしょうか?
小川:AIを使いこなすためには、「AIへのガバナンス」が欠かせません。企業として明確なガイドラインや管理方法を設けないと、AIが想定外の行動をしてしまうリスクがあります。
さらにサイバーセキュリティでは、システムを止めるなどのビジネス判断が必ず伴います。攻撃を受けているシステムを停止するかどうかは、売上などのビジネス面での影響を総合的に判断しなければなりません。これは企業の価値観や経営判断そのものですから、最終的には人間がしっかり舵を取る必要があると考えています。
CIO Japan:セキュリティ業界として今後5年、10年先を見据えた最重要課題は何でしょうか?
小川:いくつかありますが、最も大きいのは「量子コンピューティング」の実用化です。量子コンピュータが本格化すると、現在主流の暗号方式が容易に解読される可能性があると言われています。
そのため、耐量子計算機暗号(Post-Quantum Cryptography, PQC)の研究や導入を進めるなど、早い段階で対策を検討しなければなりません。ただし、5年・10年のスパンで見ると、AIを含めさまざまなテクノロジーの進化がサイバーセキュリティに影響を与え続けるでしょう。常に新しいリスクをウォッチし、自社のセキュリティ体制をアップデートできるかどうかが鍵だと思います。
CIO Japan:経営層から現場にいたるまで、どのようにセキュリティマインドを持続的に根付かせることができるのでしょうか?
小川:一朝一夕で変わるものではありませんが、繰り返しの啓発やトレーニングが重要です。大規模なセキュリティインシデントを経験すれば、一気に意識が変わることはありますが、それを待つのは本末転倒ですよね。日頃から継続して教育・訓練を行い、自分ごととして捉えてもらえるよう工夫していく必要があります。
また、CISO(Chief Information Security Officer)など、サイバーリスクを統括する役職や組織が経営レベルと密接に連携していることも大切です。事業を動かす側(事業部門)がIT部門やセキュリティ部門を“他人事”にしてしまうと、セキュリティリスクを後回しにしてサービスやプロダクトをリリースしがちになります。
「セキュリティは経営課題の一つ」という認識を浸透させ、現場の管理職が自チームに対して自分の言葉で“なぜサイバーセキュリティが必要なのか”を説明できる状態をつくることが理想です。
CIO Japan:最後に、セキュリティ部門と事業部門の考え方が乖離してしまう現状を、どう改善すればよいでしょうか?
小川:すべてをIT部門やセキュリティ部門が把握しきるのは難しくなっています。事業部門が独自でクラウドサービスを契約し、社内ITを通さずに業務を動かせる時代だからこそ、「最低限守るべきルールやガイドライン」を整備して、そこは確実に徹底することが不可欠です。
「ここだけは必ず遵守してほしい」というベースラインを示し、経営層からもその重要性をメッセージとして発信することが、セキュリティリスクを最小化する第一歩だと考えます。便利な外部サービスを使うこと自体を止められないにしても、企業としてどのような統制を行い、何を死守すべきかを明確にしておくことで、現場での暴走や想定外のリスクを防ぎやすくなります。
Read More from This Article: AI時代のサイバーセキュリティ、企業は何を優先すべきなのか?
Source: News