AIの時代が到来:ビジネスの安全を維持するには?
昨今、ChatGPT(およびBing AI、Google Bard他、同等機能をもつ数多くのツール)などの生成系AIが、かつてない高ペースで主流化してきました。これらのツールとさまざまなユースケースが俄然注目を集め、世界の報道を賑わせています。
AIは無限の可能性と機会を提供し、超連結のデジタル世界に生きる企業にとってゲームチェンジャーとなるのは間違いありません。米国だけでも、7つの人工知能研究ハブの創設に1億4000万ドルが投資されることがわかっています。
AI革命はまだ始まったばかりで全貌は見えませんが、その影響力はインターネットやスマートフォン、クラウドコンピューティングの発明に匹敵するでしょう。
そんな新テクノロジーの急激な進歩に伴い、好機を逃さずイノベーションを成長の糧としたい企業の競争が激化しています。AIにはメリットがありますが、悪意を持ったアクターも不正なタスクの実行に使っており、問題やリスクを孕んでいます。AIの可能性は無限です。しかしそれには、脆弱なシステムを��特定して不正利用するためのコードの記述、標的に合わせたフィッシングメールの生成、誤解を招くようなシナリオにおける経営幹部のディープフェイクといった不審な利用も含まれているのです。
そのことを踏まえ、企業がAIを事業運営に取り入れる場合は、警戒を怠らず、サイバー防御体制を強化しなければなりません。多くの政府がAI導入の安全策と枠組みを整備していますが、企業はAIがサイバー攻撃を仕掛ける可能性を考えて、自ら事前予防策を講じる必要があります。
システム、データ、ネットワークの安全を確保
企業が自社のインフラと資産を保護するためにとれる対策が3つあります:
1. AIでスキルを強化
企業は、AIを恐れたり、AIの脅威に逐一AIで対抗しようとしたりせず、むしろAIを使ってサイバーセキュリティチームのスキルと能力を強化することができます。
これは、人材不足が続くサイバーセキュリティ分野では特に重要です。世界全体でサイバーセキュリティの不足人員は340万人に上ります。企業のデジタル化は今後も進み、サイバーセキュリティ要員の需要は着実に高まるでしょう。AIを使えば、手作業のルーチン業務を自動化してこの分野の経験が浅い人材を支援でき、高レベルのセキュリティエンジニアはコーディングやスクリプティングの能力を増強できます。
2. メール保護のレイヤーを追加設定
メールは今後も、サイバー攻撃者が最もよく使う侵入口になります。攻撃者は、AIを活用してソーシャルエンジニアリングやフィッシングの戦術を高度化し、非常に現実味があって騙されやすいメールを繰り出してくる可能性があります。
セキュリティチームは、従業員が騙されて悪性アクターに企業ネットワークへの侵入を許すことがないように、フィッシング攻撃の巧みな識別について従業員を教育しなければなりません。これには、定期訓練と再訓練、日々の業務で遭遇した不審なアクティビティを必ず報告するためのプラットフォームの提供が含まれます。
ただ、それらを整備したとしても、人間ですからエラーは避けられません。技術面では、企業は高度なメールセキュリティツールを使って従業員を保護することができます。それらのツールはメールサービスでかける基本的なフィルターに止まらず、さまざまなベクトルの攻撃を包括的にブロックし、信頼されている送信者やドメインからのものでも見逃しません。
3. 堅牢で総合的なサイバーセキュリティ戦略への移行
AIのリスクはフィッシング�メールだけではありません。企業のデータやアプリケーションにとっても潜在的リスクになり、AIが広く普及すれば多面的な攻撃への露出も増えます。例えば、従業員がインターネットからアクセスできるアプリケーションは、ボットやAI駆動型攻撃に対して特に脆弱です。
企業は、従来の「城と堀」の境界でネットワークを保護するのではなく、データがどこに存在し、ユーザーとアプリケーションがそれにどのようにアクセスするかに焦点を当てるべきです。つまり、より堅牢で総合的なサイバーセキュリティ戦略を採用する必要があるということであり、それを実現できるのがZero Trustアーキテクチャです。Zero Trustセキュリティモデルを採用した企業は、既にネットワーク境界の内側に居る人も含め、誰も信頼しないことによって、厳格なアクセス制御を維持します。そうすれば、攻撃者は最初のネットワーク層を突破できたとしても、企業のデータやアプリケーションを勝手にいじることはできません。
AIを使う従業員が増えるにつれ、企業は妥当な利用方針や技術的制御、データ損失防止策も実装する必要があります。それにより、従業員と会社の両方の保護をかなり強化できます。
生成系AIはまだ黎明期にありますが、今後数年で飛躍的に発展する可能性があります。サイバーセキュリティの専門家は、生成系AIのユースケースについて理解を深め、悪意のある利�用に対応できるように、このツールに常に関心を持って、いろいろ実験してみるとよいでしょう。
AIの導入は始まったばかりですが、その無限のメリットは潜在的脅威を補って余りあります。しかし、企業はこのテクノロジーの安全な使い方を知ることが肝要です。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
この記事は当初、The Edge向けに作成されたものです。
著者
John Engates — @jengates
Cloudflare社テクノロジー・オフィサー
記事の要点
この記事を読めば、以下が理解できます。
AIツールがもたらす新たなセキュリティ問題
AIの利用を可能にしつつ企業を守る3つの方法