第11回 AIとサイバーセキュリティ ブックマークが追加されました
本連載では、AIのビジネス導入に欠かせない、AIのリスク対策「AIガバナンス」に係る多岐にわたるトピックについて詳しく紹介していきます。第11回の本記事では「AIとサイバーセキュリティ」について解説します。
AIによって作成されたマルウェアやフィッシングメール、AIを利用した組織のITインフラの監視、サイバー攻撃により妨害されたAIへのログイン等、今日AIとサイバーセキュリティには日常的に話題になるほど様々な関わり合いが見られています。本稿では、そうしたAIとサイバーセキュリティの関わり合いを、①AIを悪用した攻撃(Attack using AI)、②AIを利用した防御(AI for Security)、③AI自体を対象にした攻撃(Security for AI)に分解して、それぞれのトレンドについてお話します。
利用者に多くの便益をもたらすAIは、残念ながら、サイバー攻撃の攻撃者のスキルを拡張することにも役立ってしまいます。最近ではサイバー犯罪に特化した生成AIまで開発されていて、一定のスキルを持った者は、より高度な攻撃を行えるようになり、また逆にあまりスキルを持たない者でも容易に攻撃を行えるような環境が整ってしまっています。
冒頭で触れたフィッシングメールやマルウェアの作成以外にも、AIは偽画像・偽音声を作成することに悪用でき、そのようにして得られた偽画像・偽音声が本人のなりすましに用いられて、海外では詐欺や本人認証の不正な突破といったインシデントが起こっています。その他、パスワードを効率的に見破る、システムの脆弱性や不具合を調査する、攻撃を自動化する、といったAIの使われ方も知られています。その一方で、こうした既存の脅威の発生件数が増え、攻撃の手口がより巧妙になることはあるものの、脅威の新規性という点では、これまで想定されなかったような新たな脅威は今のところあまり見られていないかもしれません。
AIは企業側において防御に利用することもできます。デロイトが昨年実施した”Global Future of Cyber Survey“(※1)の調査結果では、約40%の企業が、なんらかの形でAI機能を自社のサイバーセキュリティの取り組みに「大いに活用している」と回答しており、防御におけるAIの活用の広まりが見られます。
また、上のグラフで記載されたAI機能以外にも、例えば、ユーザーの操作状況にもとづいて認証の方法を調整するリスクベース認証、最新のセキュリティ上の考慮点を踏まえたセキュア開発やセキュリティポリシーの自動評価、機密データや個人データの検出等にAIは利用可能と考えられています。前述のように、攻撃者側がAIを悪用する中、防御する側もAIを用いてより適切にセキュリティ対策を講じていくことが可能になってきています。
前述の「AIを悪用した攻撃」は、企業におけるITシステム全般にかかわる脅威を挙げたものですが、ここでは「AI自体を対象にした攻撃」について紹介します。AIへの攻撃には、例えば次のようなものがあることが知られています。
このようなAIへの攻撃は、AIの開発者、提供者、利用者において発生しうるもので、AIにかかわる企業は既存のシステムに関するセキュリティ対策以外に、AIへのセキュリティ面での対応を進めることが求められています。
AIは企業側だけでなく攻撃者にも多くの便益を与えてしまいます。AIが悪用されることで、セキュリティにかかわるリスクの発生可能性がより高まる中、企業側ではこれまでのセキュリティ対策の取り組みを見直す動きが見られます。そのような見直しの中で、テクノロジーの進展を踏まえながら、企業側もAIの利用をより積極的に検討し、セキュリティガバナンスをアップデートすることが重要と考えられます。
以上、本連載第11回では、AIとサイバーセキュリティと題して、AIを悪用した攻撃、AIを利用した防御、AI自体を対象にした攻撃について紹介しました。次回をもって本連載「AIガバナンスの最前線」は最終回となります。最終回では、日本におけるAIガバナンスの取り組みについて有識者との鼎談を掲載する予定です。
デロイト トーマツではAIガバナンスに関して様々な知見を発信しております。AIガバナンスの策定・実行を支援するサービスも提供しておりますので、下記のページよりお気軽にお問い合わせください。
大場 敏行
デロイト トーマツ サイバー合同会社 マネージングディレクター
参考
※1 “2024年 Global Future of Cyber Survey” デロイト トーマツ サイバー合同会社
https://www2.deloitte.com/jp/ja/pages/risk/articles/cr/future-of-cyber-survey.html
サイバーセキュリティ、プライバシー・個人情報保護に関するリスクコンサルティングに10年以上従事している。特に最近では、個人情報保護法、マイナンバー、GDPR、CCPA等を踏まえたデータ保護関連のアドバイザリー業務をさまざまな業界・業種に提供している。 主な資格: 情報セキュリティスペシャリスト(SC) 公認情報システム監査人(CISA) 主な著書: 「自治体のための特定個人情報保護評価 実践ガイドライン」(ぎょうせい 2015年)[共著]
25年以上に渡り、統計分析や機械学習、AI導入等の多数のデータ活用業務に従事。 同時に数理モデル構築やディシジョンマネジメント領域でのソフトウエア開発、新規事業やAnalytics組織の立上げなどの経験を通じて数多くの顧客企業のビジネスを改善。 リスク管理、AML/CFT、不正検知、与信管理、債権回収、内部統制・内部監査、マーケティングなどの幅広い分野でAnalyticsプロジェクトをリードしている。