生成AI活用で内部統制は必要か、専門家の意見が真っ二つに割れる理由とは チェック・ポイント調査：回答者の半数以上がセキュリティにAIを導入予定

チェック・ポイント・ソフトウェア・テクノロジーズは、サイバーセキュリティとAI活用の現状に関する調査結果を公開した。AI導入に関しては、内部統制とガバナンスポリシーの重要性に対する調査結果が浮き彫りになった。

[＠IT]

　チェック・ポイント・ソフトウェア・テクノロジーズは2024年7月5日、サイバーセキュリティに対するAI（人工知能）活用の現状に関する調査結果を公開した。それによると、サイバーセキュリティへのAI導入に関する優先順位の高さと実際の計画、開発状況の間に乖離（かいり）があることが分かった。

チェック・ポイント・ソフトウェア・テクノロジーズのWebページから引用

　なお、本稿で取り上げるデータは同社が実施した2つの調査の結果を基にしている。1つ目は「2024 Cloud Security Report」。これは2024年4月に北米、欧州、アジア太平洋地域のさまざまな業界の専門家813人を対象に実施した調査。2つ目は、ITとセキュリティ専門家400人を対象に実施し、2024年1月に結果が公開された調査だ。

サイバーセキュリティにAIをどう使うのが有効なのか？

　サイバーセキュリティに向けたAIやML（機械学習）の導入については「計画中」「開発中」と回答した企業の割合は61％で、「成熟段階」「高度に進行している」は24％。一方、「一切導入していない」は15％だった。AIやMLによって強化しているサイバーセキュリティ（クラウド）機能を見ると、トップは「マルウェア検出」で35％。次いで「ユーザーの行動分析」「サプライチェーンセキュリティ」などが続いた。

　チェック・ポイント・ソフトウェア・テクノロジーズは、AIの導入が迅速に進まない理由について次のように述べている。

　「AIに関する規制は急速に変化している。それにどう対処するのかが企業にとって課題になっている。AIはまだ初期段階にあり、AIやサイバーセキュリティを巡る法律や政府方針は発展途上だ。企業にはコンプライアンスに関するリスクを冒す余裕はなく、導入には慎重になっている」

　一方、今後の重要な優先事項としてAIを位置付けている企業の割合は91％。AIの有望性については、最も可能性のあるAI活用分野として48％が「繰り返しタスクの自動化」と「異常やマルウェア検出の改善」を挙げた。さらに、AIを活用した動的なセキュリティポスチャ（態勢）管理のための強化学習を有望視している回答者の割合は41％だった。

自社なら内部統制しなくても生成AIを安心して使える？

　「自社の組織は、データ品質やガバナンスポリシーに関する内部統制を実施しなくても、生成AIを安心して使用できるかどうか」という質問については、「同意しない」「強く反対する」と回答した人の割合は44％、「同意する」「強く同意する」は37％と、回答が割れた。

　チェック・ポイント・ソフトウェア・テクノロジーズは「専門家を対象とした調査で回答がこれほど大きく分かれることは非常にまれだ。この分裂は合意形成の欠如、あるいは単にAIに関する内部統制とガバナンスポリシーの重要性への認識の欠如を示している」と分析している。