自律型AIシステムがエンタープライズセキュリティを再構築する中、ビジネスリーダーたちがより強固な防御への投資にようやく前向きになりつつある今、リスクは前例のない規模で拡大しています。
約20年にわたり、サイバーセキュリティリーダーたちは同じ現実に直面してきました。どれほど壊滅的な侵害や、ランサムウェア攻撃、国家主体による侵入が発生しても、セキュリティ予算は他のビジネス優先事項との競争に苦しみ続けてきたのです。
AIがついにその方程式を変えようとしています。
自律的なサイバーオペレーションが可能なフロンティアAIシステムの急速な台頭と、エンタープライズ内でのエージェント型AIの普及が相まって、セキュリティリーダーたちがほとんど経験したことのないものが生まれています。それは、取締役会レベルでの緊迫感です。
その緊迫感は、ワシントンDCで開催された最近のSANS AI Cyber Summitでも明らかでした。元国家安全保障副補佐官のAnne Neuberger氏が、セキュリティリーダーたちにこの機会を活かすよう呼びかけました。
「LLMが攻撃をどのように可能にしているかについての認識が高まっている今こそ、文化を変え、スピードを持って行動すべき時です」と、Neuberger氏は基調講演で述べました。
この発言は、Bain & Co.が「AnthropicのMythosなどの高度なAIシステムがもたらす運用上の課題に備えるため、多くの組織はサイバーセキュリティ投資を2倍、あるいは3倍にする必要があるかもしれない」と警告した数日後のことでした。
「今起きていることは、とても心強いと感じています」と、脅威エクスポージャー管理ベンダーZafran SecurityのCISO、Nate Rollings氏は、ナッシュビルで開催された最近のCSO Cybersecurity Awards and Conferenceの参加者に語りました。
「ここ数年、ビジネスとITにおけるAI導入のための予算が増加し、収益創出活動を推進してきました」と同氏は述べ、「MythosやGlasswingの登場により、セキュリティ分野でのAI活用が十分でないという認識が生まれました。その結果、『AIの脅威に対応するため、セキュリティにおけるAI活用の予算を増やす必要がある』というトップダウンの賛同が得られるようになっています」と続けました。
多くのCISOにとって、この収束は単なるハイプサイクルではなく構造的な変化のように感じられています。特に、セキュリティチームがガバナンスの方法をほとんど理解していない自律型システムを組織が急速に導入しているためです。
AIによるエンタープライズリスクの拡大
AIエージェントの急速な普及により、企業全体に新たな運用レイヤーが形成されています。これらのシステムは、ほとんど人間の監督なしに、機械の速度で意思決定し、アクションを開始し、機密システムにアクセスし、他のソフトウェアと連携する能力を急速に高めています。
「エージェント型AIは、ビジネスにおいてこれまで見られなかった方法で動作しています」と、Noma SecurityのCISO、Diana Kelley氏はCSOに語ります。「エージェント型AIが意思決定を行うようになったため、今やAIによる意思決定・自動化レイヤーを保護しなければなりません。」
CorelightのCISO、Bernard Brantley氏はCSOに対し、AIはシステム、データ、アイデンティティドメインを分離するためにセキュリティチームが依存してきた運用上の境界を崩壊させることで、長年蓄積された技術的負債を露わにしていると語りました。
「1つのエージェントが、企業内で利用可能な50のインターフェースすべてと1秒以内に連携できます」と同氏は言います。「どの程度、どれだけ広範囲に普及するかを考えなければなりません。」
「社内の全員が3つのエージェントを持つとすれば、セキュリティを確保すべき対象が3桁分も大きくなります」とBrantley氏は付け加えます。
既存のセキュリティアーキテクチャは人間が主導するシステムのために構築されており、機械の速度で継続的に動作する自律型エージェントを想定していませんでした。そのため、組織はアイデンティティ管理、監視、行動制御、AIシステムの境界について抜本的に見直すことを迫られています。
「監視は必須です。誤動作し始めたら、人間のアカウントと同様に対処してください」と、KLC ConsultingのプレジデントかつCISO、Kyle Lai氏はCSOに語ります。
セキュリティリーダーたちは、最大の新興課題の一つが可視性だと指摘しています。AIエージェントが何にアクセスし、どのような判断を下し、どのシステムと連携しているか、またそれらのアクションが時間の経過とともに企業ポリシーに沿ったままであるかを監視する信頼できる手段を持たない組織は、依然として多くあります。
従来のソフトウェアとは異なり、自律型エージェントは複数のエンタープライズシステムにまたがるアクションを動的に連鎖させることができます。これにより、セキュリティチームが行動を予測したり、従来の権限モデルでアクセスを制限したりすることが大幅に困難になっています。
Lai氏は、AIエージェントには従業員や特権ユーザーに適用されてきたのと同じアイデンティティ管理、ログ記録、監査、行動制御が必要だという認識が、組織の間で高まっていると述べています。
