｢完全防御は困難｣でどうする？サイバー攻撃対策 ゼロトラストからサイバーレジリエンスへ

ただ、CISOを設置している割合は、日本が39.4％なのに対し、アメリカは96％と高く、日本はまだまだこれからだ（NRI「Secure Insight 2022」）。攻撃そのものも非常に高度になり、なかなか防ぎきれない状況が続いていて、経営者が関与するセキュリティ対策がますます重要になっている。

私が座長としてまとめた経済産業省「サイバーセキュリティ経営ガイドライン」では、経営者が認識すべき3原則としてリーダーシップの発揮、サプライチェーン強化、 社内外の情報共有を挙げている。

またサイバーセキュリティ経営の重要10項目としてCISOなどが対応すべき点についても書かれている。経営者はこれらを参照して、セキュリティ対策が経営マターだと認識してしっかり対応してもらいたい。

生成AIがサイバー攻撃をさらに高度化する

――生成AIはサイバー攻撃やセキュリティ対策にどのような影響をもたらすか。

以前から、AIとセキュリティの関係には4つの観点があると私は言っている。「Attack using AI」はAIを利用した攻撃、「Attack by AI」はAI自身による攻撃で、どちらもAIが攻撃してくるが、後者のAIが自律的に攻撃してくる可能性も認識しておく必要がある。そのほか、AIへの攻撃の「Attack to AI」と、AIを利用したセキュリティ対策となる「Measure using AI」もある。

今後は、AIを利用した攻撃がいっそう増えると考えられるが、「Attack using AI」では、とくに生成AIの影響が大きくなるだろう。

マルウェアなどの不正ソフトが容易に自動生成できるようになるほか、わかりやすい文章が出力できるのでフィッシングメールやフェイクニュースも簡単につくれてしまう。Deep LearningなどのAI技術を利用するディープフェイクは、どんどん高度になっているので、真偽を見分けるのが難しくなっていく。

間接的ではあるが、技術が陳腐化して失業や転職につながったり、社会構造の急激な変化、人間への攻撃などが起こるといった社会的リスクもある。

さらに生成AIを使い脆弱性情報を悪用したり、人の行動やシステム内部の脆弱性を予測して標的型攻撃を実行するなど多様な攻撃が考えられるので、これらの領域の研究をしっかり行っていく必要がある。AIを利用したセキュリティ対策でより高度な対策をすることも求められるだろう。

「EUサイバーレジリエンス法」への対応も