EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
要点
サイバーセキュリティの分野では、サイバー攻撃の検知を中心に古くから AI が使われてきました。主な用途は、マルウェアの検出やユーザーの行動やネットワークトラフィックの異常からの攻撃の検知など、大量のサンプルから学習した異常なパターンとの一致、または正常なパターンとの不一致の検出などです。今後は、サイバー攻撃の検知後の封じ込め、すなわち、マルウェア感染端末の隔離やFirewallやProxy での通信の遮断といったセキュリティインシデントに対しての初期対応を行うべき状況なのか否かの判断、および必要なセキュリティ機器の設定変更の自動化へとAIの活用は変わってくると考えます。
しかしながら、日本のマーケットにおいては、誤検知による遮断によるビジネス機会の損失を恐れる傾向が強く、AIがセキュリティインシデントに対しての準備を整えてから、最後に人が判断のみを下すといった使い方が当面の使い方になると考えます。
⼈⼯知能(AI)の昨今の進歩と、ビジネス全体で加速するAI導入の進行は、最⾼情報セキュリティ責任者(CISO)にとって、機会でもあり、リスクでもあります。AIがより広範囲のタスクを⾃動化することによってインシデントレスポンスタイムを短縮し、また攻撃対象領域全体を可視化し、その管理を最適化することで、サイバーセキュリティ部⾨の作業負荷と世界規模のスキル不⾜を緩和できる余地が⼤きいと見られています。しかし、ビジネス部⾨全体にわたって⽣成AIが採⽤されることで、現在多くのサイバーセキュリティ部⾨で対応しきれていない新たな脆弱性が発⽣しています。
2023年EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査によると、本調査で「セキュアクリエイター」1 として特定した⾮常に効果的なサイバーセキュリティ対策を講じている組織の重要な特徴の1つが、AIや⾃動化などの先端技術をサイバー防御に早期導入していることであると分かりました。こうした新技術導入の速さの効果は、セキュリティインシデントの検知と対応に要する時間が、他の組織よりも50%以上短縮できたことに表れています。
2024年グローバル・サイバーセキュリティ・リーダーシップ・インサイト調査として、EYのチームは今年、サイバーセキュリティ部⾨だけでなく全社規模でAIと⽣成AIの利⽤が急増している中、セキュアクリエイターがどのように対応しているかを明らかにするために追加調査を実施しました。
インタビュー調査および学術研究データに対して綿密なトピッククラスター分析を行った結果、CISOはAIをサイバーセキュリティ対策に意欲的に取り⼊れてはいるものの、他の部⾨がサイバーセキュリティ対策をAIモデルに組み込むことを積極的に⽀援するには⾄っていないことが明らかになりました。
CISOがこのギャップを埋めることができれば、AIを今以上に安全かつ広範囲に導⼊し、その導入効果を組織全体に広げることができるでしょう。また、サイバーセキュリティ部⾨を「ただ断るだけの部署」から真の技術変⾰の実現者へと、存在意義を再定義する機会にもなります。
第1章
セキュアクリエイターは、サイバー脅威に先⼿を打つためにAIを活⽤し、その結果、より少ない⼈手やリソースで対応することに成功しています。
セキュアクリエイターが実践している、特に注⽬すべき効果的で適応性に優れたサイバーセキュリティ対策の1つは、サイバーセキュリティ機能へのAIの活用です。セキュアクリエイターの62%がAIや機械学習(ML)を使⽤しているか、または導⼊の最終段階にある⼀⽅で、他の組織では45%にとどまります。
サイバーセキュリティにおけるAIの活⽤は特に⽬新しいものではなく、1980年代までさかのぼることができます。EYの分析では、2015年以降、AI関連のサイバーセキュリティ研究、特許、投資が急増しています。AIに関連する割合は現在、全サイバーセキュリティ特許の59%を占め、2017年以降サイバーセキュリティ研究で最も取り上げられた技術となっています。
現在、セキュアクリエイターは新しい⽅法でAIをセキュリティインシデント・脆弱性の検知、対応、復旧プロセスへ組み込むことにより、規制や使⽤ポリシーに縛られずにAIを駆使し攻撃をしかける敵に対して先⼿を打つことができています。
企業内データを迅速に分析することで、AIはさまざまな攻撃パターンや新しい攻撃⼿法を⾃動的に検出することができます。適切なアーキテクチャを備えることで、ITおよびOTシステム全体の既存のサイバーセキュリティ対策にAIを組み込むことが可能になり、⼈間よりも迅速にインシデントを検知することができます。
