“孤軍奮闘”はもう終わり 「AI-SOC」で実現する高度なサイバーレジリエンス:人間とAIが築く防御の最前線
生成AIは攻撃者の新たな武器になったが、強力な防御手段としても利用できる。サイバー攻撃が大規模化、巧妙化する中、限られた人材と予算で「サイバーレジリエンス」をどう強化すべきなのか。専門家が語った具体策とは。
ランサムウェア攻撃をはじめとするサイバー攻撃が巧妙化、大規模化している。この背景には、攻撃者による生成AIの悪用があるとセキュリティ専門家は指摘する。限られた人材や予算では攻撃の変化に即応できず、サイバー攻撃の実害を防ぐのはますます難しくなっている。こうした中、攻撃表面を極小化しつつ、被害を受けても迅速に回復して事業への影響を最小限に抑える「サイバーレジリエンス」の強化が急務だ。
このような背景を踏まえて、NTTドコモビジネスがセキュリティ関連のイベント「サイバーレジリエンス強化は企業の必須課題 〜生成AIで切り開く人材不足時代のセキュリティ新戦略〜」を開催(2025年10月27日)した。同イベントでは、奈良先端科学技術大学院大学 サイバーレジリエンス構成学研究室 教授の門林雄基氏をはじめとするセキュリティ専門家が、AI時代のサイバー攻撃の現状と現実的なセキュリティ対策の在り方を披露して議論した。その内容を紹介する。
大規模化、巧妙化する攻撃と広がる防御線――サイバーレジリエンスが必須に
ランサムウェア攻撃を仕掛けるグループが多大な収益を挙げるようになっており、「有能な人材が集まっている」と門林氏は説明した。攻撃グループはPCやVPNだけではなくNASやプリンタを含めて、セキュリティ対策が行き届いていない要素を探して侵入を試みる。DX(デジタルトランスフォーメーション)の進展もあり、AIやクラウド、IoTといったさまざまな新しい技術が普及しており、攻撃面は広がる一方だ。
こうした状況に対処するため、PCを中心としたエンドポイントセキュリティに集中していた企業は、防御の対象を広げることが大切だと門林氏は指摘した。加えて防御一辺倒ではなく、サイバー攻撃の実害を受けたとしても迅速に回復し、事業継続性への影響を最小限に抑えるサイバーレジリエンスの強化が重要な課題になるという。
企業がサイバーレジリエンスを強化する際に「危険なサインだ」と門林氏が警鐘を鳴らしたのは、セキュリティ担当者が企業内で“孤立”しがちなことだ。
サービスを導入する現場には、セキュリティ担当者が定めた厳しい制約が原因でDXに必要なIT製品/サービスの導入が進まないという“懸念”があるという。セキュリティ担当者に相談せずにIT製品/サービスをこっそり導入したり、そうしたIT製品/サービスを正しく設定せずに放置してしまったりする。こうなると、攻撃後の実害が広がってしまうと同氏は指摘した。
サイバー攻撃によってビジネスに深刻な影響が広がっている現状を踏まえると、むしろ「セキュリティこそがDXの成否を分ける」と門林氏は強調した。ビジネスオーナーである経営層が同時にリスクオーナーでもあるという意識を明確にして、セキュリティを重視する企業文化を育むことが重要だという。
セキュリティツールを導入するだけでは、サイバーレジリエンスは強化できない。セキュリティ担当者だけではなく、企業全体を巻き込んだ取り組みが不可欠だ。そこに立ちはだかるのが「人材不足」という壁だが、門林氏は「『人材不足だから何もできない』という言い訳は、生成AIなどの普及で通用しなくなる」と強調した。
ランサムウェア攻撃についての情報を調査したり、セキュリティ対策の解説テキストの要点を抽出したり、研修教材や経営層向け説明資料を作成したりと、これまで時間や専門知識が必要だった業務を生成AIがある程度代替できる。生成AIを活用することで、人材や時間が限られていてもセキュリティについての全社的な知識やスキルを向上させたり日々のセキュリティ対策を実践したりしやすくなる。
人間に過度に依存せず、生成AIを適切に活用する――。これが生成AI時代にサイバーレジリエンスを強化する鍵となる。
人材不足をどう解消する? 生成AIが補完するものは何か
クロストークセッションには、門林氏とNTTドコモビジネス ビジネスソリューション本部 ソリューションサービス部 デジタルソリューション部門 担当部長 兼 セキュリティエバンジェリストの城征司氏が登壇した。人材不足や予算の制約という現実的な課題を前提として、生成AIが攻撃と防御の双方に与える影響を議論した。
攻撃者の間で生成AIの悪用が活発化しており「攻撃にイノベーションをもたらす手段となっている」と、門林氏は現状を説明した。生成AIを使えば、プロンプトを入力するだけでデータを暗号化するプログラムを生成できる。暗号化自体には害はないものの、ランサムウェアの主要機能でもある。使い方や組み合わせ次第で、ランサムウェアと同様のプログラムができてしまう可能性があるのだ。
城氏は生成AIの活用でフィッシングメールの作成効率が大幅に向上したという研究結果に触れ、「人間が作るフィッシングメールのレベルに、生成AIはほぼ追い付いた」と指摘した。以前は不自然さが残ったフィッシングメールの文章が、生成AIによってかなり自然になっているのだ。「セキュリティリテラシーが高くても、ストレスなどで心身が弱っているタイミングではついクリックしてしまいそうになる」と、城氏は自身の失敗体験を交えて説明した。
