AIの全面的な受容がCISOに求められる理由

人工知能(AI)はサイバーセキュリティ分野のゲームチェンジャーであるとの意見は、目新しくはないものの、改めて述べるに値する言葉です。AIを信頼し正しく利用すれば、セキュリティ チームに欠かせない新たなパートナーとして、先進技術で人間を支援できます。一方で、AIの全面的な受容に失敗すれば、AIを武器として利用する攻撃者に圧倒されかねません。

サイバーセキュリティ分野においてAIは諸刃の剣ですが、現時点で主導権を握っているのはおそらくサイバー犯罪者の側です。攻撃の高速化と大規模化にAIを悪用し、より効果的な手法、戦術、手順(TTP)を生み出しています。

例えば、攻撃者がChatGPTなどの商用ツールを悪用した場合、従来よりもターゲットを絞った見破りづらいビジネス メール詐欺(BEC)やフィッシング攻撃を実行できます。また、経験の浅い素人ハッカーであっても、AIを利用すれば本来の実力をはるかに超えた巧妙な攻撃を実行できます。しかしながら、現時点で判明している事例は氷山の一角にすぎません。

AIは昔から存在しますが、サイバーセキュリティ分野での利用は他と比べると進んでいません。ただし、思い返せばChatGPTの登場はつい最近の2022年11月です。AI学習の大部分はアプリケーション スタックを中心に進む見込みであり、ソフトウェア コードの大々的なエクスプロイトにAIが悪用されるのは時間の問題です。

AIの弊害

サイバー犯罪者はイノベーションと新しい攻撃手法を常に模索しています。使えるものは何でも使う、シンプルなビジネス モデルです。AIを効果的に用いた攻撃を既に実行している上、より大規模な利用にも熱心です。

こうした課題を念頭に、AIの利益ではなく弊害に目を向けるCISOが既に多数存在します。ロンドンを拠点とするサイバーセキュリティ コンサルティング会社がCISO250名を対象に実施した調査によると、企業に対する最も重大なサイバー脅威としてAIを挙げた回答者が80%に達したほか、AIのリスクが利点を上回ると考える回答も81%にのぼりました。¹

そう考えるのも無理はありませんが、大局的な視点も必要です。サイバー犯罪者が使用するツールや技術を防御側がコントロールすることはできません。AIの利用は急速に普及する見込みですが、AI生成攻撃やAI利用攻撃に対する強固なサイバー防御を構築しなければ、状況はさらに悪化します。AIを用いた攻撃に人間の力だけで対抗するのは、片手を封じた状態で戦うようなものです。

では、AIに対する強固なサイバー防御を構築するには、どうすればよいのでしょうか? 筆者の考えでは、AIと戦う唯一の手段はAIです。

AIの利益

実際、AIは特定の仕事を人間よりも素早く正確に行えます。人間が敵わないスピードでの反復作業や、人間よりも迅速なコード作成が可能です。適切な目的に使用すれば、1つのAIが10人分の仕事をこなせます。しかも、AIの能力は日を追うごとに向上しています。

現状では、脅威へのアラート、監視、応答にAIが使用されています。そして2025年には、AIを用いてアラートを監視し自律的な対策を講じることになる見込みです。

その理由は、人間のスピードでは脅威環境に追いつけないからです。したがって、適切な制限の下でAIに仕事を任せることが求められます。自律的な対策の実施をAIに許可するには、AIの権限と責任を明確化することが必要です。そしておそらく最も重要なポイントは、サイバーセキュリティ チームの人間を信頼するのと同じように、AIを信頼して仕事を任せることです。

新しいチームメンバー

AIは正しく使うことが肝要であり、組織を危険に晒しかねません。筆者はCISOとして、組織文化の創出と醸成を自らの最も重要な職務の1つだと考えています。CISOがAIを不可欠なツールとして受容すれば、チームメンバーも受容しやすいです。

筆者の提案は、サイバーセキュリティ チームに新たに加わった仕事仲間としてAIを捉えることです。この新メンバーは、重要なタスクを驚くべきスピードで正確かつ網羅的に実行する能力を有し、高い自主性を備えていると考えてください。

人間の労働者が泥沼にはまりかねない機械的タスクの大多数をAIに積極的に任せることがCISOとそのチームには求められます。そのために、AIを有効活用できる作業を慎重に見極めることですが、テクノロジは絶えず進歩するため、現在だけでなく将来も考慮する必要があります。例として、AIが人間を補助できる領域、AIが人間に取って代われる領域、AIを用いて人間の能力を高められる領域を明確化します。また、AIによる質とスピードの向上とリスク削減が見込める、人為的ミスが起きやすいタスクも明らかにします。

責任あるAI利用の徹底も求められます。具体的には、誤ったアクションを発見できるように監査内容を慎重に策定します。Betterのように規制の厳しい市場で活動する企業では、AIの利用に際して特別な予防策を取ることが必要です。これには、金融関連の企業や医療分野も該当します。AIの利用に関しては、業種ごとに微妙な違いがあります。例えば、筆者の業界では差別の可能性を懸念していますが、医療分野では誤診が重大な結果を招きかねません。

時流に乗る好機

この記事で取り上げたアイデアや注意点は、サイバーセキュリティチームの武器となる先取的かつ予防的で(多くの場合)防御的なツールとしてAIを最も効果的に利用する方法を検討するうえで、考慮の助けになるものです。重要なポイントとしては、AIを利用するか否かではなく、AIをどのように利用するかを考えるべきです。

幸い、CISOは独りではなく、サポートと知識の共有を受けられるコミュニティが存在します。また、ベンダー コミュニティでは、誰もが価値を見出せるAI利用ソリューションにリソースとモチベーションを投じる、堅実で先駆的なパートナーに出会えます。

リアルタイムの脅威インテリジェンスとレスポンス、自動インシデント レスポンス、振る舞い分析、セキュリティ情報イベント管理(SIEM)、詐欺検出など、AIの建設的な利用は既に進んでいます。

将来に目を向けると、AIの利用には途方もない可能性があります。コードの修正、コードの生成、悪いコードの特定、脆弱性の自動修正にAIを利用することで、セキュリティ チームの人間を上回るスピードと正確さでこれらのタスクを片付けられます。また、こうしたタスクから人間を解放することで、収益を生み出す機能の開発により多くの時間を投入できます。

AIを用いたサイバー防御の強化にも、脆弱性のエクスプロイトを試みるサイバー犯罪者にも学習曲線があります。十分な知識を習得する時間をサイバー犯罪者に与える訳にはいきません。そうなれば、AIを用いた攻撃に圧倒されることになります。

AIを受容し、サイバーセキュリティ分野のゲームチェンジャーとしての価値を認め、安全な導入と信頼に向けた文化を創出することが、CIOとそのチームには求められているのです。

Better社はデジタル技術を用いて住宅保有を簡略化・迅速化し、より身近な存在にするパイオニアです。

1. Chris Middleton、“Why 80% of CISOs see AI as the biggest threat to their business”、Diginomica、2023年10月11日。