ディープラーニング(深層学習)とニューラルネットワークの進歩により、従来以上の⼤規模で異種混合のデータセットをリアルタイムで解析できるようになりました。⾃⼰学習能⼒の向上により⾃動化が加速し、サイバーセキュリティ部門はネットワークやアプリケーションを継続的に監視し、ほぼリアルタイムで脅威を検知・予測し、インシデントに対し迅速に対応できるようになりました。ディープラーニングにより、サイバーセキュリティ対策の精度と効率も向上します。69の調査研究のメタ分析によると、スパム、マルウェア、ネットワーク侵⼊の検出精度は平均92%以上でした2。
Australia and New Zealand Banking Group Limited(ANZ銀⾏)のセキュリティオペレーション、インテリジェンス、インフルエンス部⾨のグローバル責任者であるGajan Ananthapavan⽒は、同部門で対応しているインシデントレスポンスの約30%が⾃動化されており、これは主にMLとAIによるものだと述べました。 「私たちは、当行の環境全体における潜在的なセキュリティイベントやインシデントの監視、検出、対応の⼀環として、毎⽇100億以上のデータイベントを取り込んでいます」とAnanthapavan⽒は⾔います。
「MLとAIなくして、これほど大量の処理は不可能でしょう」北⽶の⼤⼿資産管理会社のあるCISOは、同社が平均的な検出までにかかった時間およびレスポンスタイムを少なくとも従来比50%削減できたと述べています。2023年の調査データによると、セキュアクリエイターは、データ侵害の検出および対応にかかった日数にして平均150⽇以上の早期化ができました。
自動化や生成AIの恩恵を受けるには、まず技術的対策の変革が必要です。壊れたプロセスを自動化しようとしても意味がありません。
AIは、従来と同じかそれより少ないリソースでサイバーセキュリティ部門が業務効率を上げられるよう⽀援します。こうした少ないリソースでより多くの作業をこなせることは、財務担当者(CFO)も満⾜させることができます。 EYの初期の分析によれば、サイバー防御におけるAIによる効率性の向上は、15%から40%に達するとされています。「⾃動化や⽣成AIの恩恵を受けるには、まず技術的対策の変⾰が必要です。壊れたプロセスを⾃動化しようとしても意味がありません。」とBupa社のグループCISOが指摘しているように、業務効率を最⼤化するためには、CISO はまず複雑さを軽減し、既存のサイバーセキュリティインフラを統合することが必要です。
株主、取締役会、規制当局に対して自社の説明責任を果たすためには、AIを活⽤した⾃動化と⼈材管理との間で適切なバランスを取ることが極めて重要です。CISOにとって、⼿動のプロセスからAIを活⽤した⾃動化に置き代える場合、どの分野が最適であるかを特定することが欠かせません。
例えば、Asahi Beverages社のCISOであるAdam Cartwright⽒(当時)によれば、各チームはいまだに自社システムが目指すべき将来像を作成中の段階でした。「近い将来、私たちがシナリオを書く必要すらなくなっている姿を望んでいます。AIエンジンが背景事情を把握して、各状況で何をするべきかシステムアナリストの考えを理解し、そのステップを私たちに推奨する、あるいは実⾏できる、そんな将来です」
同様に、ANZ銀⾏のAnanthapavan⽒は、「現在の脅威ハンティングは、スクリプトをコーディングして開発したものを当社の環境で実⾏するという⼿作業が中⼼のプロセスになっています。私たちは、悪意のある活動を特定し、迅速に対応するために、こうしたプロセスの⼤半を⾃動化したいと考えています」と述べています。
AIがサイバー⼈材の確保に与える影響も⼤きいでしょう。AIにより、従業員はもっとやりがいや付加価値のある仕事に専念し、処理能⼒を⾼めることができるようになります。単純作業を無くすことで、従業員の定着率が向上したというCISOの報告もあります。また、AIによりCISOは外部委託費を削減することができるでしょう。「AIの導⼊は、スタッフを雇⽤して訓練し、定着させるよりもはるかに容易です。AIは短時間でより多くの情報を扱うことができます」とアジアに本社を置く電⼦機器メーカーのCISOは⾔います。
CISOはまた、サイバーセキュリティ技術の専⾨家から、AIのオペレーターやAIモデルを微調整する「ファインチューナー」へとサイバーセキュリティ人材がシフトし始めていることにも着⽬しています。適切なテクノロジーとAIインターフェースを掛け合わせたプロンプトエンジニアリングのスキルを持つ人材は、複数のペネトレーションテスターに匹敵する仕事を1⼈でこなすことができます。
