サイバーニュース.jp

世界のサイバーなニュースを配信

AIを悪用したサイバー脅威にCIOがいかに備えるか

カテゴリ:

AIによるサイバー脅威の台頭

経営幹部は、AIがサイバー脅威に利用されることの増加を注意深く追跡しており、それに対応して基本的な準備戦術を強化し、サイバーセキュリティへの支出を増やしています。

本記事は2026年1月8日にJen A. Miller氏によって寄稿されました。

AIはあらゆる種類のビジネスにおいて、イノベーションと効率性を飛躍的に向上させると約束されていますが、同時にサイバー脅威の新たな時代をもたらしています。Trellixの調査によると、CISOの約9割がAI主導型攻撃が組織にとって大きなリスクであると認識しています。この傾向はセキュリティ問題である一方で、CIOの関心事でもあります。Forresterの主席アナリストであるAllie Mellen氏は、「AI攻撃を考える上で、CIOは非常に重要な役割を担っています」と述べています。「セキュリティが推奨する変更の多くは、私たちが持つインフラを改善し防御するために行われます。」リスクが高まる中、様々な分野のCIOは、AI主導型攻撃の時代に企業が重要なデータを安全に保つのを助ける準備を進めています。

セクターごとのリスク増大:特に医療分野

医療システムは、患者の個人情報の宝庫であるため、ハッカーにとって格好の標的です。HIPAA Journalによると、2009年から2024年の間に、500件以上の記録が流出したデータ侵害が6,000件以上保健福祉省の公民権局に報告されました。2024年だけで2億7500万人もの個人の健康情報が露出または盗難に遭っています。

UC San Diego HealthのCIOであるJosh Glandorf氏は、「サイバーは私たちにとって大きな問題であり、AIはその火にガソリンを注ぐようなものです」と述べています。結果として、同組織はサイバーセキュリティソフトウェアと全体のサイバーセキュリティポートフォリオへの支出を増やしています。これには、CrowdStrike Falconを含む、侵入試行を検出して阻止するためにAI技術を活用するベンダーへの支出も含まれます。彼は、「これは私たちにとって計り知れないレベルアップでした」と語っています。

予算をどこに使うかを決めることは、CISOと協力して組織が必要とするもの、「安全を確保するために何が必要か」を知り、セキュリティの観点から理想的なものと医療システムにとって現実的なもののバランスを取ることを意味するとGlandorf氏は言います。「サイバーセキュリティにIT予算全体を使えば、世界で最も安全な病院になれるかもしれませんが、他のイノベーションに使うお金はゼロになり、ユーザーはおそらく私を嫌うでしょう。なぜなら、あまりにも厳重にロックダウンされていて何もできないからです。」

Mellen氏によると、理想的には、CIO、CISO、CTOが「全員がアドバイザーとして機能し」、取締役会と会社の残りのメンバーの両方に「攻撃がどのように見えるかについて最新情報を提供する」べきです。この取り組みには、AI主導型攻撃に関して何が可能で何が起こりうるかの違いを会社が理解するのを助けることも含まれます。「現在の状況と、彼らが見るであろうマーケティングメッセージとの違いを教育することに尽きます。」

AIに加速されるフィッシングへの対抗策

AIを悪用した攻撃は比較的新しい傾向かもしれませんが、多くの場合、よく知られた脅威ベクトルを標的としています。Eye Securityによると、2024年に報告されたサイバーインシデント全体の73%がビジネスメール詐欺(BEC)攻撃であり、これは2023年から44%増加しています。別の調査では、VIPRE Security Groupが18億通のメールを分析した結果、そのグループのビジネスメール詐欺攻撃メールの40%がAIによって生成されたものであることが判明しました。

Campus Apartmentsの執行副社長兼CIOであるAndrew Marshall氏は、同組織がAIを活用した脅威に圧倒されているわけではないが、それらがより多く見られるようになっていると述べています。「私たちが目にする脅威の約90%はまだ本当に愚かですが、10%はより洗練され、見つけにくくなっています」と彼は述べ、この問題が来年には悪化すると予測しています。

このため、サイバーセキュリティトレーニングの重要性がさらに高まっています。「それは企業がサイバー脅威に対して持つ最善の防御策です」と彼は言います。「どんなに多くの技術システムがあっても、誰かが電柱のQRコードをスキャンして感染すれば、ゲームオーバーです。」過去3年間、Campus Apartmentsは毎月トレーニングを実施し、従業員が「何かおかしい」と感じるパターンを特定し報告するのを助けてきました。このトレーニングへの準拠に従業員の年間ボーナスを連動させているほど、これは重要です。

ゼロトラスト、トレーニング、多要素認証、強力なパスワードといった基本的なことに焦点を当てることは、初歩的に見えるかもしれませんが、Mellen氏によると、それらが機能するため、CIOがこれを会社のセキュリティスタンスとして推進し続けることが依然として重要です。「中核的なサイバー準備実践は、最終的に、所有する資産を最も効果的に管理し、脆弱性を減らす方法の要因となります」と彼女は述べています。「何度も何度も、基本をしっかりやることがいかに信じられないほど難しいか、という点に戻ってきます。」

元記事: https://www.cybersecuritydive.com/news/how-cios-can-brace-for-ai-fueled-cyberthreats/809093/

投稿をさらに読み込む