サイバー レジリエンスとAIに関しては、想像力の限界を超えることが重要
1967年に3名の宇宙飛行士が犠牲となったアポロ1号の悲惨な火災事故の後、事故の原因と対策を議論する米国議会公聴会が招集されました。証言台に立った高名な宇宙飛行士のFrank Borman氏は、単刀直入にこう質問されました。「何が火災の原因となったのですか?」
技術的な詳細を交えて答える代わりに、Borman氏は短くも雄弁な言葉で返答しました。「想像力の欠如です」
サイバーセキュリティに関わるすべての人々とその上司の皆様にお伝えしたいことがあります。現在、私たちのサイバー レジリエンス―すなわち、業務への影響を最小限に抑えながらサイバー攻撃から完全かつ即座に復旧する能力は、かつてない危機に瀕しています。想像力の限界を超えなければ、この危機から脱することはできません。そして、そのきっかけを与えてくれるのが、頼もしい味方でも脅威でもあるAIです。
ならず者国家や悪意ある内部関係者から一匹狼のハッカーに至るまで、サイバー犯罪者はAIを大規模かつ巧みに利用しています。しぶとさという犯罪者ならではの特性を除けば、おそらくAIが彼らの最強の武器です。他方で、AIは攻撃に先手を打つための最大の財産であり、一番の希望です。ただし、その能力を発揮するには想像力を駆使しなければなりません。
レジリエンスに対する脅威
2年前、ポストコロナ時代のサイバーセキュリティについての記事を執筆した当時、まだ公式にはパンデミックは「収束」していませんでしたが、コロナが勢力を弱めた暁にはサイバーセキュリティとサイバー レジリエンスの強化のためCISOとCIOを導入する必要があることを強く訴えました。それはなぜかというと、今後また別のウイルスによる脅威が発生しうることは明白であり、その影響に耐えられる態勢を整えておく必要があったからです。要するに、パンデミックから教訓を得たのはサイバー攻撃者の側も同じです。
そして生成AIが台頭してきました。
ほんの数年前を振り返ると、ダークWebでルートキットを簡単に入手できました。また、ルートキットの配信には不自然で質の低いフィッシング メールが使用されていました。しかし、今日のハッカーは広く普及した非常に高度な生成AIツール(ChatGPTなど)を利用します。かつてのフィッシング メールはスペルミスや文法ミスだらけで句読点や構文もいい加減でしたが、今やまったく違います。ハッカーはChatGPTに任せておくだけでミスのない完璧な電子メールを作成できます。
レジリエンスに対する重大な脅威がもう1つあります。私たちは過去にこの脅威を目撃し、経験もしましたが、今また凄まじい勢いで成長しています。要するに大統領選挙のことですが、米国に限った話ではありません。2024年は世界で60以上の選挙が実施され、国家元首が選出される予定です。つまり、政治的ハッカーにとっては絶好の年です。こうしたハッカーは、投票者一人ひとりの偏見や恐怖心に合わせた誤情報、ディープ フェイク、都合よく抜粋したメッセージを用いて国民の対立を煽ろうとします。
米国の金融機関に対するAIを駆使したランサムウェア攻撃については、改めて言及するまでもないかもしれません。金融資産や機密データを扱う銀行などの組織が構築した最先端のサイバー防御をもってしても、AIとMLアルゴリズムを巧妙かつ独創的に用いた攻撃は休みなく発生します。
私たちがすべきこと
CISO、経営者、サイバーセキュリティ業界のリーダーなど、システムの正常稼働とデータの保護を担う者の重要な任務は、サイバー レジリエンスにおける「良好な状態」を明確化することです。
1つ明らかなことは、必要に応じて人間が一切介入せずに極めて巧妙な攻撃をブロックできることが求められます。腕利きのサイバー探偵や献身的なセキュリティ アナリストが不要だと言いたい訳ではありありません。そうした人材は間違いなく必要です。排除しなければならないのは、人間の直接介入のないAIは信用できないという考え方です。私たちはAIモデルを信用する必要があります。もしファイアウォールに問題の兆候があるとAIが報告したなら、それを受け入れ、潜在的攻撃を事前に防がなければなりません。実際の攻撃か誤検知かを判定する手動トリアージを実行している時間はありません。たった1秒の遅れが大惨事を引き起こすこともありえます。人間にはAIモデルを強化(および訓練)する能力があり、実施すべきですが、ボトルネックになることは避けなければなりません。目標はリアルタイムに限りなく近づくことですが、AIなしでは実現不可能です。
ビジネス リスクを管理するアプローチも再考が必要です。アタック サーフェスの拡大、データの急速な増加への対処、場所と時間を問わない勤務体制の提供、複雑なサプライチェーンの管理、厳しさを増す規制要件への対応に関して、現状で甘んじるのではなく、これらの課題が年々複雑化・深刻化すると捉えるべきです。
セキュリティ フレームワークも再考すべきです。セキュリティ フレームワークとはテクノロジやプロセスだけではなく、サイバーセキュリティとレジリエンスの戦略全体を指します。セキュリティの有効性を適切に測定するには、未来を見据えた最新のメトリクスが必要です。取り組みが確実に効果を発揮しているという自信が持てなければ、途方に暮れることになります。ましてや、経営幹部や取締役会への報告は到底不可能です。
最後に、脅威レスポンスの迅速化、自動化、インテリジェント化、コンテキスト活用を従来以上に進める必要があります。あたかも生命に関わる直接的脅威であるかのようにすべてのアラートを調査することや、各アラートを同じ深刻度で扱うことは誰も望みません。
AIがセキュリティのあり方を変える
