AIの「危険性」と「可能性」 セキュリティ担当者はどう向き合うべきか：セキュリティ「5大トレンド」【前編】

セキュリティの在り方が変わっている中、企業はさまざまな課題に直面している。セキュリティの具体的な課題とは何か。セキュリティの大きなトレンドを解説し、対処方法を紹介する。

[Karen Scarfone，TechTarget]

　企業にとってセキュリティは欠かせない取り組みだが、課題が山積している。文章や画像を自動生成するAI（人工知能）技術「生成AI」を利用した攻撃、ランサムウェア（身代金要求型マルウェア）攻撃による恐喝、サプライチェーンのリスク、慢性的な人材不足、セキュリティ担当者の燃え尽き症候群――。企業はこれらに対処しながら、どうシステムの安全性を高めればよいのか。本連載はセキュリティのトレンドを解説し、具体的な施策を考える。

トレンド1．AI技術の活用と悪用

併せて読みたいお薦め記事

セキュリティを巡る動向とは

• 次世代IDセキュリティのトレンドが分かる「3つのキーワード」とは
• 期待値はChatGPT超え？　セキュリティは「AIエージェント」でこう変わる

　AI技術はセキュリティにとって、もろ刃の剣だ。企業の防御力を強化する可能性がある一方、攻撃者も悪用しかねない。以下にAI技術の「危険性」と「可能性」をまとめる。

• 危険性
  • 近年、攻撃者はAI技術を駆使して、より洗練されたフィッシング攻撃やディープフェイク（事実とは異なる合成動画、音声）の作成、ランサムウェア開発などに用いている。AI技術を悪用した攻撃は従来の攻撃よりもセキュリティ技術で検出するのが難しい場合があり、攻撃の成功率を高める要因になっている。
• 可能性
  • 企業のセキュリティの構築や運用においても、AI技術の利用が進んでいる。アクセス制御の強化、脅威や異常の検出と対策、攻撃への対処の自動化といった分野におけるAI技術の応用が始まっている。これらを通じて、被害を迅速に抑え、インシデントからの復旧時間を短縮することが可能になる。

　企業は、上記の危険性と可能性をよく理解し、両面においてAI戦略を考えなければならない。特に重要なのは従業員教育だ。AI技術の悪用を特定する訓練と、自社のセキュリティにAI技術を取り入れて効果的に使用する訓練の両方が求められる。AI技術は急速に進化しているため、定期的に従業員教育を実施し、最新情報を伝えることが欠かせない。

トレンド2．スキルギャップを埋めること

　一部のセキュリティ専門家は、セキュリティ分野の人材不足を補うためにAI技術による自動化が進み、AI技術が人間を「置き換える」ことになると予測している。しかしこれは誇張された見方が含まれており、脅威を検出したときの対策についての最終判断といったセキュリティの重要なタスクは引き続き人間が担うという意見もがある。そうした中、セキュリティ担当者の高度な専門知識がこれまで以上に重要になる。

　現在、セキュリティスキルに関して大きなギャップがあることが指摘されている。ここ数年の間、攻撃が多様化、巧妙化するとともにセキュリティ技術も進化し、セキュリティ担当者にはかつてないほどの知識やノウハウが求められるようになった。優秀な人材であっても、全てのセキュリティ分野に精通することはほぼ不可能だ。

　企業はセキュリティのスキルギャップに対処するために、具体的な計画を策定する必要がある。以下で、計画に組み込むべき主な対策を見てみよう。

• AI技術や自動化ツールが、人間よりも高いパフォーマンスを発揮する業務領域を特定して、人の担当者の作業負担を軽減する。
• 一部のセキュリティ機能を外部に委託する。これは特に、攻撃の経路分析といった、頻繁には発生しない高度な作業が対象になる。
• 標準的なトレーニングや短期間の集中コース、チーム演習、など、セキュリティ担当者に対して多様なスキル構築の機会を提供する。

---

　後編は、3つ目から5つ目のトレンドを取り上げる。