AIは、さまざまな意味でディスラプティブ(破壊的な)なテクノロジーです。Bugcrowd(バグクラウド)が世界の209人のCISOとセキュリティ・リーダーを対象に実施とした調査レポート「Inside the Mind of a CISO 2024(“CISOの心の中”2024年版)」によると、セキュリティの専門家達の間で、AIが彼らの組織と彼らの役割にとって何を意味するのかについてコンセンサスを得るのが困難なようです。

さまざまな見解があり、時には矛盾することもありますが、この調査レポートによると、AIが変化をもたらす強力な力であることに疑いの余地はありません。しかし、全体的な変化が吉と出るか凶と出るかは、それほどはっきりしていません。CISOにあるいは誰に来ても、恐らくこの問いへの明確な答えを期待するのは時期尚早と言えるでしょう。

調査レポートでは、セキュリティ担当者の燃え尽き症候群のレベルが非常に高いことが指摘されており、CISOの2/3が、セキュリティ担当者は他の職務よりも高い割合で燃え尽き症候群に陥っていると考えています。また、CISOの半数以上がチームは人員不足であると回答し、87%が新たなスタッフの採用活動を行っています。

一方で、少なくともスキルの低い職務の一部を自動化する上で、AIがプラスに働くという確信が高まっています。回答者の1/4近く(23%)が、AIツールによって人員削減や再利用がすでに可能になったと回答しており、71%は今後3~5年の間に人員削減が行われると見込んでいます。

ガートナーはこの傾向を支持しています。同社は、2028年までにAIがスキル・ギャップを解消すると公言しています。しかし、ここが重要な点なのですが、ガートナーの予測は「エントリーレベルのスキル」に言及している点です。このことは、セキュリティ人材全体について大きな疑問を投げかけています。AIを活用した脅威の次の波に対処するためには、どのようなスキルが必要になるのでしょうか? AIツールはそれらの脅威も軽減するのでしょうか? それとも、将来的にハードルが上がるだけなのでしょうか?

このような疑問を放置しておくわけではないですが、答えは「まだわからない」、「完全ではない」、「ある」といった所が妥当だと思われます。AIがスキル・ギャップを解消してくれると考えれば心強いが、AIがスキル・ギャップに変化をもたらすという予測の方がより正確でしょう。あらゆる種類の組織にとって言えることは、効果的な防衛を行うための適切な人材を見つけることは当面困難であるということです。

CISOは、組織が直面する脅威について現実的な見方をしています。最優先事項を尋ねたところ、「侵害を常に回避する」という目標を掲げていたのはわずか18%でした。ほとんどの回答は楽観的というより現実的で、「ビジネス目標に対するリスクのバランス」が17%、「レジリエンスの構築」が20%でした。言い換えれば、CISOの中には、自分達がすぐに終わる戦争に参加していると考えている者はほとんどいないということです。大半のCISOは、長い戦いに身を置いているのです。

CISOの31%が「セキュリティ・ブランドの構築」を最優先課題としており、効果的なサイバーセキュリティが競争優位性の主要要因となっていることを反映しています。これは、「十分な対策を講じる」というコンプライアンス文化から、「それ以上の対策を講じる」と見なされることが事業存続の重要な尺度であり、事業実現の推進力であると見なされるビジネス環境へと意識が変化していることを反映した重要な結果です。

しかし、調査に参加したCISOの中で、現在の組織が十分な対策を行っていると考えている者はほとんどいません。大半の組織は、侵入されるリスクを十分に理解しておらず、その結果、防御が十分ではないと考えられます。

また、組織が行う意思決定の多くは、ビジネス上の利益とセキュリティリスクのトレードオフになることを理解していますが、CISOは、短期的な節約のために顧客の長期的なプライバシーやセキュリティを損なうようなリスクを取り始める者が出てくることを深刻に懸念しています。

AIに関しては、現在CISOの間でその利用について意見が分かれていますが、これは深い信念というよりはタイミングの問題です。

ほぼ10人に8人(78%)がすでにセキュリティチームでAIを使用しており、残りの3%のみが使用しないと回答しています。特定のサイバープロセスにおいて、AIは一部のセキュリティ専門家を凌駕するかの問いに対して、44%は「はい」と回答していますが、残りのほとんど(47%)は、技術が向上すれば、いずれAIがチームメンバーに取って代わるだろうと考えています。これは倫理的ハッカーが共有する見解ではないのですが、AIの採用は増えるだろうが、人間の創造力に取って代わることはないと考えているのです。

先述の通り、AIが特定の種類の業務における低レベルのセキュリティの役割に取って代わることは間違いないです。さらに上のスキル階層で何が起こるかはまだはっきりしていません。

雇用の観点からAIの利点があっても、AIの長期的な可能性についてはまだ結論が出ていません。CISOの58%は、AIのリスクはメリットを上回ると主張しています。また、CISOの95%は、クラウドソーシングやペネトレーションテストなど、AIを活用した防御策をすでに実施しています。

ある意味、この議論は学術的と言えますが、AIの急速な普及は止まらず、好むと好まざるとにかかわらず、ほとんどのCISOはAIから避けて通れなくなっています。

本記事はBugcrowdが「Cybersecurity Asia」に寄稿した記事「CISOs Can’t Agree Where the AI Express Is Headed But They’re All Onboard」を翻訳・改編したものとなります

Nicholas McKenzie

Nicholas McKenzie

にこらす・まっけんじー

BugcrowdのCIO(最高情報責任者) 兼 CSO(最高セキュリティ責任者)。情報セキュリティとITリスク管理の分野で25年以上の経験を持ち、Bugcrowdのテクノロジー業務と情報セキュリティプロセスのあらゆる側面を監督している。同社入社以前は、オーストラリアの4大金融機関であるナショナルオーストラリア銀行(NAB)にエグゼクティブ ゼネラル マネージャー兼最高セキュリティ担当者として勤務。サイバーセキュリティ、物理セキュリティ、調査、不正行為防止機能など、顧客と従業員を保護し、顧客と従業員を保護し、ビジネスの成長をサポートし、銀行の業務のレジリエンスを高めるためのエンタープライズ セキュリティ ポートフォリオの監督を担当していた。また、NAB勤務以前は、Standard Chartered Bank、JP MorganおよびUSBでITリスクとサイバーセキュリティのリーダーを務めていた。現在、Google、Amazon Web Services、Digital Shadowsのアドバイザリーボードのメンバーも務めている。

この著者の記事一覧はこちら