サイバーニュース.jp

世界のサイバーなニュースを配信

生成AI導入に潜むサイバーリスク

カテゴリ:

, , , , , , , , ,

生成AI導入の加速とセキュリティの遅れ

組織は、人工知能(AI)を業務に統合することが素晴らしいアイデアであり、絶対的な必要性であるとますます考えています。そして、それはその両方であり得ます。しかし、多くの組織はAIに伴うサイバーセキュリティリスクを理解しておらず、AI導入を保護するための準備ができていないことに気づいていません。内部の生産性向上であれ、顧客向けのイノベーションであれ、AI、特に生成AIはビジネスに革命をもたらす可能性があります。しかし、セキュリティが確保されていなければ、AIの導入は利益よりも多くの問題を引き起こす可能性があります。適切な保護策がなければ、AIは防御を強化するどころか、サイバー犯罪者に道を開く脆弱性を導入する可能性があります。

AI導入がセキュリティ準備を上回る現状

AIへの意欲は否定できません。EYによると、テクノロジーリーダーの92%が2025年にAI支出を増やすと予想しており、これは2024年から10%の増加です。特にエージェントAIは変革をもたらすフロンティアとして浮上しており、テクノロジーリーダーの69%が競争力を維持するために必要だと述べています。

残念ながら、組織はセキュリティについて十分に考えていません。世界経済フォーラム(WEF)の報告によると、組織の66%がAIが今後12ヶ月でサイバーセキュリティに大きな影響を与えると信じていますが、展開前にAIセキュリティを評価するプロセスを導入しているのはわずか37%に過ぎません。中小企業はさらに脆弱で、トレーニングデータの監視やAI資産のインベントリなど、安全なAI展開のための保護策が69%で不足しています。アクセンチュアも同様のギャップを指摘しており、組織の77%が基本的なデータおよびAIセキュリティプラクティスを欠いており、生成AIモデルを保護する能力に自信を持っているのはわずか20%です。実際には、ほとんどの企業は、システムとデータが本当に保護されているという保証がほとんどないままAIを受け入れています。

不安全なAI導入がもたらす危険性

セキュリティなしでAIを展開することは、主要なコンプライアンスリスクとなる可能性があります。それに加えて、それはサイバー攻撃者を積極的に力づけることになります。サイバー攻撃者は、生成AIをいくつかの方法で悪用できます。

  • AI駆動型フィッシングと詐欺: WEFは、組織の47%がAI対応のサイバー攻撃を最大の懸念事項と見なしていると指摘しています。そして、それには十分な理由があります。昨年、組織の42%がソーシャルエンジニアリング攻撃を経験しました。
  • モデル操作: アクセンチュアは、Morris IIのようなAIワームが、悪意のあるプロンプトをモデルに埋め込み、AIアシスタントを乗っ取ってデータを流出させたり、スパムを拡散させたりする方法を強調しています。
  • ディープフェイクによる詐欺: 犯罪者は、AIが生成した音声、画像、動画を悪用して詐欺を働くことが増えています。ある攻撃では、イタリアの国防大臣になりすまし、説得力のある音声ディープフェイクで著名なビジネス関係者を騙し、海外に送金させました。AIは攻撃者にとって参入障壁を下げ、詐欺をより速く、安価に、そして検出を困難にしています。

AIにセキュリティを最初から組み込む

組織がAIのメリットを安全に享受したいのであれば、セキュリティファーストの考え方を採用する必要があります。インシデント後に防御を後付けしたり、複数の異なるツールを寄せ集めたりするのではなく、企業は最初からネイティブに統合されたサイバーセキュリティソリューションを求めるべきです。一元的なコンソールから簡単に管理でき、手動での統合なしに連携するソリューションを使用することで、組織は以下のことが可能になります。

  • AI開発パイプラインにセキュリティを組み込む: 安全なコーディング、データ暗号化、敵対的テストは、すべての段階で標準となるべきです。
  • モデルを継続的に監視および検証する: 組織は、操作、データポイズニング、その他の新たなリスクについてAIシステムをテストする必要があります。
  • サイバーレジリエンス戦略を統一する: セキュリティはサイロ化されてはなりません。防御は、エンドポイント、ネットワーク、クラウド環境、AIワークロード全体にネイティブに統合されるべきです。この戦略は複雑さを軽減し、攻撃者が脆弱なリンクを悪用できないようにします。

WEFとアクセンチュアはともに、AI時代に最も準備ができている組織は、統合された戦略と強力なサイバーセキュリティ能力を持つ組織であると強調しています。アクセンチュアの調査によると、企業のうち「再発明準備ゾーン」に到達しているのはわずか10%であり、これは成熟したサイバー戦略と統合された監視、検出、対応能力を兼ね備えています。このカテゴリーの企業は、準備が不十分な組織と比較して、AIを活用したサイバー攻撃を経験する可能性が69%低いとされています。

MSPと企業の役割

マネージドサービスプロバイダー(MSP)にとって、AIの波は課題と機会の両方をもたらします。クライアントはAIを活用したツールをますます要求するでしょうが、それらを安全に保つためにMSPに依存するでしょう。Acronis Cyberthreats Report H1 2025によると、サイバー攻撃者はMSPに対するAI対応攻撃を強化しています。2025年上半期のMSPに対する全攻撃の半分以上はフィッシング攻撃であり、その多くはAI機能によって推進されています。したがって、MSPはクラウド、エンドポイント、AI環境にわたる統合された保護を提供し、自身とクライアントを保護できることを保証する必要があります。

企業にとって、進むべき道は野心と注意のバランスを取ることです。AIは効率性、創造性、競争力を高めることができますが、それは責任を持って展開された場合に限られます。組織はAIセキュリティを役員レベルの優先事項とし、明確なガバナンスフレームワークを確立し、サイバーセキュリティチームが新たなAI駆動型脅威に対処できるよう訓練されていることを確認する必要があります。

AI導入の未来はセキュリティと密接に結びついている

生成AIは今後も存在し続け、ビジネス運営にさらに深く組み込まれていくでしょう。しかし、これらのシステムを保護せずに急いで進むことは、砂の上に超高層ビルを建てるようなものです。基盤が構造を支えるにはあまりにも脆弱です。統合されたプロアクティブなセキュリティ対策とソリューションを採用することで、組織はランサムウェア、詐欺、その他の進化する脅威への露出を増やすことなく、AIの可能性を最大限に活用できます。

元記事: Acronis

投稿をさらに読み込む