AIはあらゆる種類の企業にとって、イノベーションと効率を飛躍的に向上させることを約束する一方で、新たなサイバー脅威の時代も招いています。
CISOの約10人中9人が、AI主導の攻撃は自組織にとって重大なリスクだと述べており、Trellixの調査によると。
この傾向はセキュリティ上の問題である一方、CIOにとっても関心事です。Forresterの主任アナリストであるAllie Mellenは、「AI攻撃について考えるとき、CIOは非常に重要な役割を果たす」と述べています。「セキュリティが推奨する変更の多くは、私たちが保有するインフラを改善し、防御するために取り入れています」
リスクが高まる中、さまざまな業界のCIOが、AI主導の攻撃の時代に重要データを守るため、企業を支援する準備を進めています。
業界リスクの増大
医療システムは患者の個人情報という宝の山を抱えているため、ハッカーにとって格好の標的です。
2009年から2024年にかけて、500件以上の記録に関わるデータ侵害は6,000件超が保健福祉省(HHS)の公民権局に報告されており、 HIPAA Journalによると。2024年だけでも2億7,500万人分の健康情報が漏えい、または盗難に遭いました。
「サイバーは私たちにとって大きな問題で、AIはその火にガソリンを注ぐ」と、UC San Diego HealthのCIOであるJosh Glandorfは述べました。その結果、同組織はサイバーセキュリティソフトウェアと、全体的なサイバーセキュリティ・ポートフォリオへの支出を増やしています。これには、CrowdStrike Falconを含む、侵入の試みを検知して遮断するためにAI技術を活用するベンダーへの支出も含まれます。「私たちにとっては大きなレベルアップでした」と彼は述べました。
その予算をどこに投じるかを決めるには、CISOと協力して、組織が何を必要としているのか、そして「安全であるために何が必要なのか」を把握し、セキュリティの観点で理想的なものと、医療システムとして現実的なものとのバランスを取ることだと彼は述べました。
「IT予算の全額をサイバーセキュリティに使えば、世界で最も安全な病院になれるでしょう。しかし、他のイノベーションに使える資金はゼロになり、利用者はおそらく私を嫌うでしょう。あまりにロックダウンされて、何もできなくなるからです」と彼は述べました。
理想的には、CIO、CISO、CTOが「全員が助言者として行動する」べきだと、Mellenは述べ、取締役会と社内の他部門の双方に対して「攻撃がどのようなものになるか」を最新の状態に保つ必要があると語りました。
この取り組みには、AI主導の攻撃に関して「可能なこと」と「起こり得ること」の違いを会社が理解できるよう支援することも含まれます。 「現状と、世の中で目にすることになるマーケティングメッセージとの差を教育するだけのことです」
加速したフィッシングを阻止する
AIによって加速する攻撃は比較的新しいトレンドかもしれませんが、しばしばよく知られた脅威ベクトルを狙っています。
2024年には、報告されたサイバーインシデント全体の73%がビジネスメール詐欺(BEC)攻撃で、2023年から44%増加しました。 Eye Securityによると。別の調査では、 VIPRE Security Groupが18億通のメールを分析し、そのグループにおけるビジネス侵害攻撃メールの40%がAIによって生成されていたことを突き止めました。
Campus Apartmentsのエグゼクティブ・バイスプレジデント兼CIOであるAndrew Marshallは、同組織がAIを活用した脅威に大量に襲われているわけではないものの、増え始めていると述べました。「私たちが目にする脅威のたぶん90%は、まだ本当に間抜けなものですが、10%はより高度になり始め、見抜くのがずっと難しくなっています」と彼は述べ、今後1年で問題は悪化すると見積もりました。
それにより、サイバーセキュリティ研修はさらに重要になりました。「それは企業がサイバー脅威に対して持つ最良の防御です」と彼は述べました。「どれだけ技術的なシステムを用意していても、誰かが電柱のQRコードを読み取って感染してしまえば、そこで終わりです」
過去3年間、Campus Apartmentsは毎月研修を実施し、スタッフが「何かおかしいと感じる」パターンを見つけて報告できるよう支援してきたと彼は述べました。非常に重要であるため、同社は従業員の年次ボーナスを研修の遵守と連動させています。
ゼロトラスト、研修、多要素認証、強力なパスワードといった基本に注力するのは初歩的に見えるものの、効果があるため、CIOはこれを会社のセキュリティ方針として推進し続けることが重要だとMellenは述べました。
中核となるサイバー備えの実践は、「最終的には、保有する資産を最も効果的に管理し、脆弱性を減らす方法に影響する要素」だと彼女は述べました。「何度も何度も、基本をきちんとやることに立ち返ります。とにかく信じられないほど難しいからです」
翻訳元: https://www.cybersecuritydive.com/news/how-cios-can-brace-for-ai-fueled-cyberthreats/809093/
