サイバーセキュリティのリーダーたちが証言するように、今日の脅威環境はますます不確実で不安定になっています。これは、オートメーションハイジャック、プロンプトインジェクション、ポスト量子暗号などの新たな脅威の出現によるものです。これは、変動性、不確実性、複雑性、曖昧性が完璧に重なった「VUCA」とガートナーが呼ぶ状況です。生成AI(GenAI)は、ディープフェイクやフィッシングの増加・高度化を通じて新たな課題をもたらし続けています。そして、これまでと同様に、サイバーセキュリティ攻撃は進化し続けており、あらゆる業界や地域に影響を及ぼしています。
組織がデジタルトランスフォーメーションを推進し、犯罪者が手法を進化させる中で、セキュリティリーダーは新たな脅威や既存の脅威に備え、対応するために戦術を洗練させる必要があります。
重要かつ新たなサイバー脅威
重要かつ新たな脅威とは、攻撃者が標的組織の弱点を突く上で大きな優位性を持つ状況を指します。例えば、ディープフェイクを使ったなりすまし、AIアプリケーションの侵害、敵対的プロンプト、国家支援による脅威などです。
これらの重要かつ新たな脅威は、しばしば複雑で不明瞭です。そのため、セキュリティリーダーが信頼できるサイバーセキュリティ技術的コントロールを見つけるのが難しく、効果のないツールへの無駄な投資につながります。
AI技術の急速な導入は、攻撃者が既存のソーシャルエンジニアリング攻撃を強化し、新たな攻撃(ディープフェイクなど)を生み出すことで、脅威環境を再構築しています。最近のガートナーの調査によると、セキュリティリーダーの37%が、従業員とのビデオ通話中にディープフェイクを用いたソーシャルエンジニアリングの被害を少なくとも1件経験したと報告しています。一方、43%が音声通話中にディープフェイクを用いたインシデントを少なくとも1件経験しています。
AIエージェントは、サイバーセキュリティリーダーに前例のない複雑さをもたらします。これらのエージェントは、LLMとメモリ(複数セッションにわたる保存されたコンテキスト)に基づく確率的ワークフローを利用するため、直接的・間接的なプロンプトインジェクションなど新たな攻撃手法を可能にします。組織は、社内開発やサードパーティツール(コーディングアシスタントなど)に組み込まれたAIエージェントを急速に導入しています。
セキュリティリーダーは、AIアプリケーションのAIエージェント化の進化に備えなければなりません。CISOは、AIのリスク、信頼性、セキュリティ管理(ガートナーがAITRiSMと呼ぶ)を含むAIガバナンスプログラムを導入し、AIの本質的なリスクを管理すべきです。
複雑かつ不安定な脅威
複雑かつ不安定な脅威とは、攻撃者と防御側の間で激しい攻防があり、どちらにも決定的な優位性がない状況です。例としては、アカウント乗っ取り(人間・機械の両方)、サイバーフィジカルシステムの侵害、サプライチェーン攻撃、外部向けインフラの悪用、ランサムウェア/恐喝ウェアなどが挙げられます。
これらの複雑な脅威は、CISOに組織全体との投資に関する議論を迫ります。成果主導型の指標と保護レベル合意を活用することで、CISOは組織の他の優先事項と比較しながらサイバーセキュリティリスクへの投資を提案・推進できます。
セキュリティリーダーは、追加のリスク軽減投資の必要性を明確に説明しなければなりません。今日の脅威環境では、防御戦略の継続的な改善が、ますます複雑化する攻撃から組織を守るために不可欠です。
これには、これらの脅威に影響を与えるマイクロトレンドや、防御戦略の必要な変更についてコミュニケーションを図る努力が必要です。不安定な脅威に対しては、セキュリティリーダーが組織にとっての脅威の「シグナル」を収集し、防御プログラムの改善を支援する能力が重要となります。
確立された脅威と潜在的な脅威
ほとんどの組織は、確立された脅威や潜在的な脅威の大部分に対応する準備ができていますが、セキュリティリーダーはそれらを軽視してはなりません。
確立された脅威は、組織の備えが高く、防御技術が成熟し、検知率が通常90%を超えるような主要な脅威です。APIの悪用、ソーシャルエンジニアリング、フィッシング、ビジネスメール詐欺などが例です。
潜在的な脅威にはさまざまな種類がありますが、多くの組織で見過ごされがちという共通点があります。良好なセキュリティ衛生と、継続的な脅威・エクスポージャー管理などの体系的なプロセスの導入が、潜在的な脅威への防御を維持する最善策です。潜在的な脅威の例としては、顧客アカウントの乗っ取り、物理的アクセス、分散型サービス妨害(DDoS)などがあります。
セキュリティリーダーは、攻撃者に対する優位性を維持し、それを損なう可能性のある新たな手法に常に警戒し続けなければなりません。
脅威環境への対応
セキュリティチームは、常にすべてをこなし、どこにでもいなければならないと感じがちです。しかし、今日のVUCAな脅威環境では、資源の豊富な組織であっても、脅威管理の幅と深さの間でトレードオフを行う必要があります。
幸いにも、セキュリティリーダーがこれらの新たな脅威を最適に軽減できるよう、取るべき一連のステップがあります。
- まず、脅威環境の変化を迅速に特定し、サイバーセキュリティの優先順位を更新します。
- 次に、ディープフェイクへの対策、カスタムAIアプリケーションやエージェントの保護、ポスト量子暗号時代への備えなど、重要かつ新たな脅威に対抗するためのプロセスやツールを優先し、組織の対応力を強化します。
- さらに、サプライチェーン攻撃、ランサムウェア、進化するアカウント乗っ取り(人間・機械の両方)など、複雑かつ不安定な脅威の最新動向に対する組織の防御を強化します。
確立された脅威や潜在的な脅威については、特にAIベースのものを中心に、攻撃手法のマイクロトレンドや変化に注目しましょう。セキュリティリーダーは、APIの悪用防止に向けた業界標準の実践から始め、進化するソーシャルエンジニアリング攻撃に対するプロセスやツールの有効性を見直すことができます。
VUCAの時代では、最も予測不可能な脅威に備え、エクスポージャーを減らし、サイバー・レジリエンスを高めることがすべてです。
Jeremy D’Hoinneはガートナーのディスティングイッシュト・リサーチVPであり、CISOやそのチームがサイバーセキュリティにおけるAI活用戦略やAIアプリケーション・エージェントのセキュリティ確保戦略を策定するのを支援しています。アイデンティティおよびアクセス技術・戦略に関する追加分析は、3月24~25日にロンドン 、12月8~10日にグレープバインで開催されるGartner Identity & Access Management Summitsで発表されます。カンファレンスのニュースや最新情報はXやLinkedInで #GartnerIAM を使ってご覧ください。