生成AIの活用でサイバー攻撃の大規模化・巧妙化が進む現状を踏まえると、防御側もAIなどの技術を活用して対抗する必要がある。ただし「AIによって、慢性的な課題であるセキュリティ人材不足を根本的に解消できるのではないか」との見方に、門林氏は懐疑的だ。「AIが簡単に人間を代替できるという考えは甘い」と同氏は警告した。AIは万能の解決策ではなく、AIによって効率化や代替が可能なセキュリティ業務には限りがある。
それでも「AIが非常に大きな役割を果たす」と城氏が考えるのが、セキュリティ運用だ。セキュリティ運用については、NIST(米国立標準技術研究所)の「サイバーセキュリティフレームワーク」やCISA(サイバーセキュリティ・インフラストラクチャセキュリティ庁)による「ゼロトラスト成熟度モデル」など、企業が利用可能なルールやガイドラインが充実しており、AIによる自動化を実現しやすいと指摘した。ゼロトラスト成熟度モデルに基づいた簡易アセスメントなど、これまでは知識や時間が必要だった業務を代替できる可能性がある。
AIを生かしたサイバーレジリエンス向上策とは
クロストークセッションに続いて「AI時代のサイバーレジリエンス向上に向けた次の一手」と題して、NTTドコモビジネス ソリューションサービス部 デジタルソリューション部門の村田薫氏が登壇した。ランサムウェアや標的型攻撃が最初に猛威を振るい始めた後、サイバーレジリエンスの概念がNIST SP800-160 Vol2, Rev.1に組み込まれた。しかしフレームワークに定められた当時はAIの急速な進歩や、攻撃者によるAIの悪用に伴う攻撃の大規模化・巧妙化は想定されていない。そのため従来のセキュリティ体制や運用基盤では対処できなくなる可能性があり、見直す必要があることを指摘した。
その対策として攻撃者がAIを活用するのと同様に、企業を守る側もセキュリティ対応においてAIを組み込むことを提案した。特に人手による対処が追い付かなくなるインシデントレスポンスなどのSOC業務においてAIは実用段階まできており、防ぐべき判断基準に当てはまる明確な攻撃については人間とAIで判断結果に差がなくなりつつある。AIの方が不眠不休で高速に対処できることから、防御対処をAIに任せて自動化することで、急増する攻撃への対処を効率化できる。
一方で複数の可能性が予想されたり、企業ごとの固有事情をくむ必要があったりするケースでは、人間による状況確認や判断が必要だ。このような場合でもAIは収集した情報を整理して、想定される既知の事例を提供して人間を支援できる段階まできていると説明した。
このようにAIに任せてよいポイントを見極めて、人間との役割分担を整理してセキュリティ運用に組み込み、環境改善することでサイバーレジリエンスの強化向上につながる。今後AIをセキュリティ運用の多方面に利活用できる先進人材の育成や、AIを業務に導入できる環境構築も重要だと説明した。
AIでセキュリティ運用を支えるAI-SOCによるサイバーレジリエンス強化の実現
村田氏に続いて講演したNTTドコモビジネス ソリューションサービス部 デジタルソリューション部門の村瀬明日香氏はAIによるセキュリティ脅威分析の効率化と自動化を実現するAI-SOCを用いたセキュリティ対策ソリューションを紹介した。
NTTドコモビジネスのセキュリティ運用サービスでは、従来型の人手による運用を改善して、自動化による効率化やAIを用いた運用知見やノウハウの共有化の取り組みなどを進めている。しかしAIの急速な進歩と攻撃者による悪用によって、既存の運用対応では追い付かなくなっており、運用変革のタイミングが訪れているとした。
複数のAI-SOC製品を調査検証した結果、AIが得意とする大量の既知の攻撃に対する一次対処性能を生かして、監視から封じ込めまでをAIに任せることが望ましい。そして根絶と復旧から再発防止までの過程では、人間が主体となりつつも学習の蓄積が得意なAIに企業独自の運用ノウハウを学ばせる。これがAI-SOCをセキュリティ運用に組み込み、活用していく方法だと説明した。続いて「Simbian」を用いてセキュリティ脅威分析などの一次対処を行い、「AI Advisor」により企業ごとの運用業務を支援するセキュリティソリューションモデルを紹介した。
Simbianは複数の自律型AIエージェントを連携させてアラート対応を自動化し、MTTRの短縮と運用効率の大幅向上を実現する。日本語対応しているため、AIによる調査や判断の過程を見える化しやすく、AI利用時に懸念点になりやすいブラックボックス化が防げている点が特徴だ。
AI Advisorは自然言語による問い合わせに対応しており、連携させたAI-SOCなどのセキュリティ製品やサービスから脅威情報のレポートを取りまとめて出力したり、脆弱性診断の指示を実行したりできる。セキュリティ運用のさまざまな業務を仲介して自動化するツールであり、企業ごとの運用業務に合わせてチューニングすることでより的確な運用を実現する。
NTTドコモビジネスはCSIRTなどセキュリティ運用現場のアラート対応以外の業務についても、AIと人間が担う役割を将来的に広げて活用していくことで、AI時代に適したサイバーレジリエンス強化につなげる考えだ。
提供:NTTドコモビジネス株式会社
アイティメディア営業企画/制作:アイティメディア編集局