AI絡みのサイバーセキュリティ脅威に企業はどう対処すべきか:Gartner Insights Pickup(429)
生成AIの普及で情報漏えいをはじめとしたセキュリティリスクが高まっている。一方、サイバー攻撃はAIによって巧妙化している。企業にとって、組織的な対策が急務となっている。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
生成AIの急速な普及はサイバーセキュリティ環境を一変させ、CISO(最高情報セキュリティ責任者)に新たな課題を突きつけている。AIが業務に深く組み込まれる中、CISOはAIに関連する社内外のリスクを管理し、AI強化型のサイバー攻撃から企業を守らなければならない。それはより広範なアタックサーフェス(攻撃対象領域)を狙い、従来のセキュリティ対策をしのぐ攻撃だ。
こうした進化するリスクに対処するために、CISOは社内外におけるAI関連の脅威の全容を、深く理解する必要がある。それらが現在、自社に当てはまるのか、あるいは将来的に関連してくる可能性があるのかを評価することで、CISOは、既存の対処能力で十分なのか、それとも新たな対策が必要なのかを判断できる。このプロアクティブ(予防的)なアプローチにより、現在の脅威環境の複雑さをうまく乗り切り、新たに発生するサイバーリスクから自社を保護できる。
社内における主要なAI関連サイバー脅威
AIリテラシーの不足と利用ポリシーの不備
社内全体でAIリテラシーが不足していると、CISOが効果的なポリシーを策定し、リスクを管理することが困難になる。AI用語に関する基本的な理解がなければ、企業がAI関連の脅威を特定、モニタリング、軽減することはおぼつかない。この知識ギャップは盲点を生み、適切なセキュリティ対策の導入や理解を妨げてしまう。
この課題に対処するため、企業は的を絞ったAIトレーニングプログラムを実施し、AI利用に関する明確なセキュリティポリシーを確立しなければならない。トレーニングに盛り込むべき内容としては、モデルの挙動への理解、潜在的な攻撃ベクトルの認識、AIによる決定の解釈、AIシステムが生成するアラートの管理、進化する規制に関する情報把握が挙げられる。
従業員によるシャドーAI
企業では、従業員によるAIツールやアプリケーションの無許可利用について懸念が高まっている。商用AIサービスがより利用しやすくなるにつれて、機密データがどのように処理され、共有されているかを監視し続けることはますます難しくなっている。このように監督が行き届かないと、データ漏えい、規制違反、ビジネスの意思決定不全といったリスクが上昇する。
Gartnerの調査によると、企業の半数近くは、従業員が適切なリスク管理をすることなく、組み込み型または独自開発の生成AIツールを使用している疑いがある、あるいは使用している証拠があると回答している。パブリッククラウド型AIサービスの無断利用を懸念している企業も多い。
企業はこの課題に対処するため、定期的な監査を実施してAIツールの無断利用を発見するとともに、新技術に対する明確な承認プロセスを徹底する必要がある。AIサイバーセキュリティガバナンスを、より広範なAIガバナンスの取り組みに統合することが欠かせない。
AIプロンプト経由のデータ漏えい
CISOは、AIプロンプト経由の重大なデータ漏えいリスクに直面している。従業員が生成AIツールを操作する際に、機密情報や専有情報をうっかり共有してしまうことがあるからだ。チャット履歴、ファイルのアップロード、プロバイダーにおけるロギングなどの機能を通じて、機密情報や専有情報が不注意で共有されると、認可されていない関係者や外部ベンダーに機密データがさらされる恐れがある。
これらのリスクを軽減するために、企業はプロンプトモニタリングツールを導入し、AIシステムへの機密データの入力を厳格に制限する必要がある。DSPM(データセキュリティ態勢管理)やTRiSM(信頼/リスク/セキュリティ管理)ソリューションを実装することは、全てのAIワークフロー全体で機密情報を発見、分類、保護し、全体的なデータセキュリティを強化するのに役立つ。
外部からの主要なAI関連サイバー脅威
AI強化型フィッシング、ディープフェイク、ソーシャルエンジニアリング
AI強化型のフィッシング攻撃やビジネスメール詐欺(BEC)攻撃は、ますます巧妙化し、広範囲に拡大している。
Gartnerの調査によると、CISOの37%がビデオ通話中に、43%が音声通話中に、ディープフェイクインシデントに遭遇している。今日では、攻撃者はAIを使って、攻撃キャンペーンの自動化、パーソナライズ、拡大を進め、フィッシングメールやソーシャルエンジニアリングの誘い文句をこれまで以上にもっともらしいものにして、検知を難しくしている。
こうした手口の高度化により、脅威アクターは利用価値の高い個人を標的にし、ディープフェイクで経営幹部になりすまし、従来の防御を回避することが可能となっている。そのため、企業のデータ侵害や金銭的損失のリスクが著しく高まっている。
企業はこれらの進化する脅威に対処するため、AIや機械学習(ML)による検知機能を備えた最新の電子メールセキュリティプラットフォームを導入すべきだ。また、ディープフェイクや高度なソーシャルエンジニアリングの手口など、新たに出現しているAI主導の脅威をカバーするように、従業員向けの意識向上トレーニングを強化することも重要だ。
AIが規制とコンプライアンスに与える影響
AI関連の規制がより複雑かつ厳格になり、CISOは増大する課題に直面している。EU AI法などの法律や、米国の州、地方自治体で求められるさまざまな要件が、企業に大きなコンプライアンス負担を課している。これらの規制は、AIシステムに関する厳格なリスク評価、包括的な文書化、継続的な監視を要求する。コンプライアンス違反は、多額の制裁金や評判の失墜につながる恐れがある。
国や地域によって規制がまちまちなことも厄介な問題であり、グローバルに事業を展開する企業の業務の複雑さとコストを増大させる。こうした一筋縄ではいかない状況を乗り切っていくために、CISOは専任のAIガバナンスグループの一員として、法務およびコンプライアンスチームと緊密に連携する必要がある。この協力体制は、現在の要件を確実に順守しながら、将来の規制動向に備えるために不可欠だ。
サードパーティーAIのリスク
企業にとって、ベンダーから提供されるAIモデルやクラウドベースのAIサービスに依存することには、固有のリスクがある。これらのサードパーティー製ソリューションは、脆弱(ぜいじゃく)性が潜んでいたり、事前の通知なしに更新されたりする可能性があるため、監視と管理を維持することが難しい。さらに、マルチクラウドやSaaS環境の複雑さにより、「AIモデルがどこで、どのように展開されているか」「ベンダーがデータプライバシーとセキュリティのベストプラクティスに従っているかどうか」を追跡する作業は、より大変になる。
ベンダーモデルにパッチが適用されていない、あるいはベンダーモデルが安全でないと、企業の防御において、悪用可能な弱点が生じる場合がある。また、契約に基づく管理が甘い場合、セキュリティ基準を強制したり、タイムリーなインシデント通知を受け取ったりすることがままならないかもしれない。ベンダーの運用に関する透明性が足りない場合も、不正なデータアクセスやデータ漏えいのリスクが上昇する。
企業はこれらのリスクを軽減するために、AIに特化したベンダーリスク評価を徹底的に行い、AI利用に関連する明確な契約上の義務を確立し、業務に統合されている全てのサードパーティー製AIサービスのセキュリティ態勢とコンプライアンスを、継続的にモニタリングする必要がある。
出典:Navigating the Top AI-Driven Cybersecurity Threats Facing Organizations(Gartner)
※この記事は、2025年10月に執筆されたものです。
Copyright © ITmedia, Inc. All Rights Reserved.
アイティメディアからのお知らせ
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。