ダイブ・ブリーフ
EYは、組織がAI関連のハッキングリスクを軽減するための複数の方法を提案しました。
ダイブ・ブリーフ:
- 全組織の半数がAIシステムのセキュリティ脆弱性によって「悪影響を受けた」と、EYの最近のデータによって明らかになりました。
- AIシステムが機密データを十分に保護していると考えているCEOはわずか14%です。
- AIによる新たなリスクが、平均47種類ものセキュリティツールを使う組織のサイバー防御の複雑さをさらに増していると、EYは指摘しています。
ダイブ・インサイト:
EYの新しいレポートは、攻撃の現場におけるAIの役割から企業環境への統合まで、AIに関するさまざまな知見をまとめています。同社は他の専門家と同様に、AIによる自動化がハッカーによる高コストな侵入を容易にしていると警告しています。
「AIはサイバー犯罪者が高度な攻撃を行うためのハードルを下げています」と、EY英国・アイルランドのサイバーセキュリティリーダー、リック・ヘムズリー氏はレポートで述べています。「かつては時間と経験が必要だったサイバー攻撃のスキルが、今やこれまで以上に多くのサイバー犯罪者にとって、無料で、より簡単に手に入るようになっています。」
ソーシャルエンジニアリングはAIによって大きな恩恵を受けています。EYは、音声フィッシング(ビッシング)攻撃が2024年後半に442%急増したというCrowdStrikeの最新データを引用しています。サイバー犯罪者のブレイクアウトタイム(初期アクセス獲得後に横展開を開始するまでの時間)は、2023年の約1時間から2024年には48分に短縮されたとCrowdStrikeは報告しています。セキュリティ企業ReliaQuestは最近、2025年中頃にはわずか18分にまで短縮されたと明らかにしました。
これらの数字は防御側にとって警戒すべきものだとEYは述べています。「ブレイクアウトタイムの加速は危険です。攻撃者がネットワーク内に定着すると、より深いコントロールを得て、排除が困難になります。」
AIモデルが企業ネットワークに新たなリスクをもたらす中、組織は高額なミスを防ぐために従業員教育に注力すべきだとEYは述べています。同社の最近の調査では、68%の組織が上層部の承認なしに従業員によるAIエージェントの開発・導入を許可しており、そうした作業に関するガイダンスを出している組織はわずか60%にとどまっています。
EYはまた、従来の業務機能やAIモデルの訓練にとって重要なデータの完全性を守るための対策も必要だと述べています。レポートでは、モデルが機密情報を漏洩したり、企業が個人情報を誤ってモデルの訓練に使用してしまうなど、AIに関連する複数のデータリスクが指摘されています。
EYのレポートで他に推奨されているのは、AIツールのサプライチェーンの完全性維持、AI開発プロセスのあらゆる段階でのセキュリティ考慮事項の組み込み、AIツールの悪用を迅速に検知・阻止できるよう脅威検知プログラムを再設計することなどです。
CISOは「明確な価値を生み出す領域」にセキュリティ投資を集中すべきだとEYは述べています。
翻訳元: https://www.cybersecuritydive.com/news/artificial-intelligence-security-risks-ey-report/803490/
