AIの普及でエンドポイント保護だけでは不十分に……大久保隆夫 教授と考えるセキュリティの新たな潮流

巧みにAIを使う攻撃者、EDRを回避する攻撃も……

　AIをはじめとした先端テクノロジーの急速な進化は、企業の事業活動に多くの恩恵をもたらす一方、サイバー犯罪者や攻撃者に対し、新たな武器を与えることにもなってしまった。既に攻撃者は巧みにAIを使いこなしている。

　クラウドストライクの調査によれば、攻撃対象のシステムに初期侵入を果たしてからラテラルムーブメント（横展開）を行うまでに、かつては数時間から数日間を要していたところが、今や最短で“51秒間”にまで短縮されているという。

　加えて鈴木氏は、直近の攻撃者の傾向について次のように述べる。

　「クラウドストライクは元々、EDR製品のベンダーとして広く知られていました。そのEDRはここ数年で日本でも一気に導入が進みましたが、近年のサイバー攻撃は攻撃対象のエンドポイントにEDRが導入されていることを“前提”としており、その防御をかいくぐる手段を講じるようになってきています」（鈴木氏）

　たとえば、イニシャルアクセスブローカーから正規のID／パスワード情報を購入し、正規ユーザーになりすましてVPNにログインするなど、エンドポイントを監視しているだけでは防ぎきれない侵入・攻撃が多発しているようだ。

　サイバー攻撃の進化については研究者である大久保氏も大いに実感している様子で、自身の立場から次のように述べる。

　「生成AIの登場以降、サイバー攻撃の傾向と対策の変化スピードが劇的に速くなり、もはや生成AIが登場する以前のセオリーは通用しなくなってきています。新たな攻撃に対抗するために我々も様々な研究を行い、論文を執筆してはいるのですが、技術の進化があまりにも高速で、査読を待っている間に研究内容があっという間に陳腐化してしまうのです」（大久保氏）

　大久保氏はこうした変化を受け、従来のように論文誌に投稿するだけでなく、最近ではアーカイブで公開された査読前の論文を参照しながら、最新の研究成果を調べることが多くなってきたと話す。

　もちろん、攻撃側の行動変容に対抗するために、防御側でもAIを採用して守りを固めようとする動きが起こっている。しかし残念ながら、セキュリティインシデントの件数は一向に減る気配がない。その理由の1つとして、鈴木氏は経営陣のセキュリティ意識を挙げる。多くの企業の経営者が、いまだにサイバーセキュリティを「コスト」の側面でしか捉えられていないのだという。

　「インシデント発生時に迅速な対応をとるためには、やはり経営による素早い判断と意思決定が不可欠です。にもかかわらず、経営側がセキュリティ対策を現場に丸投げしているようでは、いざというときに適切な判断を行えません。結果としてサイバー攻撃のスピード感に付いていけず、いたずらに被害を拡大させてしまうことになります」（鈴木氏）

　大久保氏が教鞭をとる情報セキュリティ大学院大学でも、サイバーセキュリティ対策に必要な技術だけでなく、マネジメント論や組織論といった研究が行われている。研究活動を通じてこれまで積み上げられてきた知見を念頭に、大久保氏も経営層がセキュリティ対策にコミットすることの重要性を説く。

　「実際のインシデントを経験して、ようやく一気にセキュリティ対策のレベルを引き上げる企業は多いです。しかし、被害が発生した後でいくら対策を強化しても『遅すぎる』と言わざるを得ません」（大久保氏）

　近年、多くの企業が業務のデジタル化やクラウド活用を急速に進める中で、アタックサーフェスが拡大していることは明らかだ。今や、あらゆる企業がサイバー攻撃のターゲットになり得る。こうした状況を改善するために、IT部門やセキュリティチームが経営層に対策の重要性を説くことは重要だが、同氏は「個人的には、経営層が自らその重要性を認識することが何より大切だと考えている」と話す。