AIが攻撃側と顧客に何をもたらすかを理解する最善の方法は、実際に利用してみることです。パロアルトネットワークスは10年以上前から製品にAIを搭載しています。サイバーセキュリティ分野の主要なテクノロジ パートナーであり、また犯罪者には大きな潜在的攻撃ポイントとして狙われる弊社において、AIは大幅な機能強化に様々な形で貢献しました。
AIは、セキュリティ脅威が加速度的に進化する時代において、弊社と顧客双方のセキュリティ チームの成果と効率の改善をするうえで不可欠な機能です。また、高度な攻撃を人間が介入せずにブロックする際にも役立っています。
AI活用に向けては、以下の取り組みが必要です。
- 適切なデータをキャプチャして管理する。膨大な量のデータを保有することが必ずしも解にはなりません。サイバーセキュリティにAIを最大限に活用するには、関連性が高く、状況に対して適切なデータが必要です。
- プラットフォーム アプローチを採用する。追求すべきは「より多くのテクノロジを導入すること」ではありません。独立した大量のツールを継ぎ接ぎすることは避け、効率、インテリジェンス、迅速な応答に資する形でテクノロジの設計と展開を行う必要があります。
- 豊富な専門知識を活用する。人間の知性としての専門知識と、人工知能としての専門知識の両方が必要です。AIコンポーネントは日を追うごとに、CISO、CIO、ビジネスサイドの従業員にとってわかりやすいものになっています。しかし人間の知性が重要であることに変わりはなく、AI主導型オートメーション ツールによって人間がありふれた作業や面倒な仕事から解放され、つい最近までは想像もできなかったことを聡明で献身的なスタッフができるようになっています。
セキュリティ フレームワークも再考すべきです。セキュリティ フレームワークとはテクノロジやプロセスだけではなく、サイバーセキュリティとレジリエンスの戦略全体を指します。セキュリティの有効性を適切に測定するには、未来を見据えた最新のメトリクスが必要です。取り組みが確実に効果を発揮しているという自信が持てなければ、途方に暮れることになります。ましてや、経営幹部や取締役会への報告は到底不可能です。
最後に、脅威レスポンスの迅速化、自動化、インテリジェント化、コンテキスト活用を従来以上に進める必要があります。あたかも生命に関わる直接的脅威であるかのようにすべてのアラートを調査することや、各アラートを同じ深刻度で扱うことは誰も望みません。
行動喚起: サイバー レジリエンスにAIを導入する経営者のためのチェックリスト
問題の解決と機会の活用に役立つ本当の意味で実践的な手順を同僚とチームに提示できるように考え行動することが、筆者の好むやり方です。ざっくばらんな言い方をすれば、「それでどうする?」という問いを起点とします。
ここまで、皆さんが日常的に直面している問題の状況を手短に説明し、なぜこれに対応する必要があるのかについて見解を提示してきました。ここからは、AIを効果的かつ安全にサイバー レジリエンスに利用するうえで組織ができることについて、私の「それでどうする」アイデアをお伝えします。
ステップ1: 内部AIリスクをすべて文書に記録する。これは想像力を羽ばたかせることが最も難しい分野かもしれませんが、サイバー レジリエンスにおいては最も大きな実を結びます。内部AIリスクに対処し全員を説得するための詳細な手順がなければ、内部AIリスクをすべて説明することは非常に困難です。たとえば、この記事を読んでいる皆さんはLLMを使用していると思いますが、パブリックLLMがソース コードにアクセスしていないか、確認していますか?
ステップ2: AIデータの裏と表を知る。どのブラウザ プラグインやツールがAIを利用しているかご存知ですか? GrammarlyはAIを使ってすべての電子メールを読んでいることを認識していますか? (これは単なる言葉遊びではありません。)
ステップ3: AIリスクの外部レジスタを開発する。例えば、Zoom AIミーティングのサマリはどこに置かれますか? HRチャットボットは給与や健康状態に関する情報にアクセスできますか? わからない場合は、すぐに調べてください。
ステップ4: 自社が使用すべき/使用してはならないAIサービスをすべてカタログ化する。このデータベースの作成は必須ですが、それで終わりではありません。データベースを常に最新状態に保つ方法を検討する必要があります。要するにこのデータベースは静的な目録ではないのです。
ステップ5: 組織全体のAIポリシーを策定する。趣味が日曜大工という人は、AIをチェーンソーのようなものだと考えてください。優れた道具ですが、正しい使い方をしないときわめて危険です。組織にいる誰もが、AIでできることとできないこと、そしてその理由を理解しておくべきです。
ステップ6: 信頼できるサイバーセキュリティ リーダーとパートナーを組む。ツールの優劣はその背後にいるテクノロジ パートナーの実力によって決まります。前述のように、AI搭載プラットフォームは、AI利用に関する「簡素化、統合、拡張」の原則に基いてデプロイすることが賢明な判断です。
50年以上前にFrank Borman氏が米国の宇宙開発業界に向けた先見の明ある勧告は効果がありました。米国航空宇宙局(NASA)はリスクの定義と戦略、さらにリスクと闘い克服するためのツール、システム、哲学までも全面的に見直しました。
戦略的かつ革新的なAIの利用に関しても同じ取組みが可能です。これにより、さらにサイバー レジリエンスを高める姿勢を形成し、巧妙化する攻撃者とさらに大きなリスクの脅威ベクトルに打ち勝つことができます。
アポロ1号のような規模の悲劇が起こらずとも、想像力を駆使するようになることを願っています。