従業員に起因するサイバーセキュリティリスクの軽減における生成AIの可能性：Gartner Insights Pickup（350）

[Richard Addiscott, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Insights」などのグローバルコンテンツから、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

　ほとんどのサイバー攻撃は、機械ではなく人間の脆弱（ぜいじゃく）性に起因している。Gartnerの調査によると、企業の65％がリスク低減のために、セキュリティプログラムの一環として安全な行動を奨励している。だが、データ侵害の大部分は人的要素が関与している。生成AIは、従業員に起因するサイバーセキュリティインシデントを減らす切り札になるだろうか。

　従業員は、自分の行動が安全でないことを知っている。Gartnerの調査は、「従業員の69％が、意図的にセキュリティ対策を回避していることを認めている。そのうちの93％は、そうすることが自社のリスクを高めることを知っていながらそうしている」ことを示している。

　サイバー攻撃の主要な手段は依然としてフィッシングだが、従業員はフィッシングに引っ掛かるだけでなく、システムの設定ミスやデータの誤用、誤配信、弱い認証情報の使用といった行動でも、多くのデータ侵害を招いている。これらは全て回避できる行動であり、企業はこの問題に対処する必要がある。

　Gartnerが2023年10月に発表したCIO（最高情報責任者）に対する調査では、2024年に投資を増やすと回答した割合が最も多い分野はサイバーセキュリティだった（80％）。だが、より多くの技術対策に予算を割く前に、人的要素を考慮しなければならない。

　そのために重要なのが、人間中心のアプローチを取り、コンテキストに応じたセキュリティ行動／文化促進プログラム（SBCP）を導入することだ。この取り組みでは、効果的な従業員コミュニケーションと、個々の従業員の属性に基づくパーソナライズされたエンゲージメントが不可欠な要素だ。そこで生成AIの出番となる。

コンテキストに応じたセキュリティトレーニング

　生成AIは、コンテキスト属性を踏まえてハイパーパーソナライズされたコンテンツやトレーニング教材を生成する可能性がある。この属性には、各従業員のビジネス部門や役割、職階、データアクセス権限、地理的位置、雇用形態、過去のシステム行動、これまでに受けたセキュリティトレーニングなどが含まれる。

　Gartnerは2026年までに、生成AIと統合プラットフォームベースのアーキテクチャを組み合わせたSBCPを実施する企業は、従業員に起因するサイバーセキュリティインシデントが40％減少すると予測している。こうしたSBCPを通じたエンゲージメントの向上により、従業員が日々の業務でより安全な行動を取る可能性が高まり、その結果、従業員の行動によって引き起こされるサイバーセキュリティインシデントが減少するという見立てだ。

　こうしたプログラムでは、既に生成AIの導入が進んでいる。Gartner Peer Community（※）の調査データでは、回答者の81％が自社のセキュリティプログラムにおいて、生成AIツール、基盤モデル、またはその両方を検討しているか、使用しているか、使用することを計画しているかのいずれかだ。

※ITリーダーとビジネスリーダーが議論し、リアルタイムで知識を共有するための会員制コミュニティー。会員数は10万人以上。

　33％は生成AIに加え、AIまたは機械学習をSBCPに既に取り入れているか、取り入れる予定だ。また、自動化を既に利用しているか、利用する計画である回答者が50％。データ分析を利用しているか、利用する計画である回答者が47％となっている。

　ここで注意すべきことがある。それは、「SBCPの標準化されたトレーニングコンテンツやその他のコミュニケーション資料を作成する際、当初は、効率化を目的に生成AIの基礎的なポイントソリューション（ChatGPTのような）を試してみたいという誘惑に駆られるかもしれない。だが、これらのツールを単独で使用すると、従業員エンゲージメントが改善する可能性は低い」ということだ。

　その理由は、関連する大規模言語モデル（LLM）が、高度にパーソナライズされた方法で、特定の安全でない行動を扱うのに十分な量や詳細度のデータを持たないからだ。LLMを効果的なものにするには、自社のセキュリティツールで生成される従業員の行動データを、LLMに継続的に与え、トレーニングする必要がある。

　このセキュリティツールには、セキュリティ保護ツール、セキュリティモニタリングツール、アイデンティティー／アクセス管理（IAM）プラットフォーム、人事管理システム、セキュリティ意識向上トレーニングおよび脅威シミュレーションソリューションなどが含まれる。

SBCPへの生成AI導入を開始するには

　SBCPにおける生成AIの役割の評価を始める鍵は、このプログラムに対する経営幹部と従業員の支持を維持することだ。どんなレベルのパーソナライゼーションが必要かについてのガイダンスの提供と、構築されたコミュニケーションの妥当性の評価を担う組織として、従業員の部門横断的なワーキンググループを立ち上げるとよい。

　その上で、さまざまなモダリティ（テキスト、画像、動画、音声など）にわたって、SBCPのハイパーパーソナライズされたコミュニケーションの構築に役立てるため、生成AIの機能を試験的に導入する。また、LLMスキルを持った社内外の人材を活用して、モデルの説明可能性を確保し、パーソナライゼーションとエンゲージメントの取り組みを台無しにしかねないハルシネーション（AIがもっともらしいが誤った回答を返すこと）を最小限に抑えることも重要だ。

　生成AIの機能が自社でまだ受け入れられていない場合は、セキュリティ意識向上に関する外部パートナーを評価し、その企業がソリューションロードマップの一環として、生成AIをどのように活用しているかを理解する。

　可能であれば、関連する規制上の義務に従って生成AIの機能を安全に活用し、自社のSBCPにおけるコミュニケーションコンテンツのパーソナライゼーションを向上させるべきだ。

出典：GenAI Offers Promise to Reduce Employee-Driven Cybersecurity Risk（Gartner）

※この記事は、2024年2月に執筆されたものです。

筆者　Richard Addiscott

VP Analyst