CISOの取るべき行動:
第2章
サイバーセキュリティ部⾨は、社内全体でAIの信頼性を⾼め、導⼊を促進することができます。
企業が全ビジネス部⾨にわたってAIを導⼊する中で、サイバーセキュリティ部⾨が、各部⾨のAIソリューションを活用することで新たな価値を創造する取り組みを⽀援することは、信頼されるパートナーとして地位を高めるチャンスです。
AIの急速な導⼊は、各部門が新たなサイバー攻撃やコンプライアンスリスクに直面する危険性をはらんでいます。AIが担う機能やAIの実証実験が急増する中で、これらを適切に管理するためには、サイバーセキュリティ部門は戦略的な視点を持ち、より積極的で、一貫性のある役割を果たすべきです。
攻撃者はすでにAIシステムの脆弱性をターゲットにしています。セキュリティ研究者たちはプロンプトインジェクション(システムを欺き、フィルターやガードレールを回避するように作成されたエンジニアリングプロンプト)を使って、BardやOpenAIのような会話型ボットへの攻撃を試みています4。ある研究者たちはホワイトハッカーとしてデータポイズニング(悪意のあるデータをアルゴリズムに送り込み、その出⼒を操作すること)が、最⼩限の技術的スキルかつ低コストで⼀般的なデータセットに対して実⾏可能であることを実証しています5。 別のプロジェクトでは、⾃動運転⾞を誤認させるために停⽌標識に「時速45 マイル」のステッカーが貼られていました6。 また別の研究者たちは、AIの⾳声アシスタントに悪意のある⾳声コマンドを注⼊できる、人が聞き取れることのできない不可聴攻撃について報告しています7。
悪意ある攻撃者からの攻撃だけでなく、自社の従業員がAIを使⽤する際、コンプライアンスや規制違反を回避させることも必要です。違反行為には、機密データ、知的財産、制限された資料をAIモデルに⼊⼒し、クエリやタスクを実⾏することが含まれます。「世の中には多くのツールがあり、それぞれ異なる⽅法で動作し、異なるリスクがあります。こうしたツールにサインアップして使うことは⾮常に簡単です」とある製造業のCISOは⾔います。
2023年の調査によると、自社の非IT部⾨の従業員によるサイバーセキュリティのベストプラクティスの実践状況に満⾜しているのは、調査対象のCISOのうち36%に過ぎませんでした。AIサイバーセキュリティのトレーニング・教育の必要性は、トピッククラスタリング分析から明らかになった最近の学術研究の傾向でも証明されています。企業や組織のサイバーセキュリティ管理に関する⽂献の50%近くがトレーニング・教育に関するもので、この分野で最⼤のトピックでした。さらに、その文献の23%はAIトレーニング・教育に関するもので、従業員がこの分野でより詳細なガイダンスを求めていることがうかがえます。また、今後発表予定のEYの調査によると、調査対象の⽶国の労働者のうち、雇⽤主が従業員に対して責任あるAIの使⽤についての教育を優先していると答えたのは62%に過ぎませんでした。
Asahi Beverages社のCartwright⽒も、顧客インサイトのようなアウトプットを⽣成するAIツールは、同意やデータの再利⽤プロトコルの観点から適切に管理される必要があると主張しています。「開発環境、特にデータサイエンスの開発環境については、強⼒なコントロールにより、⼗分に保護されていることを確認する必要があります」と同⽒は⾔います。インタビュー調査に回答した複数のCISOからは、説明責任を確⽴することの重要性も指摘されました。例えば、信⽤限度額の決定が、参照するデータ、不正確な推論、または誤解を招くプロキシデータに関する差別禁⽌規制に違反していないか確認するなどです。
CISOがAI実装を改善できる機会と領域:
有能なCISOは、強⼒なサイバーセキュリティ態勢を築くことの意義について、社内組織の垂直⽅向にも⽔平⽅向にも、そして社外にも伝えることができます。経営層と取締役会のAIリスクに対する認識が高まれば、AIセキュリティの取り組みをさらに拡充する機会につながるでしょう。2023年の調査が示すように、CISOはすでに自身の影響⼒が拡⼤し始めていると感じており、取締役会との交流が増え、経営層直属のCISOの割合も増えています。取締役会や経営層との信頼関係を構築するうえで、透明性が重要です。
