従業員に起因するサイバーセキュリティリスクの軽減における生成AIの可能性：Gartner Insights Pickup（350）

[Richard Addiscott, Gartner]

ガートナーの米国本社発のオフィシャルサイト「Insights」などのグローバルコンテンツから、＠IT編集部が独自の視点で“読むべき記事”をピックアップして翻訳。グローバルのITトレンドを先取りし「今、何が起きているのか、起きようとしているのか」を展望する。

　ほとんどのサイバー攻撃は、機械ではなく人間の脆弱（ぜいじゃく）性に起因している。Gartnerの調査によると、企業の65％がリスク低減のために、セキュリティプログラムの一環として安全な行動を奨励している。だが、データ侵害の大部分は人的要素が関与している。生成AIは、従業員に起因するサイバーセキュリティインシデントを減らす切り札になるだろうか。

　従業員は、自分の行動が安全でないことを知っている。Gartnerの調査は、「従業員の69％が、意図的にセキュリティ対策を回避していることを認めている。そのうちの93％は、そうすることが自社のリスクを高めることを知っていながらそうしている」ことを示している。

　サイバー攻撃の主要な手段は依然としてフィッシングだが、従業員はフィッシングに引っ掛かるだけでなく、システムの設定ミスやデータの誤用、誤配信、弱い認証情報の使用といった行動でも、多くのデータ侵害を招いている。これらは全て回避できる行動であり、企業はこの問題に対処する必要がある。

　Gartnerが2023年10月に発表したCIO（最高情報責任者）に対する調査では、2024年に投資を増やすと回答した割合が最も多い分野はサイバーセキュリティだった（80％）。だが、より多くの技術対策に予算を割く前に、人的要素を考慮しなければならない。

　そのために重要なのが、人間中心のアプローチを取り、コンテキストに応じたセキュリティ行動／文化促進プログラム（SBCP）を導入することだ。この取り組みでは、効果的な従業員コミュニケーションと、個々の従業員の属性に基づくパーソナライズされたエンゲージメントが不可欠な要素だ。そこで生成AIの出番となる。

コンテキストに応じたセキュリティトレーニング