AI技術が進化したことで、サイバー攻撃の自動化や高度化が進みつつある。“人のように振る舞う”AI技術や、人間の制御を超えようとするAIエージェントに対し、企業はどのようなセキュリティ対策を取るべきなのか。
AI技術の発展は、企業システムの自動化やシステム開発の加速に貢献するだけでなく、サイバー攻撃の高度化や複雑化にもつながっている。これまでのセキュリティ対策は「人間が介在する」ことを前提に組み立てられてきたが、その前提は成り立たなくなりつつある。
日本やAPAC地域の2026年のトレンドを紹介した前編「『米国製なら安心』は思考停止 2026年、情シスを襲う“9つの激変”と生存戦略」に続く後編では、2026年に台頭するセキュリティの脅威と、その対策方法を説明する。
セキュリティベンダーExabeamのセキュリティ研究者兼ストラテジストであるフィンドレー・ホワイトロー氏によると、2026年にはソーシャルエンジニアリング(人の心理を巧みに操って意図通りの行動をさせる詐欺手法)がフィッシングを超え、本格的な心理操作へと進化するという。AI技術を活用する攻撃者が、大規模言語モデル(LLM)を用いて高度な攻撃を計画したり実行したりする素地がすでに整っていると同氏は指摘する。
「AI技術の悪用はディープフェイク詐欺に加えて、組織内の経営幹部の口調や信頼感を巧みに模倣したAI生成メッセージを用いる『バイブハッキング』にも及ぶ可能性がある」と同氏は述べる。「バイブハッキングは、特定の人物が得ている信頼を悪用することで、従来のフィッシング手法を一段階引き上げる。口調が“正しく”感じられるだけで従業員が応じてしまう可能性があるため、非常に危険なソーシャルエンジニアリングの進化形だ」
こうした状況を踏まえホワイトロー氏は、信頼を悪用した次世代のサイバー攻撃に備えるために、組織はAI技術の透明性の確保と従業員教育に、これまで以上に注力する必要があると警告している。
セキュリティベンダーAkamai Technologiesでセキュリティ技術・戦略担当ディレクターを務めるルーベン・コー氏によると、ランサムウェアは完全に汎用化し、大規模なサイバー犯罪経済へと変貌するという。
「既製のRansomware-as-a-Service(RaaS)サブスクリプションやAI技術を活用したバイブハッキング、サイバー犯罪者とハッカー、国家といった脅威アクター間の協力関係の拡大により、ランサムウェアによる恐喝計画を立ち上げるために必要な専門知識は、以前よりはるかに少なくなる」とコー氏は述べる。
コー氏は、シンガポールで発生した印刷業者へのランサムウェア攻撃により、数千件に及ぶ銀行顧客の取引明細が流出した可能性がある事例を挙げる。サプライチェーン侵害が、厳格な規制下にある金融機関にとっても、いかに迅速に企業の財務や評判への影響へと発展し得るかを示していると指摘する。
「金融や医療、小売、メディアといった機微なデータを多く保有する業界は、より攻撃が集中するだろう。マネージドサービスプロバイダーやサプライチェーン関連のシステムを提供するベンダーは、高価値な侵入口となる。また半導体などのハイテク産業は、引き続き特に脆弱な攻撃対象となる」(コー氏)
OSSの開発支援ツール「GitLab」を提供するGitLabで日本およびAPACのバイスプレジデントを務めるクレイグ・ニールセン氏は、組織は2026年に、AIエージェント同士の相互作用が拡大することで、従来型のアクセス制御システムの限界が露呈し、アクセス権限と許可を巡る危機に直面すると予想する。
AIエージェントは、人間のユーザーや単純な自動化とは異なる。AIエージェント同士で互いに通信し、タスクを委任し、複数のシステムに連鎖的な影響を与える意思決定を実行する。このため人間の利用を前提に設計された、従来のアイデンティティー管理システムでは対処しきれない問題が生じる可能性がある。あるエージェントが別のエージェントに指示を出すと、人間向けに作られた既存の権限管理手法は機能不全に陥る。
一部の企業は、エージェントに「ペルソナ」(アイデンティティー情報)を割り当てるといった対処を進めているが、ニールセン氏は、こうした方法はAIエージェントを人間の従業員のように扱っている短絡的な手法にすぎず、根本的なガバナンスの課題を解決していないと指摘する。人間中心の権限管理手法を使い続ける組織は、AIシステムがますます相互接続され自律化する中で、AIエージェントの行動を監査しきれなくなり、意思決定の連鎖を追跡できなくなる。その結果、セキュリティの維持が不可能になる。
「組織は、アイデンティティーおよびアクセス管理を第一原理から再考する必要があることを受け入れなければならない」と同氏は述べる。「人間中心のモデルを流用するのではなく、自律システム向けに設計されたガバナンスフレームワークを構築するため、部門横断のチームを編成すべきだ。この問題で先手を打てる期間は短い。AIエージェント同士が深く相互接続された後では、基盤となるフレームワークの再設計は飛躍的に難しくなる」(ニールセン氏)
Copyright © ITmedia, Inc. All Rights Reserved.
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