「⾮常に重要となっているのは、透明性を保ってビジネス部⾨と関わる能⼒です。そうすることで、ビジネス部⾨の⼈々が気軽に直接話をすることに抵抗を感じなくなります。セキュリティが裏⽅の時代は終わりました」とAsahi Beverages社のCartwright ⽒は⾔います。同⽒は、取締役会との透明性の高い対話を心がけ、サイバーセキュリティが関係する意思決定の場面で責任を明確にすることで、CISOが組織全体にわたってより戦略的な役割を果たす道が開けると考えています。
経営層は、⾃社のサイバーセキュリティ対策の効果を過⼤評価する傾向があります(CISOの満⾜度36%に対し48%)。セキュアクリエイターはこのギャップが⼩さいことから、AIの実装が進む中、CISOと他部門のリーダー陣との透明性の⾼いコミュニケーションや、リスクに対する共通理解があることの重要性が⽰唆されています。
セキュリティが裏方の時代は終わりました。
同時に、組織内で使⽤される未承認の「シャドウAI」を検出する方法を検討しなくてはなりません。クラウドの黎明期と同様に、⾮本番環境での善意のAIの実証実験が原因で、機密データの漏えい、モデルの盗難、無秩序な実装による予期せぬ⾼額なソリューションコストといった被害が発⽣しています。こうした思わぬ落とし穴から、企業の事業価値やリスク態勢の双⽅に疑問が生じる事態に発展しかねません。
社外に配慮できるCISOは、サイバーセキュリティを調整の枠組みとして扱うことで、AI導⼊を組織全体に促進することができます。⼀部の企業では、AIアドバイザリー機関を設⽴してAIプロジェクトの調整役を果たしています。これによりシャドウAIの問題に対処し、社内で試行中のAIの取り組みを可視化させることができます。あるアセットマネージャーは、サイバー部⾨を含むビジネスグループの代表者で構成される組織を設⽴し、グループ内でAIを活⽤する全ての関係者に対して、共有可能なデータや、データを組織外へ送信する際に適用する制限ルールを定めています。
サイバーセキュリティは、他部門の業務現場における意思決定時の重要な要素になりつつあります。例えば、ヨーロッパに拠点を置くある⼩売メーカーはこの流れの好例です。同社のCISOは、「調達部⾨は新しいプロジェクトを開始する際、今や私たちサイバーセキュリティ部門に連絡するのものだと認識し、調達部⾨が使⽤したいと思う新しいサプライヤーやアプリケーションに関して、当部門の要件を伝えています」と述べています。
強⼒なAIサイバーセキュリティ対策があれば、安全に自信を持って各チームがAIの実証実験に取り組むことができ、企業が実⽤的な⽤途を特定し、投資対効果を明確に定義する助けとなります。あるCISOは、サイバーセキュリティ部門が⾃社専用のChatGPTのインスタンスの⽴ち上げをサポートし、各ビジネス部⾨が4つのバーチャルな壁の範囲内でそれぞれ作業できるようにしたと話していました。
サイバーセキュリティに対する障壁を取り除くには、まず同じトピックの概要の理解を深めることから始めるべきです。Asahi Beverages社は、定期的なサイバー関連のランチセッションを開催することで、ビジネス部⾨がサイバーセキュリティについて考えるきっかけになったと評価しています。Cartwright⽒は、必ずしもフィッシングのような⼤きなサイバー脅威に関するテーマである必要はなく、サイバーセキュリティの話題を誰もが⾝近に感じられるようにすることに重点を置いていると述べました。
Bupa社もまたその⼀例で、CISOはサイバー指標を報告指標に含めるようにすることで、ビジネス部門とのギャップを埋めようとしています。「全てのビジネスパフォーマンス委員会にサイバーセキュリティの指標を組み込み、サイバーパフォーマンスの観点による指標を経営に取り入れようと試みています。完璧ではありませんし、まだ道半ばですが、サイバーセキュリティをビジネス指標の⼀部にしようとしています」とBupa 社のグループCISOは⾔います。
CISOが取るべき⾏動:
第3章
サイバーセキュリティ部門がAIを使⽤することで⽣産性を向上させ、他部⾨のAI導⼊を⽀援するリソースを確保できます。
セキュアクリエイターは、経営層と協働して、組織全体でイノベーションと価値創造を推進するための戦略の構想を支えています。
AIの台頭は、サイバーセキュリティ部⾨が自組織の存在価値を全社に訴求する流れを作り出しています。サイバーセキュリティ部門がAIを活用することで、より高い付加価値につながる⽬標に集中する時間を確保し、他部⾨が⾃信を持ってAIから新たな価値を⽣み出すための⽀援ができるようになります。
