インターネットやスマートフォン、クラウドコンピューティングと同じように状況を一変させる可能性のある—ChatGPT、GitHub、CoPilotのような生成AIツールの登場は、間違いなく企業に新たな可能性と課題をもたらすことでしょう。AIの急速かつ圧倒的な進歩は、サイバー犯罪者によるAIの採用の潜在的な影響に備えつつ、このテクノロジーを責任を持って活用しようとする人々の危険性を高めてきました。脆弱なシステムを特定して悪用するのに役立つコードを書いたり、高度にパーソナライズされたフィッシングメールを生成したり、不正な取引を承認するために経営陣の声を真似ることさえできる機能を備えているため、組織がAIをめぐるリスク計算を再評価し、ハッキングに対する防御的、攻撃的戦略を検討することが極めて重要です。
AI時代のサイバーセキュリティ体制を評価する際に、ITおよびセキュリティの幹部が考慮すべき3つの主要戦略を以下に示します:
ユーザーの中には、AIでの最悪の事態を恐れ、「AI軍拡競争」において、全知の思考マシンが人類を脅す超兵器となる未来を創造する人もいます。この表現はかなり大げさで、AIの現実はそれほど不吉ではありません。
悪意のあるアクターは、間違いなく、不正な目的のためにAIツールを利用するでしょう。しかし、既存のAIツールは、一般的に基本的なコーディングに限定されており、真に悪意のあるコードを書き込むことを防ぐためのセーフガードを備えています。
一方、良い面として、AIは、特に熟練した専門家が不足しているサイバーセキュリティ分野において、サイバーセキュリティ防御チームのスキルを高め、その能力を向上させる可能性を秘めています。AIツールを活用することで、初心者レベルのアナリストは日常業務の支援を受けることができ、セキュリティエンジニアはコーディングとスクリプトの能力の向上を体験できます。
成功の鍵は、あらゆる攻撃的なAI脅威とAI対策をマッチングさせるのではなく、AIツールに投資を行い、専門知識のレベルを上げるために、トレーニングを行うことです。
サイバー攻撃のほとんどは、私たちの受信トレイから始まります。悪意のあるアクターは詐欺電子メールを送信し、フィッシングやソーシャルエンジニアリングの戦術を活用して組織に侵入するための認証情報を収集します。AIの最近の進歩により、これらの電子メールはますます高機能になり、現実味を帯び、ソーシャルエンジニアリングのツールキットにAIを搭載したチャットボットを統合することで、これらの攻撃の範囲や領域が広がるでしょう。
サイバーセキュリティの専門家は、AIを活用したフィッシング攻撃やソーシャルエンジニアリング攻撃の可能性を認識し、それらの検知と対応についてユーザーを教育しなければなりません。フィッシング攻撃を特定するために、ユーザーのトレーニングを継続し、不審なアクティビティを迅速に報告するためのプラットフォームを提供し、サイバー防衛戦略全体にユーザーの協力を求めることが不可欠です。
しかし、ヒューマンエラーは避けられず、技術的な防御に頼ることで、ユーザーをハッキングから保護する必要があります。残念ながら、主要な電子メールサービスにおける基本的なフィルタリングツールは、多くの場合、十分ではありません。企業は、たとえ信頼できる送信者やドメインからであっても、異なるベクトルにまたがる攻撃を包括的にブロックするために、高度な電子メールセキュリティツールを探すべきです。
フィッシングやクレデンシャルハーベスティングは、攻撃の最初のステップになることが多いですが、これが全体像ではありません。AIが企業データやアプリケーションに与えるリスクを考慮する際には、潜在的な攻撃の多面的な性質を認識することが重要です。
組織は、従来の「城と堀」の境界を持つネットワークを保護することにとどまらず、データがどこに存在し、どのようにユーザーとアプリケーションがそれにアクセスするかに焦点を当てるべきです。多くの企業にとって、これは、フィッシング耐性多要素認証(MFA)で強化されたセキュアアクセスサービスエッジ(SASE)ソリューションを備えたZero Trustアーキテクチャを採用することを意味します。
インターネットに面したアプリケーションやAPIは、ボットや他のAI駆動型の攻撃など、さまざまな種類の攻撃に対して脆弱です。これらのアプリは、ボットや将来のAI駆動型の攻撃を軽減するため、暗号化、Webアプリケーションファイアウォール(WAF)、入力検証、およびレート制限などの適切な保護を持つべきです。
企業がAIツールを採用する際には、ユーザーが企業のデータを悪用したり、漏洩したりしないようにしなければなりません。JPMorgan Chaseのような一部の企業は、従業員がChatGPTを使用することを制限する決定をしましたが、少なくとも企業は、許容可能な使用方針、技術的管理、およびデータ損失防止対策を実施し、あらゆるリスクを軽減する必要があります。
サイバーセキュリティの専門家は、好奇心を維持し、AIツールを試して、善意と悪意の両方の目的で使用される可能性があることをより深く理解することが不可欠です。攻撃から保護するために、組織は、自らの能力を増幅させる方法を模索すべきです–ChatGPTを使用したり、広範なトレーニングデータにアクセスでき、さまざまな防御的側面にわたる脅威インテリジェンスを活用するサイバーセキュリティツールやプラットフォームを探すなど。
肝心なのは、企業は世界の変化とともに進化する包括的なセキュリティ対策を実装しなければならないということです。AIは潜在的な脅威として浮上してきましたが、このテクノロジーは強力な利益をもたらす可能性もあり、–AIを安全に使用する方法を私たちが身につけることが肝要です。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
この記事は当初、Security Boulevardのために制作されたものです
この記事を読めば、以下が理解できます。
サイバー犯罪者によるAIの採用の影響
防御戦略と攻撃戦略の両方を考慮したAI周辺のリスク計算の評価方法
AI時代のセキュリティ体制を評価するための3つの主要な考慮事項