AIの時代においてCISOに求められる最も重要な役割の一つは、冷静さを保ちながら自組織のリスクエクスポージャーを慎重に評価することです。今週、メリーランド州ナショナルハーバーで開催された年次「ガートナー セキュリティ&リスクマネジメントサミット」に登壇した専門家たちが、口を揃えてそう訴えました。
「パニックになってはいけません」——ガートナーのVPアナリスト、カテル・ティエルマン氏は火曜日、産業用制御機器などのサイバー・フィジカルシステムへのAIの影響をテーマにした講演でこう述べました。
「確かに状況は急速に変化しています」とティエルマン氏は続けながらも、「すぐに取り組める対策もある」と指摘しました。重要なデバイスをインターネットから切り離し、残りのインフラへのリモートアクセスを監視するといった施策がその例として挙げられました。
最近相次いで登場したAnthropicのClaude MythosとOpenAIのDaybreakは、従来のツールをはるかに上回るスピードでソフトウェアの脆弱性を発見できる強力な新AIモデルであり、サイバーセキュリティ業界のリーダーたちに衝撃を与えています。リスクへの対抗策を求める声が高まる中、テクノロジーベンダーやコンサルタント各社はその需要に応えようと競い合っていますが、中には不要あるいは逆効果なアドバイスや製品を提供するケースも見られます。今回のガートナーのカンファレンスでは、専門家たちがCISOや他のセキュリティ幹部に対し、誇大な宣伝に惑わされず基本を重視するよう促しました。
「MythosやDaybreakが変えるのは何か?スピードとボリュームです」と、ガートナーのVPアナリスト、デニス・シュ氏は火曜日のセッションで語りました。攻撃者は「より速いペースで迫ってきており、今後12ヶ月でその攻撃量は大幅に増加する」と述べました。
それでもシュ氏はCISOに向けて、二つのことを忘れないよう呼びかけました。「パニックにならないこと」と「コミュニケーションを取ること」です。
「経営幹部や取締役会に対して、今や私たちは全く異なる戦いを強いられているということを伝える必要があります」と氏は述べ、新たな脅威環境を予算増額の交渉材料として積極的に活用することをセキュリティ幹部に勧めました。
ただし、攻撃のスピードとボリュームが増大しても、企業の防御上の優先事項は大きく変わらないとシュ氏は強調しました。アセットのエクスポージャー管理と、重要なシステムへのパッチ適用の優先化に引き続き注力すべきだと述べました。
セッションの中でシュ氏は、自社の「最低限の事業継続に必要なオペレーション」——すなわち、それなしには機能できないコアシステムやプロセス——を定義している参加者に挙手を求めました。手が上がった数が少なかったことを受け、シュ氏はこの作業に取り組むよう企業に促しました。
「半年もかけてほしいわけではありませんが、これは取り組む価値のある課題です」と氏は言いました。「何よりも、共通言語として機能し、何が重要かについて全員が合意・理解できるようになります。そうすれば、ステークホルダーが重要な領域でのサイバーセキュリティレジリエンスに関する意思決定を優先しやすくなります。」
AIの誇大宣伝と現実の乖離
カンファレンス全体を通じて行われたガートナーアナリストの講演では、AIをどれだけ効果的に活用できているか、そしてこの技術が実際にもたらしている効果ともたらしていない効果を経営者が正確に把握することの重要性が繰り返し強調されました。
OpenAI、AnthropicをはじめとするAI企業は、複雑で時間のかかる業務を革新すると約束しながら、高額なサブスクリプションの購入を企業に促しています。しかし実際には、AIツールがトークンを大量消費する割に目立った成果が得られないと気づく企業が続出しており、宣伝と現実の乖離が顕在化しています。
セキュリティリーダーたちは「存在感を軽視され、リソースも不十分だと感じています」とガートナーのVPアナリスト、バート・ウィレムセン氏は述べました。「なぜなら、私たちの予算が——あえて言いますが——かつてはほぼ無料同然だった生成AIプラットフォームに流れているからです。その後、ユーザーあたり月額課金になり……次はトークン課金になりました。」
「人間の方がうまくできることに、私たちは予算を無駄遣いしているのではないでしょうか?」とウィレムセン氏は問いかけ、「確かにそうだと強く思っています」と言い切りました。
また同氏は、経験豊富な人材をAIモデルで代替しようとすることへの警戒も促しました。AIツールが不十分であることが判明した際に、退職した人材を呼び戻したり新たな人材を採用したりすることは、容易ではないからです。
「『AIがあれば少ない人数で何でもできる』と考えている方に申し上げます——いったん手放してしまえば、その人たちは二度と戻ってきません」と氏は警告しました。
人間のスキル重視
別のセッションでも、AI時代における人材育成の軽視がいかに危険かについて警鐘が鳴らされました。
「C-suiteや取締役会からは、AI投資の価値を示せという強烈なプレッシャーにさらされています」と、ガートナーのディレクターアナリスト、アレックス・マイケルズ氏は述べました。「長年にわたる誇大宣伝がその焦りをさらに加速させています。しかし、AIへの高い期待に対して、広範かつ急速なAI導入に備えられていない人材基盤という現実が立ちはだかっています。」
マイケルズ氏はセキュリティオペレーションセンター(SOC)の文脈で話しており、経営者がAIによる自動化に熱心な領域でも、人間のスキルへの継続的な投資が不可欠だと訴えました。一方でAIがSOCの業務を担う割合が増えるにつれ、人間の作業員に重要なスキルを習熟させる必要性が薄れていき、組織としての知識・ノウハウが失われるリスクがあると警告しました。
「AI自動化の大規模な導入に成功したとしても、次世代のSOC人材が持つ可能性を損なうリスクを私たちは抱えることになります」とマイケルズ氏は述べました。
AIと産業制御システム——現実的な視点
サイバー・フィジカルシステムをテーマにしたセッションに登壇したティエルマン氏は、重要インフラの運用者に対し、数年先にならなければ到来しないかもしれないAI主導の壊滅的なサイバー攻撃を過剰に心配するより、ネットワークのセグメンテーションやアクセス制御といったサイバーハイジーンの基本に集中するよう求めました。
「AIが扉を叩いていることは分かっています」と同氏は言いました。「時間が経てば明らかになりますが、現時点ではまだそのような最悪のシナリオは現実になっていません。」
Anthropicは、選定した機器ベンダーや重要インフラ事業者をClaude MythosのプレビュープログラムであるProject Glasswingに招待していますが、これまでのところ産業制御システムを製造する企業で参加を公表したところはないと、ティエルマン氏は指摘しました。
「CPS関連のベンダーがMythosに参加しているとしても、声を上げていません」と同氏は述べました。「シーメンスも、ロックウェルも、ハネウェルも、何も発表していないのです。」
「より多くの情報が明らかになるまでは」と同氏は付け加えました。「『製造業へのMythos導入で全てが崩壊する』といった言説——実際によく目にしますが——には、どうか惑わされないでください。」
翻訳元: https://www.cybersecuritydive.com/news/ai-cybersecurity-hype-reality-check-gartner/821867/
