IEEE: AI の時代において、基本的なサイバー衛生で十分でしょうか?

長年にわたり、強力なパスワード、定期的なデータ バックアップ、多要素認証は、個人情報を安全に保つために消費者や企業にとって不可欠なサイバー セキュリティ対策であると考えられてきました。

これら 3 つの柱は、いわゆるサイバー衛生の基盤であり、個人情報を安全に保つのに役立ちます。しかし今、私たちはサイバーセキュリティの新たなパラダイムに突入しており、そこでは生成 AI を使用して人間とテクノロジーの両方の弱点に対処できます。

ここで疑問が生じます。これらの基本的なサイバー衛生対策は、新たな AI 関連のサイバー脅威から身を守るのに十分でしょうか?

IEEE上級会員のケイン・マクグラドリー氏は、生成AIの台頭により、ビジネスメール詐欺、ディープフェイク技術、生成された攻撃コードなど、サイバー脅威による新たな課題も生まれていると述べた。

「これらの脅威は理論上のものですが、その応用範囲は現時点では比較的限られています」とマクグラドリー氏は言う。「脅威の担い手が、ビジネスメール詐欺、ディープフェイク、攻撃コードの生成にとどまらず、生成型 AI の革新的な新しい用途を今後も発見し続けると予想するのは当然です。」

それでは、これらのサイバー攻撃が何であるかを見てみましょう。

• ビジネスメール詐欺 (BEC): BEC 攻撃では、脅威アクターが経営幹部のメール アカウントを侵害し、個人を操作して不正な取引を実行させます。伝統的に、こうした攻撃は、経営幹部の文章スタイルを模倣することに大きく依存してきました。しかし、生成 AI は文章スタイルだけでなく、経営者の声のトーンも模倣できるようになり、BEC 攻撃の拡張性と有効性が向上しました。多要素認証は、電子メールの侵害に対する最善の防御策と考えられています。
• ディープフェイク: ディープフェイクは人工知能技術を使用して、説得力のある欺瞞的なオーディオおよびビデオ コンテンツを作成します。脅威の攻撃者はディープフェイク技術を使用して個人を標的にしたり、個人になりすましたりすることができ、誤報、評判の失墜、さらには市場操作につながる可能性があります。
• AI 生成の攻撃コード: 悪意のある攻撃者のほとんどは、新しいエクスプロイトを作成したりコードを記述したりする技術的スキルを持っていません。代わりに、彼らは以前に特定されたプレイブックに頼って攻撃を実行し、ダークウェブからコードを抽出しました。生成 AI により、脅威の攻撃者は他のシステムの脆弱性を悪用するように特別に設計された悪意のあるコードを作成できるようになります。

基本的なサイバー衛生を超えて

専門家は、悪意のある行為者は最も抵抗の少ない道を選ぶ傾向があるため、サイバー衛生のわずかな改善でも効果が出る可能性があると指摘しています。

では、個人や組織はどのようにして基本的なサイバー衛生の実践を補完し、セキュリティを向上できるのでしょうか?強力なパスワード、定期的なデータ バックアップ、多要素認証は依然として重要ですが、さらに推奨される手順をいくつかご紹介します。

• セキュリティ キーの使用: セキュリティ キーは、通常、USB 経由でハードウェアに接続される小さな物理デバイスです。本質的には、誰かがアカウントのパスワードを知っていてもサービスへのアクセスを拒否する 2 番目の認証形式です。簡単には偽装されず、他の形式の多要素認証ほどフィッシング詐欺の被害に遭いにくいです。これらは企業環境でますます一般的になり、富裕層や有名人もアカウントへのアクセスを保護するために使用しています。
• 定期的なソフトウェア更新: オペレーティング システムとソフトウェア アプリケーションを最新の状態に保つことが重要です。これは、悪意のある行為者によって悪用される可能性のある脆弱性を修正するのに役立ちます。
• 十分に評価されているフレームワークをベンチマークする: 組織は、NIST サイバーセキュリティ フレームワーク (CSF) やインターネット セキュリティ クリティカル セキュリティ コントロール センター (CIS-CSC) など、CSF を継続的に更新する評判が高く信頼できるソースに従い、そのフレームワークを基準に定期的に進捗状況をベンチマークする必要があります。
• 教育とトレーニング: 従業員、顧客、個人のサイバーセキュリティ意識を高めます。これには、フィッシングメールの見分け方、パスワードを共有しないことの重要性、公共の Wi-Fi のリスクの理解に関するトレーニングが含まれます。
• VPN を使用する: 特に公共の Wi-Fi に接続している場合は、仮想プライベート ネットワーク (VPN) を使用すると、インターネット トラフィックを暗号化し、データが傍受されるのを防ぐことができます。
• アクセス制御と最小権限の原則: 組織は、アクセス権を必要とするユーザーに制限し、それらの権限を定期的に確認する必要があります。 「最小権限の原則」を実装します。これにより、ユーザーは役割を遂行するために必要な重要なネットワーク操作に対して、最低限のアクセス権しか持たなくなります。

「要するに、基礎は重要ですが、包括的なサイバー衛生にはセキュリティに対する多層的なアプローチが必要です」とIEEE会員のスカンヤ・マンダル氏は言います。「これには技術的な対策だけでなく、セキュリティ文化を構築するために連携して機能する教育、ポリシー、実践が含まれます。」