同時に、AIはエンタープライズ内の他の領域でも運用上のリスクを加速させています。たとえば、AIを活用したコーディングシステムにより、開発者は大量のソフトウェアを迅速に生成できるようになりましたが、その結果生じるセキュリティへの影響を十分に理解しないまま進めるケースも少なくありません。
セキュリティチームの適応を超えるリスクの加速
セキュリティリーダーたちは、生成系コーディングシステムが開発サイクルを短縮するスピードが、多くの組織の既存のセキュリティレビュープロセスが現実的に追いつけるレベルを超えていると指摘しています。
開発者たちは、自分でも完全には理解していないAI生成コードをますます多く本番環境に展開しており、脆弱性や安全でない依存関係、認証の欠陥、設定ミスを大規模に持ち込む可能性があります。
「AIは大量のコードを生成しています」とLai氏は言います。「AIが生成した脆弱性を管理しなければ、その脆弱性がどんどん積み重なり、問題がさらに深刻化します。」
この運用上の影響により、多くの組織はサイバーセキュリティを防御的なIT機能としてではなく、自律型エンタープライズシステムのガバナンスレイヤーとして再定義することを迫られています。
この変化により、サイバーセキュリティに関する議論は、AI導入、運用レジリエンス、業務自動化、ビジネスリスクをめぐるより広範な対話へと昇格しつつあります。
かつてないほど耳を傾けるようになったエンタープライズリーダー
AIはC-suiteや取締役会の行動も変えつつあります。
長年にわたり、多くのセキュリティリーダーはサイバーリスクが単なるITコストではなく戦略的なビジネス課題であると、取締役会を説得するのに苦労してきました。
「文化を防御機制として変えることがよく語られます。しかし今、私たちが目にしているのは、CEOたちが突然LLMやプロジェクトについて語り、サイバーセキュリティを懸念するようになったということです。これは大きな変化です」と、Neuberger氏はSANSサミットで述べました。
この関心は重要な意味を持ちます。なぜなら、セキュリティへの支出が歴史的に急増するのは、サイバーリスクがより広範なビジネス変革と結びついた時に限られてきたからです。
今やAIは競争力、自動化、労働生産性、デジタル戦略をめぐる取締役会での議論の中心に位置しており、CISOたちにとって、安全なAI導入のための運用上の前提条件としてサイバーセキュリティを位置づける稀な機会となっています。
しかしBrantley氏は、セキュリティリーダーは恐怖に訴えるメッセージに頼らず、サイバーセキュリティをビジネスの推進力として位置づけるべきだと考えています。「サイバー予算の増加は、現在または戦略的なAI目標に関連するビジネス価値の提供に向けられるべきです。AIを使わずにAIのスピードで対処することはできません」と同氏は述べます。
そして多くの場合、それはAIの課題に対処するためにAIへの支出を増やすことを意味します。「増加する支出は、AIの問題に精通した新たな10名の人材と、ソリューションを持つ外部請負業者やベンダー、そしてその答えを導き出すためのAIトークンへの費用の組み合わせになると思います。」
リーダー層への最も効果的なアプローチは、サイバーセキュリティが可視性、ガバナンス、コントロールを失わずにAIを安全にスケールさせるための運用基盤になりつつある、というメッセージかもしれません。
「データポイズニング、間接プロンプトインジェクション、エージェントの不正動作——これらはすべて組織におけるリスクの議論に含まれます。ビジネスがどのように意思決定を行うかについてのリスクの議論です」とKelley氏は言います。
ビジネスケースが必要な予算要求
AIがサイバーセキュリティへの支出ブームを引き起こすと、誰もが信じているわけではありません。
Inversion6のCISO、Ian Thornton-Trump氏は、一部の組織が根本的なビジネスリスクを明確に説明せずにAIを支出の万能な口実として扱うリスクがあると警告しています。
「AIを旗印にするのは間違ったアプローチだと思います。もし誰かが『サイバーセキュリティのためにAIに大金を使いたい』と言ってきたら、経営幹部として笑ってしまうでしょう」とThornton-Trump氏は述べます。
同氏は、取締役会は依然として、地政学的不安定性、気候リスク、詐欺、サプライチェーンの混乱、上昇する運用コストなど、多くの競合する戦略的懸念とサイバーセキュリティのバランスを取り続けていると主張しています。
「より多くの予算を要求してください。ただし、計画を持って臨んでください。特に、要求したものすべては得られないという現実を盛り込んだ計画を」と同氏は言います。
つまり、この議論の本質は支出するかどうかではなく、セキュリティリーダーがその理由を十分に明確に説明して聞き入れてもらえるかどうかにあります。
AIの台頭が予算増加を実現するのに十分かどうかはともかく、フロンティアAI、自律型エンタープライズシステム、そして競合他社に遅れを取ることへの経営幹部の危機感が、サイバーセキュリティを中核的なビジネス戦略と突然一致させたことは明らかです。
その結果は、クラウドコンピューティングの台頭以来、エンタープライズセキュリティ支出における最も大きな変化となるでしょう。それはリーダーたちが突然サイバー攻撃をより恐れるようになったからではなく、大規模なAI導入を可能にする運用基盤としてサイバーセキュリティを捉える見方がますます広まっているからです。
