経営層にどう説明する? 「AI搭載セキュリティ製品」導入で失敗しない4つの絶対条件:形だけの自動化に騙されないためには
攻撃者もAIを使っているというベンダーの煽り文句に、経営層も焦りを感じている。だが、実態のないAI機能を導入すれば、企業は痛い目に合う可能性がある。対策は何か。
近年、AI(人工知能)を組み込んだセキュリティツールが広がっている。ただし、中には「AIウォッシング」と呼ばれる、一部だけAIを使っているのにAIの効果を大げさに訴求する製品もある。企業はAIウォッシングのわなにはまらないようにするために、どうすればいいのか。
ガバナンス崩壊のリスクも
併せて読みたいお薦め記事
「AI×セキュリティ」でキャリアアップ
AIはもはやセキュリティツールの未来的な機能ではない。大半の企業が使用するセキュリティツールにすでに組み込まれている。具体的には、メールセキュリティ、脅威の検出、アイデンティティー保護、データ損失防止、脆弱(ぜいじゃく)性管理、セキュリティ運用のマネージドサービスが挙げられる。
2026年に変わるのは、AIセキュリティツールとしての「売るストーリー」だ。企業のCISO(最高情報セキュリティ責任者)はAIの利用に関して、経営陣や調達現場から「成功」を見せるためのプレッシャーを受けている。それが、セキュリティベンダーにとって、マーケティングのチャンスを生み出す。セキュリティベンダーは最近、ウェビナーやホワイトペーパーを活用し、「貴社のセキュリティを自動化できる」という新たな提案に注力している。
マーケティング戦略の中には、「攻撃者がAIを使用しているので、当社のAIセキュリティツールを購入しないと後れをとる」という主張もある。確かに、それは否定できない。防御側もAIを採用することは重要だが、マーケティングのキャッチフレーズとして使いすぎると、ユーザー企業に対して迫力を失う可能性がある。
提案の切り口として、むしろこういうストーリーはどうか。「2026年には、AIを取り入れることを前提に、そのAIはどのくらいの防御力を持つかを見極めることが重要だ」――。
多数あるAIセキュリティツールの中には、脅威の検出や攻撃パターンの分析に関して高性能なものと、主に情報の可視化にAIを用いる「ダッシュボードにすぎない」ものがある。企業は前者のニーズが高く、セキュリティベンダーにとってそれらを特定しやすくすることがビジネスチャンスになると考えられる。具体的には、自社製品を使うことでアイデンティティーの悪用やデータの流出、ランサムウェア(身代金要求型マルウェア)攻撃のリスクを減らせるということを訴求すれば、企業の悩みに寄り添った提案が可能になる。
大半の企業は、誤ったアラートの発生、脆弱性の管理不足、インターネットに接続したIT資産の可視性の欠如、アイデンティティーの過剰といった課題を抱えている。セキュリティベンダーはそれらの解決のために「AIが必要だ」とストレートに語るのはあまり賢くない。むしろ、課題を踏まえてどのようなことに取り組む必要があるかを説明し、そのためのAIの具体的な利用方法を提案することが有効だろう。
企業が「いい製品」を見分けるためのポイント
ユーザー企業はAIセキュリティツールを選定する際、誇大になりがちなベンダー戦略を念頭に置く必要がある。以下で失敗を避けるためのポイントを見てみよう。
- 購入決定は慎重に
- ベンダーが見せるテストに頼らず、自社インフラでテストを実施してAIセキュリティツールの「できること」を検証する。そのツールが「防御力の強化」と「従業員の負荷の低減」の両面において自社にメリットをもたらすとの判断を踏まえ、購入を決定する。
- データの取り扱いに細心の注意を払う
- AIセキュリティツールの利用はコンプライアンス(法令順守)の観点からリスクも伴う。企業はAIセキュリティツールがどのデータを取り込むか、データに誰がアクセスできるか、データはAIモデルのトレーニングに使用されるかといったことを明確にし、データの取り扱いに関して細心の注意を払う必要がある。
- 監査も重視する
- AIセキュリティツールの行動を把握し、規制当局や顧客に対してAIセキュリティツール利用の詳細情報を提供できるようにする。これによって、セキュリティとガバナンスの両立を図る。
- 段階的な取り組み
- 失敗を避けるために特に重要なのは、AIセキュリティツールの利用に段階的に取り組むことだ。システムの一部でAIセキュリティツールをテストし、効果があって信頼できると判断したら、利用の範囲を徐々に広げる。仮にAIセキュリティツールが「使い物にならない」と判断した場合に備え、元の運用体制に戻れるようにすることも大切だ。
Copyright © ITmedia, Inc. All Rights Reserved.