AIを用いたサイバー攻撃で浮き彫りになる「人の脆弱性」──攻撃者の“クリエイティビティ”に対抗する術

「人の脆弱性」を潰すために浸透させるべきマインド

　こういった“人の脆弱性”に有効なアプローチのひとつとして、「ゼロトラスト」のアプローチがあるという。しかし、ただ単にソリューションを導入するだけでは意味がない。従業員たちの“マインド”もゼロトラスト基準に変革していくような取り組みが必要だ。

　たとえば、先にあげた電話の例に関していえば、従業員の行動をセキュリティ担当者が制御できていなかったことはもちろん、「安易に信用してはいけない」という意識を従業員に持たせられていなかったことも問題であろう。今や、従来のファイアウォールのようなネットワークを保護する方法では、社内の安全は保たれないという意識をセキュリティ担当者も従業員も自覚しながら対策の手を打つべきだという。

　その際、AIが搭載されたソリューションを導入する企業も多いと予想されるが、「AIを企業に導入する際は、ガードレールを敷くことが重要だ」とティー氏。従業員がAIモデルにどの程度情報を渡してもよいのか、細かく制御し自社のデータを外部に漏洩させないための対策が必要不可欠だ。

　最後に、同氏は企業のセキュリティ担当者に向けて以下のようなメッセージを語った。

　「今後2年〜5年にかけて、過去20年間で直面したセキュリティ課題よりも多くの課題が出てくると思います。たとえば、RSAを解読してしまう量子コンピュータの出現などが既に話題に上がりはじめています。これは、企業にとっての最初の防衛線がはるかに脆弱化してしまうことを意味します。こういった事態に打ち勝つべく、ゼロトラストをはじめとした様々なセキュリティ対策を企業は新たに行う必要があるのです。変革の必要性を真摯に受け止めず、リスク対策を怠った企業はその業界で生き残っていくことが難しくなるでしょう」（ティー氏）