TokyoBlackHatNews

infosecurity-magazine.com 4分で読了

Infosecurity Europe:バイエル、AI脅威に対抗するためセキュリティ意識向上トレーニングを刷新

バイエルは製薬業界においてヨーロッパをリードするエージェント型AI展開組織を目指しており、AIが同社のセキュリティ戦略を大きく塗り替えつつあります。

Infosecurity Europe 2026において、バイエルのCISOであるKevin Jonesは、AIを用いた脅威への備えとして従業員教育の方針を根本から見直したと参加者に語りました。チェックリスト形式の技術的ガイダンスから脱却し、心理学を重視したセキュリティ意識教育へと転換したといいます。

「意識向上トレーニングから技術的な内容はすべて排除しました」とJonesは語りました。攻撃者が「5つの言語でリアルタイムにスペルミスのない文章を書き、すべてをAIで大規模に生成できるようになった今」、スペルミスの確認や不審なURLの検出、奇妙な添付ファイルへの注意といった従来のアドバイスはもはや通用しないと説明しました。

Jonesは、人的要素の再定義が必要だと主張しています。従業員には心理的な操作を見抜く力を身につけさせ、相手が不当なプレッシャーをかけていないか、あるいは権威ある人物を装っていないかを見極め、決められたプロセスを逸脱する前に「立ち止まり、一呼吸置いて考える」よう教育すべきだとしています。

Jonesはこのトレーニングが必須かつ行動変容に焦点を当てたものだと説明しました。「昨年末、欧州・中東・アフリカ地域のCFOが、グローバルCFOを名乗る人物から非常にそれらしい電話を受け、週末中に送金するよう求められました」と語りました。

新しいガイダンスに従った従業員たちが「全員が報告した」おかげで、被害はゼロだったと述べました。

このエピソードは、攻撃者の心理を軸にセキュリティ意識を再構築することで、ますますリアルになるソーシャルエンジニアリングに対して従業員を効果的な最前線の防衛力に変えられることを証明したと、Jonesは語りました。

トレーニング修了とAIアクセスの連動

Jonesはさらに、バイエルの従業員がAIを活用するためのコンピテンシーが、アクセス管理と連動するようになったと説明しました。OpenAIのChatGPTなどの商用生成AIプラットフォームに対抗してバイエルが独自開発した社内AIプラットフォーム「myGenAssist」へのアクセスや、プラットフォーム内でエージェントを構築するための追加アクセスには、ロールベースの小規模トレーニングモジュールの修了が前提条件となっています。

実際には、エージェント型ワークフローの開発・実行を行える人員を制御する段階的なアクセスモデルを、同ライフサイエンス企業は構築しています。

Jonesは、このシステムが従業員のトレーニング修了を促すとともに、セキュリティチームが「データを追跡」できるようにすると語りました。

SOCにおける「ループ上の人間」アプローチへの移行

このAIを活用したアプローチは、バイエルのセキュリティオペレーションにも適用されています。JonesはSOC(セキュリティオペレーションセンター)のアナリストが、手動によるトリアージから監督型の自動化へと進化することを期待していると語りました。

「アナリストがエージェントと同じ速度で作業することは難しいと想定しています」とJonesは述べました。

エージェントを活用したプロセスが拡大するにつれ、SOCチームは「2〜3年以内に、ループ内の人間からループ上の人間へ」移行すると見込んでいます。また、この変化を支えるための新しいオペレーションプレイブックとトレーニングの重要性も強調しました。

「アナリストはもはやAIのコパイロットやアシスタントを活用するだけでなく、AIエージェント自体を使いこなし、管理することを考え始める必要があります」とJonesは語りました。

「SOCをセキュリティオペレーションセンターではなく、サイバーレジリエンスセンターとして捉えることをお勧めします。将来的には、環境内の事柄を制御された方法で変更し、レジリエンスを維持できる能力が求められるためです」と付け加えました。

第三者契約へのAI利用条項の追加

Jonesは、従業員への要件と並行して、第三者に対する義務も厳格化していることを明らかにしました。サプライヤーもmyGenAssistへの段階的なアクセスを得る前にAIトレーニングを修了することが求められます。

さらに、バイエルはAIの活用・展開に関するすべての戦略的な意思決定を定義する社内のAIガバナンス評議会を設立しました。バイエルのAIエコシステムに統合されるサプライヤーは、この基準を満たすことが期待されています。

調達契約にもAI固有のセキュリティ附則が追加され、サプライヤーはバイエルのデータの使用方法、使用するAIツール、そしてインシデントの報告を義務付けられています。この契約変更は現在主要パートナーへの展開が始まっており、今後18ヶ月以内にサプライヤー全体へと適用される予定です。

「サプライヤーは自社データの使用方法を当社に通知する義務があります」とJonesは述べ、透明性と契約上の管理は交渉の余地がないと強調しました。

画像クレジット:brunocoelho / Taljat David / Shutterstock.com

翻訳元: https://www.infosecurity-magazine.com/news/bayer-reinvents-security-awareness/

ソース: infosecurity-magazine.com
#AIガバナンス #AI脅威 #Infosecurity Europe #SOC #エージェント型AI #サプライチェーンセキュリティ #セキュリティ意識向上トレーニング #ソーシャルエンジニアリング #バイエル #生成AI

関連記事

Infosecurity Europe:NCSCが警告、不確実性が続く今こそレジリエンス強化に向けた即時行動を

Infosecurity Europe:AIを活用しないサイバーセキュリティチームは「失敗する運命にある」

脅威アクター、AIを活用してEDR回避ツールを開発