NECは7月16日、サイバーセキュリティ勉強会を開催した。高性能AIの普及により、ランサムウェアなどの攻撃は「機械の速度」で実行され、防御側に残された時間は急速に短くなっているという。NEC Corporate Executive CISO兼NECセキュリティ取締役の淵上真一氏は、AI時代に企業が見直すべき資産管理や意思決定体制、4つの基本方針について解説した。

AIがサイバー攻撃の"常識"を変える

淵上氏は、AIを使うこと自体ではなく、AI活用が当たり前となった段階を「Post-AI時代」と位置付けた。現在、AIが電気やインターネットと同様に、企業活動の基盤となる社会インフラへ移行したという。

  • Post-AI時代の到来

    Post-AI時代の到来

「生成AIが登場した当初は『AIで何ができるかを試す段階』でしたが、現在はAIの利用を前提に『どのような価値を生み出すか』が問われています。企業の競争力は、AIを安全かつ迅速に業務へ統合できるかどうかに左右されると言っても過言ではありません」(淵上氏)

AIの活用が企業の競争力を高める一方で、フロンティアAIと呼ばれる高性能なAIモデルの登場により、サイバー脅威は大きく変化しつつある。同氏は今回、こうしたフロンティアAIを「高性能AI」と表現し、説明を進めた。

特に懸念されるのは、攻撃者側もAIを活用できるようになった点で、その存在が攻撃者にとって「Threat Multiplier(脅威の増幅器)」になっていると説明した。AIを使えば「スクリプト生成」「攻撃手順のテンプレート化」「マルウェアの展開」「ネットワーク内の横展開」「セキュリティ機能の無効化」といった作業を自動化できる。そのため、高度な技術や多数の人員を持たない攻撃者でも、低コストで大規模な攻撃を実行できるようになった。

  • フロンティアAI時代のサイバー脅威動向

    フロンティアAI時代のサイバー脅威動向

特に大きな影響を受けているのが「実行速度」だ。

「ランサムウェア自体は以前から存在する脅威ですが、従来は人間が手動で操作していた工程がAIで自動化されたことで、攻撃速度が『機械の速度』まで高まり、防御側に残された対応時間が短くなっています」(淵上氏)

AIによって攻撃工程の自動化が進んだ結果、脆弱性が判明してからパッチを適用するまでに許される時間は、数週間から数カ月ではなく、数時間から数日へと短縮する可能性があるという。

  • 攻撃側の進化:ランサムウェアの自動化

    攻撃側の進化:ランサムウェアの自動化

AIを使う攻撃者を前提に防御を再設計する

淵上氏は「攻撃がAIによって実行されたかを個別に識別することは難しい」としながらも、人間では困難な速度で攻撃プロセスが進む事例や、人間が考えにくい攻撃パターンが観測されている現状を説明した。

その現状を踏まえて「攻撃側がAIを利用していることを前提として、防御側も対応を設計する必要がある」と強調した。

従来の対策は、人手による「資産確認」「脆弱性診断」「SOCでの検知」「チケットを使った対応」が中心となっていた。だが、高性能AI時代においては「AIによる継続的なスキャン」「脆弱性の優先順位付け」「自動分析」「封じ込め支援」といった対応が必要になってくるという。

「守る対象も拡張しており、物理サーバ・ネットワーク機器・端末・データベースに加えて、AIモデルの学習データ・プロンプト・システム指示・推論時のメモリ・AIエージェントの意思決定プロセスも保護対象となります」(淵上氏)

  • 高性能AI時代の対策について語る淵上氏

    高性能AI時代の対策について語る淵上氏

同氏によると、AIエージェントが機密データへのアクセス権やシステム操作権限を持つ場合、悪意のあるプロンプト一つで情報漏洩や不正操作が行われる可能性があるため、入力フィルタ、出力検証、判断過程の監査が必要になってくるという。

企業が直面する4つのセキュリティ課題

淵上氏は、顕在化するサイバーセキュリティの課題として「資産の把握・管理不足」「脆弱性修正のリソース不足」「従来型防御の有効性低下」「意思決定の遅延」の4点を挙げた。

  • 高性能AI時代の対策について語る淵上氏

    高性能AI時代の対策について語る淵上氏

これらを解決するため、外部公開システム・クラウド・SaaS・API・オープンソースソフトウェアなど、攻撃の起点になり得る資産を把握し、サプライチェーンを含めて管理する必要がある。

特にOSSは複数の製品やシステムへ部品として組み込まれるため、どのシステムでどのモジュールを使用しているかまで、細かい粒度で管理しなければならないという。

また、大量の脆弱性が継続的に発見される環境では、全てを同じ速度で修正することは困難である。そのため、脆弱性の深刻度だけでなく「実際に攻撃へ使われているか」「攻撃ツールが公開されているか」「対象資産が事業へ与える影響は大きいか」など、複数の情報を基に優先順位を付けることが重要になってくる。

「緊急度の高い脆弱性が見つかった場合には、サービスを一時停止して修正する判断も必要です。攻撃によって予期せず停止する『コントロールできないダウンタイム』を避けるためには、事業側とセキュリティ部門が連携し、誰がどの基準でサービス停止を判断するかを事前に決めておく必要があります」(淵上氏)

同氏は「策をいかに“速く・継続的に・経営主導で"実施できるかが重要」として上で、対策の基本方針として、「経営層のリーダーシップ」「攻撃者より先にリスクを把握すること」「侵入後に素早く停止できること」「重大なリスクへリソースを集中させること」という4点を示した。

  • 4つの基本方針

    4つの基本方針

従来の基本的なセキュリティ対策は引き続き有効とのことだが、これからの高性能AI時代においては、対策をより速く、大規模かつ継続的に実施する必要がある。

高性能AI時代には、AIによる自動実行と人間による承認・統制を組み合わせながら、経営主導で迅速かつ継続的に対策を実施する体制が、これまで以上に重要になりそうだ。