CISOたちが語る、経営層がいまだ理解していないAIが増幅する「人的サイバーリスク」

欧州のCISOの4分の3以上が、自社の従業員がもたらすサイバーリスクを経営陣が十分に理解していないと考えていることが分かりました。AIによって従業員の判断力を狙った攻撃がより高速に、より巧妙に、そしてより発見しづらくなる中、この認識のギャップは広がる一方です。

これは、人的サイバーリスク管理を手がけるMetaCompliance社が英国、フランス、ドイツ、スウェーデンのCISO200名を対象に実施した最新調査によるものです。この調査から浮かび上がるのは、経営層からの一貫した支持や明確な責任分担、共通認識を十分に得られないまま、人的レイヤーのリスクと向き合い続けようとするセキュリティ責任者たちの姿です。

AIによって変化するCISOの懸念事項

調査によると、1年前と比べて自社のサイバーレジリエンスへの自信が低下したと感じているCISOのうち、最も大きな理由として挙げられたのがAIを活用したソーシャルエンジニアリングでした。この回答は、その回答者グループのほぼ半数を占めています。これは、攻撃者が見破りやすい稚拙なフィッシングから、大規模に生成される説得力の高いなりすましや詐欺行為へとシフトしていることを示す兆候といえます。

当然ながら、従業員は依然として攻撃の標的の中心に置かれています。CISOの3人に2人以上が、自社の最大のセキュリティリスクは自社の従業員だと今なお位置付けており、AIは新たな問題を生み出しているというより、既存の問題を増幅させているに過ぎないことがうかがえます。

具体的な懸念事項は次の通りです。

  • CISOの40%超が、AIによってソーシャルエンジニアリング攻撃の速度と影響力が増していることを懸念
  • 40%が、従業員が生成AIツールに機密データを入力してしまっていることを懸念
  • 41%が、悪意あるインサイダーがAIを利用して詐欺やサイバー犯罪、データ窃取を実行することを懸念
  • 英国では特にディープフェイクによるなりすましが際立った懸念事項となっており、英国のCISOの半数以上がこれを主要な脅威として挙げ、調査対象国の中で最も高い割合となっている

トップからの支援が定着しない

この調査結果の中で、経営層にとってより耳の痛い部分が「支援の継続性」に関するものです。CISOの実に5人に4人近く(79%)が、セキュリティ意識向上プログラムに対する経営層の熱意は、当初の推進期間を過ぎると薄れがちだと回答しています。また76%が、それぞれ異なる人的リスク指標を求めるさまざまなステークホルダーの要望に応えようと苦心していると答えています。約4分の1が、部門横断的な連携を、自分たちが最も自信を持てずに管理している領域の一つとして挙げています。

MetaCompliance社のCEOであるJames Mackay氏は、AIによって攻撃のリスクの度合いが変わったと述べています。「攻撃者はもはや、見え透いた詐欺や稚拙な文面のフィッシングメールに頼ってはいません。今や彼らは、非常に説得力の高いなりすましやソーシャルエンジニアリング攻撃、詐欺的なコミュニケーションを大規模に作り出すことができるのです」

同氏は、これによって一過性の施策ではなく、経営層による継続的な関与こそが重要になると指摘します。「人的サイバーリスクは、もはや単なる意識啓発や研修の問題ではなく、戦略的な事業リスクなのです。……当初の推進が終わった後に経営層の支援が薄れてしまえば、組織はリスクにさらされたままになってしまいます」

CISOが次に取るべき道筋

AI主導のソーシャルエンジニアリングに対するレジリエンス強化は、今後1年間の重点課題として掲げられており、CISOの4分の1近くがこれを主要な注力分野として挙げています。Mackay氏は、この変化は季節的なものではなく、構造的なものである必要があると示唆しています。最も成果を上げる組織は、人的リスクを定期的な研修イベントとしてではなく、継続的なマネジメント上の規律として扱い、年次の研修モジュールのみに頼るのではなく、実際にリスクの高い判断が下される瞬間に、従業員へリアルタイムかつ文脈に応じた支援を提供するようになるでしょう。

今回の調査結果は、AIが生成するフィッシングやディープフェイクによる音声・映像、そして合成なりすましが本物のコミュニケーションと見分けがつきにくくなりつつある時期に発表されました。次の攻撃の波が到来する前に経営トップの理解と協力を取り付けることを、セキュリティチームに改めて迫るものとなっています。

翻訳元: https://www.itsecurityguru.org/2026/07/17/cisos-say-boardrooms-still-dont-grasp-the-human-cyber-risk-ai-is-supercharging/

ソース: itsecurityguru.org