人工知能がもたらすサイバー脅威はどれほど大きいのでしょうか?

チャットボットから ChatGPT のような大規模言語モデルまで、AI はあらゆるところに存在します。人工知能と機械学習はテクノロジー業界で長年話題となっており、ソフトウェア開発者や大手クラウドプロバイダーは、自社製品をよりスマートにして顧客の生活をより便利にするために、自社製品に AI を組み込むために競い合っています。

しかし、AI の突然の普及は、多くの組織とそのセキュリティ チームにとって依然として驚きとなっています。企業はこれまで、業務に AI を導入する方法について戦略を練ってきましたが、現在では従業員が AI テクノロジーに簡単にアクセスできる状況に直面しています。新しい、そして大部分が未承認のサードパーティ製アプリケーションへのオープンアクセスは、セキュリティリーダーの間で懸念を引き起こしています。

AI がサイバーセキュリティにもたらすリスクと、セキュリティリーダーがそれを軽減するために行っていることをさらに理解するために、RiverSafe は 250 人のサイバーセキュリティリーダーに意見を求める調査を実施しました。

セキュリティリーダーの 80% は、AI が組織が直面する最大のサイバー脅威であると考えています。 AI が今日の CISO にとって最大の関心事である理由を理解するために、レポートのデータをもう少し見てみましょう。

AIはサイバー脅威の範囲と規模の劇的な拡大に貢献するだろう

AI の最も懸念される側面の 1 つは、サイバー犯罪者が攻撃の規模と洗練度を高める大きな可能性を持っていることです。多くの種類のサイバー攻撃は事実上、数のゲームであり、できるだけ多くのターゲットを攻撃し、弱点が見つかることを期待する戦略に依存しています。

AI ツールを活用すれば、サイバー犯罪者は既存の戦術をより迅速かつ大規模に実行できるため、侵入が成功する可能性が大幅に高まります。

AIアルゴリズムにより、サイバー犯罪者は、パスワードの解読やウェブサイトの脆弱性の発見といった比較的単純な手法から、ディープフェイクなどの新しい手法の使用まで、攻撃の範囲を拡大できるようになります。

多くの企業がすでにサイバー犯罪によって壊滅的な被害を受けていることを考慮すると、サイバー攻撃の差し迫った増加は非常に憂慮すべき事態です。当社の調査では、CISO の 5 人に 1 人が、過去 1 年間に自社がサイバー侵害の被害に遭ったのではないかと疑っていると回答しました。さらに18%が深刻な違反を経験したと認めた。追加対策にもかかわらず、多くのセキュリティリーダーは依然として攻撃の増加に不満を抱いているようです。回答者のほぼ 3 分の 2 (63%) が、今年は組織内でこれまで以上に多くのデータ損失が発生すると予想していると回答しました。

人工知能により攻撃はより洗練され、防御が困難になる

AI により、サイバー犯罪者はより多くの攻撃をより頻繁に実行できるようになるだけでなく、サイバーセキュリティ製品や人間による検出がより複雑で困難な新しいタイプの攻撃を作成するためにも使用されています。

当社の調査結果によると、CISO の 61% が、攻撃手法をよりスマートかつ高度化するために AI が使用されていることを経験したと回答しています。

人工知能のアルゴリズムは、インターネット上で入手可能な膨大な量の個人データを悪用して、潜在的な被害者をより巧妙に騙そうとしている。私たち全員にデジタルフットプリントがあり、特に機密性が高いとは考えられないようなデータであっても、AI によってターゲットを絞った説得力のあるメッセージを作成し、受信者の信頼を得るために使用される可能性があります。たとえば、電子メール アカウントをクロールすることで、AI ボットは最近の週末旅行に関する情報を記載したメッセージを作成し、実際に親しい同僚から送信されたように聞こえる信憑性のある電子メールを作成できます。

この高度な技術の一部は、従業員を欺くために使用できる最先端のテクノロジーから生まれていますが、AI は攻撃者がネットワーク防御を回避するのを助けるより簡単な方法でも使用されています。たとえば、AI を活用したスペル チェッカーと文法チェッカーは、構成が不十分で不器用に書かれたフィッシング メッセージ内のエラーを迅速かつ正確に検出できるため、本物の通信と疑わしい通信を区別する最も一般的な方法の 1 つが不要になります。

人工知能がデータ漏洩問題を悪化させている

現在では誰でも利用できる生成 AI ツールが豊富にあるため、機密データの移動を制御することはより困難になっています。これらの製品では、要求されたコンテンツ (コピー、コード、デジタル画像など) を作成して配信するために書面によるプロンプトを使用します。つまり、結果を生成するにはユーザーがデータを提供しなければならないということです。

しかし、AI ツールに何を「伝える」か、または取り込んだデータを AI ツールがどう扱うかをどのように制御するのでしょうか?

これらのサードパーティ ツールは、入力データの送信先やそのデータの使用方法をユーザーが制御できないため、企業内でセキュリティを確保するのが困難です。情報がプロンプトの一部として提供されると、その情報は、他のユーザーに回答を提供するために大規模言語モデル (LLM) によって使用されるデータベースに入力されます。つまり、その情報は、LLM が関連していると判断した場所であればどこにでも表示される可能性があります。

これは、従業員がこれらのツールに入力した情報に基づいて潜在的なデータ侵害に対応している CISO にとって大きな課題となります。世界最大規模の企業の中には、すでに従業員による生成 AI ツールの使用を禁止しているところもあり、当社の調査データによると、多くの企業がこれに追随し、データ セキュリティを確保するためにゼロ トラスト アプローチを採用しています。

私たちがインタビューしたセキュリティリーダーの多くも、組織への AI の導入に反対しており、約 4 分の 1 (22%) が ChatGPT などの公開されている生成 AI ツールの使用を禁止しています。

人工知能の脅威に対処するための行動

AI は現在、セキュリティ リーダーの頭を悩ませているかもしれませんが、それを完全に遮断することは不可能です。このテクノロジーはまだ比較的初期段階にありますが、避けて通ることはできません。ソフトウェアやビジネス プロセスにますます浸透していくでしょう。今こそ、デジタル環境を脅威から保護しながら、ビジネスが AI のメリットを享受できるように行動を起こすときです。

強力な意識向上トレーニング、サイバーセキュリティ体制の強化、自律的な脅威に対抗するように設計された AI 強化セキュリティ ツールへの投資を通じて、防御を強化し、ビジネス リスクを軽減できます。