出典:Sean Prior via Alamy Stock Photo
論説
数年前、取締役会の会議が近づく数週間、私はCEOにセキュリティとプライバシーのアップデートを議題に加えるよう働きかけていました。1度だけでなく、何度も念押しする必要がありました。ようやく、それが議題に追加されたのを見て、ほっとしました。
会議当日、私はバーチャル取締役会議室に座り、ノートパソコンを開き、入念に準備したスライドを用意していました。市場動向や戦略の詳細な説明、製品ロードマップのプレゼンテーションが続く中、会議終了まで残り数分しかありませんでした。私は口を挟みました。「まだプライバシーとセキュリティについて話す必要があります。」
CEOは時間を確認し、ため息をついて「よし、2分だけ。手短に」と言いました。
2分。何か月もかけて会社を守るためのプログラムを構築してきたのに、組織のセキュリティ体制、リスクの露出、プライバシーの義務について、最終的な監督責任を持つ人々に伝える時間は2分しかありませんでした。「セキュリティが最優先」と言われながらも、本当に席を得るためにはまだ戦いが続いていることを痛感させられました。
サイバーが主役に――AIのおかげで
現在に早送りすると、状況は大きく変わっています。AIの爆発的な成長を受けて、セキュリティとリスクはもはや取締役会議の最後に礼儀的に付け加えられる脚注ではありません。突然、CEOから最も若手のプロダクトマネージャーに至るまで、誰もが「AIリスクへの対応はどうなっているのか?」と尋ねています。
AIは、何十年にもわたる情報漏洩やコンプライアンス義務、「セキュリティ第一」のスローガンでも完全には実現できなかったことを成し遂げました。つまり、組織がセキュリティを常設の議題にするよう促したのです。多くのCISOにとって、長年続いた「席を得るための戦い」はついに終わったのです。しかし、落とし穴があります。ここはリスクについて理論的に語り合う穏やかなディナーテーブルではありません。ここは比喩的な手榴弾やナイフ、落とし穴が散らばるテーブル――AIのイノベーションのスピードが進化する脅威の状況や増大する影響と正面衝突する、ハイリスク・ハイステークスの舞台です。
ここにジレンマがあります。一方では、イノベーションのスピードでAI導入を推進するという使命があります。ビジネスは新製品、より迅速なインサイト、より良い顧客体験など、AIがもたらすあらゆる競争優位を手にしたいと考えています。
他方、私たちは新たな脆弱性の洪水を前にしています。プロンプトインジェクション攻撃、データ漏洩、過度なエージェントの自律性、モデルの汚染、AI学習データのサプライチェーンリスク、そして生成AIモデルの予測不可能な挙動。これらのリスクを管理するツールはまだ発展途上であり、OWASP GenAIプロジェクトのTop 10やNISTのAI RMFのような業界標準もまだ初期段階です。これは、よく理解されたWebアプリケーションファイアウォールやエンドポイント検知プラットフォームを導入するのとは違います。私たちは未知の領域で活動しています。それでも、期待は極めて明確です。「安全を守り、コンプライアンスを守り、かつスピードを落とさないでほしい。」
先日、同僚のマイク・マッケナが、今の状況を完璧に表したニューヨーカー風の風刺画を提案してくれました。磨き上げられた木製パネルの取締役会議室に、長く輝くテーブル。その上には手榴弾、ナイフ、むき出しの電線、そしていくつかの不穏な落とし穴。
ある同僚がCISOに向かって言います。「君はずっとこのテーブルの席が欲しかったんだろう。」
CISOは警戒しながら周囲を見回し、「ああ……でもこのテーブルじゃなかったんだ」と答えます。
必要なのは:内外のパートナーシップ
では、どうすれば自分や会社がリスクの罠に陥ることなく、この機会を活かせるのでしょうか?それは、組織内外の適切なパートナーを見つけ、協力することです。AIのセキュリティ確保は、セキュリティチームだけでできることでも、すべきことでもありません。この移行を最もうまく乗り切る組織は、以下のことを実践します:
-
強力な社内連携を構築する:セキュリティリーダーは、プロダクト、エンジニアリング、法務、コンプライアンス、データサイエンスチームと密接に連携する必要があります。AIプロジェクトの最初からセキュリティ思考を組み込み、後付けではなく統合すること。そして、複数のステークホルダーのニーズを支援するAIライフサイクル全体を俯瞰できるツールを活用することです。
-
外部の専門知識を活用する:AIの脅威状況が急速に進化している今、外部コンサルタント、研究パートナーシップ、ベンダーツールが重要な知識や能力のギャップを埋めてくれます。適切なパートナーは、新しいソリューションや技術的コントロールだけでなく、他業界や他ユースケースで実証されたプレイブックももたらしてくれます。
-
自分たちのプレイブックを進化させる:従来のリスクフレームワークでは不十分です。ISO、NIST、OWASP、CSAなどから登場している最新の手法やフレームワークが必要です。これらは、エージェント型脅威モデリング、連鎖的な幻覚から生じるリスク、モデルガバナンスや学習データの精査、GenAIの安全なデプロイメントアーキテクチャまで、非決定論的AIシステム特有の課題に対応しています。
セキュリティリーダーが企業戦略に不可欠な存在と認められるまでに、何十年もかかりました。今ここにいるからには、その価値を証明しなければなりません。それは、イノベーションに「ノー」と言うことでなく、安全に実現することによってです。意思決定に早期から影響を与えるために、信頼と信用を築くこと。そして、AIの変化のスピードは私たちを待ってくれないので、迅速に動くことが求められます。
リスクは高い。しかし、取締役会の最後に2分間だけ懇願していた時代を覚えている私たちにとって、これこそが戦い続けてきた瞬間です。席は得ました。発言権も得ました。あとは、それを賢く使うだけです。
翻訳元: https://www.darkreading.com/cybersecurity-operations/cisos-finally-get-seat-board-table
