概要

EYの最新データによると、半数の組織がAIシステムのセキュリティ脆弱性によって「悪影響を受けている」ことが明らかになりました。さらに、CEOのわずか14%しか、自社のAIシステムが機密データを適切に保護しているとは考えていません。組織が平均47ものセキュリティツールを使用しているにもかかわらず、AIがもたらす新たなリスクは、ネットワークのセキュリティ確保をより困難にしています。

AIがもたらす新たな脅威

EYの報告書は、AIが攻撃の状況と企業環境への統合において果たす役割について、様々な洞察をまとめています。コンサルティング会社は、AIを活用した自動化がハッカーによる潜在的にコストのかかる侵入を容易にしていると警告しています。

• サイバー犯罪の敷居の低下: EYのサイバーセキュリティリーダーであるリック・ヘムズリー氏は、「AIは、サイバー犯罪者が高度な攻撃を実行するために必要な敷居を下げています」と述べています。かつて時間と経験を要したサイバー攻撃スキルは、より多くのサイバー犯罪者にとって、無料で、より容易に利用できるようになっています。
• ソーシャルエンジニアリングの進化: AIはソーシャルエンジニアリングに多大な恩恵をもたらしました。CrowdStrikeのデータによると、2024年下半期には音声フィッシング（ビッシング）攻撃が442%も急増しました。
• ブレイクアウトタイムの短縮: サイバー犯罪者のブレイクアウトタイム（初期アクセスを獲得してから横方向への移動を開始するまでの時間）は、2023年の約1時間から2024年には48分に短縮され、ReliaQuestの調査では2025年半ばにはわずか18分にまで落ち込んでいます。EYは、これらの数字は防御側にとって警鐘を鳴らすものであると指摘しています。

組織への提言

AIモデルが企業のネットワークに新たなリスクをもたらす中、EYは組織が従業員を訓練し、コストのかかる間違いを避けることに注力すべきだと提言しています。同社の調査では、68%の組織が従業員に高レベルの承認なしにAIエージェントの開発または展開を許可しており、その作業に関するガイダンスを発行している組織はわずか60%でした。

企業はまた、データの整合性を保護するための措置を講じるべきだとEYは述べています。これには、AIモデルが機密情報を漏洩したり、個人識別情報（PII）で誤ってモデルを訓練したりするリスクが含まれます。

EYの報告書におけるその他の推奨事項は以下の通りです。

• AIツールのサプライチェーンにおける整合性の維持。
• AI開発プロセスのあらゆる段階でセキュリティの考慮事項を組み込むこと。
• AIツールの潜在的な悪用をより迅速に特定し、ブロックするために脅威検出プログラムを再設計すること。

CISOは、セキュリティ投資を「明確な価値を生み出す領域」に集中させるべきだとEYは結論付けています。

元記事: https://www.cybersecuritydive.com/news/artificial-intelligence-security-risks-ey-report/803490/