CISOは、サイバーセキュリティ部門がAIツールを活⽤して、価値創造の可能性を最⼤限に引き出せるよう⽀援することで、社内で信頼されるパートナーとなる道が開けるでしょう。また、ビジネス部門が⾃信を持ってAIを活⽤できるようサポートすることで、サイバーセキュリティ部⾨に対する社内の認識を、対応を滞らせる存在から、加速度的なペースで確実な技術導⼊を可能にする推進役へと変えることができるでしょう。さらに、早い段階でサイバーセキュリティ対策が組み込まれたプロセスを構築することで、予算の問題や遅れを最⼩限に抑え、他部⾨が効率化を図ることができます。
AIの取り組みとサイバーセキュリティ対策を統合することは、サイバーセキュリティ部⾨が社内全体への影響⼒を拡⼤するチャンスです。先進的なサイバーセキュリティ部門は、買収活動からサプライチェーンのガバナンスに⾄るまで、より良い意思決定に役⽴つ助言をしています。あるCISOは、買収候補企業の評価プロセス全体に深く関与しています。世界のCEOがM&A投資に積極的だった2024年の実績を考えると、このようなCISOの経営判断への関与はますます重要性を増していると⾔えます8。先のCISOはまた、自社の情報保護の能⼒について開示し、保証することで、株主から信頼を得ています。同様に、ANZ銀⾏のAnanthapavan⽒が率いるサイバーセキュリティ部門は、ビジネスの意思決定に影響する戦略的な脅威インテリジェンス機能を担っています。
また別のCISOは、サイバーセキュリティ部門が顧客との信頼関係を築くことで、いかに売り上げと利益の増加に貢献できるかを強調しています。「サプライヤーが⼀定レベルの努⼒義務を果たしているかどうか確認するために、認証やアンケート調査に重点を置くようになった顧客が増えています。当社でも私たちが実態を証明することで、既存の顧客を満⾜させ、新しい市場を開拓することができるのです。私たちはこうしたビジネス上の成果を定量的に⽰せるはずです」
AIを使うことでサイバーセキュリティ部⾨は従来より迅速に意思決定や分析を⾏い、プロセスを合理化してコストを削減し、従業員を増員せずに済ませることができます。これは規制要件を満たすためだけでなく、新たな市場機会に迅速に対応するためにも重要です。
CISOが取るべき⾏動:
サイバーセキュリティにAIを導⼊することに熱⼼な⼤企業であっても、AIを実装してビジネス全体にサイバーセキュリティを導⼊することに関しては、まだ初期段階です。大きな成功をおさめるCISOは、狭義のセキュリティを超えて、AI時代に企業が実現するべきサイバーセキュリティの価値を分かりやすく説明し、ビジネス部⾨が安⼼してAIを導⼊できるよう⾃信を与えることができる⼈物です。
本記事の執筆にあたり、AnnMarie Pino, Associate Director, EY Insights, Ernst & Young LLP; Michael Wheelock, Associate Director, EY Insights, Ernst & Young LLP; Ryan Gavin, Supervising Associate, EY Insights の協力を得ました。
セキュアクリエイターは、サイバーセキュリティのためにAIを活用することでは先行しているものの、ビジネス部門全体でAIの活用を推進するにはまだ初期段階にあります。最も成功するCISOは、セキュリティの狭義を超えて、AI時代の企業におけるサイバーセキュリティの価値を明確に説明し、ビジネス部門が安心してAIを導入できるよう自信を与えることができる人物です。
関連記事
COOが直面する喫緊の課題:自律型サプライチェーン実現に向けて生成AIを活かす秘訣とは?
生成AIの登場により、自律型サプライチェーンの実現に拍車がかかっています。しかし、サプライチェーンの自律化に取り組んでいる企業の多くが、生成AIの導入で難しい課題に直面しています。その対応において、先行している先進企業の対応について紹介します。
企業は、山積するサイバーセキュリティの課題に直面しています。2023年EYグローバル・サイバーセキュリティ・リーダーシップ・インサイト調査の結果、セキュリティリーダーの取り組みの実態が明らかになりました。
テクノロジーコンサルティングでは、最高デジタル責任者(CDO)や最高情報責任者(CIO)など、企業で重要な役割を担うCxOにとって最も信頼のおけるパートナーであり続けることを目標に、CxO目線で中長期的な価値創出につながるコンサルティングサービスを提供します。
企業におけるサイバー攻撃の脅威はますます深刻になっています。セキュリティ対策の水準に対する社会的要請も高まっており、グローバル企業においては海外拠点を含めたセキュリティ態勢の向上が求められており、さらには、サプライチェーンにおいても対策が求められています。