セキュリティチームが戦っているのは攻撃の増加だけではありません。攻撃はより高速化しており、検知から被害発生までのギャップは日々縮まっています。
AIがフィッシング、なりすまし、自動偵察を加速させる中、最も弱いリンクが依然として人間の意思決定である以上、従来の「検知して対応する」アプローチでは追いつけないことが組織で明らかになりつつあります。
「脅威環境は根本的に変化しました。AIは攻撃のタイムラインを圧縮し、前例のない規模と巧妙さでソーシャルエンジニアリングを可能にしています。従来の検知・対応モデルでは、もはやペースに追いつけません」と、Living SecurityのCEO、アシュリー・ローズ氏はeSecurityPlanetへのメールで述べました。
さらに同氏は、「攻撃者がAIを使って文化的に自然でパーソナライズされたフィッシングによりフィルターを回避し、AIエージェントが新たなシャドーITになりつつある今、セキュリティチームには、反応するだけでなく予測して防ぐテクノロジーが必要です」と付け加えました。
依然として侵害の主因はヒューマンエラー
これはツールの問題というより、運用モデルの問題です。
多くの組織はすでにセキュリティコントロール、啓発トレーニング、監視プラットフォームに多額の投資をしていますが、成果は脅威の増大と同じペースでは改善していません。
2025年のVerizon Data Breach Investigations Report(DBIR)によると、セキュリティ予算やベンダーエコシステムが拡大しているにもかかわらず、ヒューマンエラーは依然として侵害の約60%に関与しています。
そのため、人に起因するリスク管理(Human Risk Management:HRM)は、侵害が発生する前に高リスク行動を早期に特定し、侵害の可能性を下げることに焦点を当てたアプローチとして勢いを増しています。
Human Risk Management(HRM)の本当の意味
HRMは単なる啓発トレーニングの言い換えではありません。脆弱性、設定ミス、ID露出をセキュリティチームが測定するのと同様に、リスクを測定するためのフレームワークです。
トレーニングの受講完了=準備完了とみなすのではなく、HRMは行動が正しい方向に推移しているか、そしてリスクが時間とともに低下しているかを重視します。
これは重要です。攻撃者は、緊急性、権威、親切心、親近感といった人間の自然な本能を突くことで、従来のセキュリティフィルターを回避する手法にますます依存しているからです。
AIはこれらの手口をよりスケーラブルにし、より説得力のあるものにします。文化的に自然で、個別最適化され、文脈を理解しているように見えるフィッシングを生成できるのです。
多くの場合、攻撃者に高度なマルウェアやエクスプロイトチェーンは不要で、必要なのは1つの侵害されたIDと、権限を拡大するための経路だけです。
これと並行して、もう一つの変化も起きています。AIエージェントや自動化が企業のワークフローに組み込まれつつあるのです。
これらのツールは生産性を向上させる一方で、新たなシャドーIT、危険な権限付与、意図しないデータ露出を招く可能性もあります。特に、従業員が未承認のツールを採用したり、ガードレールなしにAIエージェントを機密システムへ接続したりする場合は顕著です。
小さなミスが大きなセキュリティインシデントに
実務的なセキュリティの観点から、人に起因するリスクで最も懸念すべき点は、それが単発の壊滅的行為として現れることは稀だということです。
代わりに、侵害は時間とともに積み重なる小さな判断から始まることがよくあります。
- 多忙な時期に、説得力のあるフィッシングの誘導をクリックしてしまう。
- 複数のサービスで認証情報を使い回す。
- アクセス範囲を理解しないままOAuthアプリを承認する。
- 「スピード重視」を理由に過剰な権限を付与する。
- 承認済みシステムの外で、機密データを要約するためにAIツールを使う。
これらの行動は、単体では無害に見えるかもしれません。
しかし組み合わさると、認証情報の窃取、ラテラルムーブメント、データ損失にとって理想的な条件を作り出します。特に攻撃者がAIを使って、成功率を最大化するためにメッセージ内容やタイミングを最適化する場合はなおさらです。
これが現代のHRMの中核となる考え方です。リスクは静的ではありません。
リスクは、状況、アクセスレベル、行動パターンに応じて推移し、蓄積し、急増します。効果的に対応できる組織とは、そうした軌跡を早期に見抜き、迅速に介入できる組織です。
人に起因するリスクを減らす方法
AI主導の攻撃がより高速化し、より個別化されるにつれ、組織は反応的なアラートや年1回のトレーニングだけに頼らず、人を中心としたリスクを低減する必要があります。
強力なHuman Risk Management戦略は、IDコントロールを強化し、リスクの高い行動の可視性を高め、日常のワークフローにガードレールを組み込むことで、侵害を未然に防ぐことに焦点を当てます。
- フィッシング耐性のあるMFAを強制し、最小権限を適用し、特権アクセス経路を定期的に見直すことで、IDセキュリティを強化する。
- 承認済みの選択肢を標準化し、サードパーティ連携とOAuth権限を制限し、アクセスレベルを棚卸しすることで、AIツールとエージェントを統制する。
- メールおよびメッセージングのコントロールを強化し、一般的ななりすまし手口をブロックし、危険な転送や添付を制限することで、ソーシャルエンジニアリングへの露出を減らす。
- 短いトレーニング機会、リスクの高い行動後のリアルタイムフィードバック、セキュリティチャンピオンによるチーム単位の強化を通じて、継続的で役割ベースの介入を提供する。
- 共有のデフォルト設定を引き締め、軽量なデータ分類を適用し、一般的な持ち出し経路に対してDLPコントロールを用いることで、データ損失の影響を最小化する。
- ステップアップ認証、ブラウザ保護、機微な操作や不審な挙動に対する確認を用いて、高リスクの瞬間にスマートなガードレールを追加する。
- 行動ベースのシグナルを監視し、不正が起きやすい業務ワークフローを保護し、アカウント乗っ取りとBECに備えたインシデント対応プレイブックを維持することで、レジリエンスと対応力を高める。
これらのステップを組み合わせることで、組織は重大な侵害に発展する前に、人とAI主導のリスクをプロアクティブに低減できます。
AIが人に起因するリスクを再形成している
最終的に、Human Risk Managementが不可欠になりつつあるのは、AIが現代の攻撃のスピードと重大性の双方を引き上げ、組織が反応的防御だけに頼れる余地をほとんど残していないからです。
人の行動とAIエージェントの活動を測定可能なリスクシグナルとして扱い、的を絞ったコントロール、ワークフローのガードレール、継続的な介入で対応することで、セキュリティリーダーは、チームにツールやノイズを増やしすぎることなく露出を減らせます。
拡大するリスクサーフェスを抑え込もうとする中で、多くの組織はゼロトラストの原則に目を向け、アクセスを制限し、暗黙の信頼を減らし、侵害の拡大を防いでいます。
翻訳元: https://www.esecurityplanet.com/threats/ai-powered-phishing-makes-human-risk-management-critical/
