GCCにおけるAIが浸透したサイバーセキュリティ環境を読み解く
湾岸協力会議(GCC)がAI主導のデジタル経済へと舵を切る中、重大な乖離が明らかになってきました。組織は機械学習技術の導入を急ぐ一方で、自社ネットワーク内にすでに潜むサイバーセキュリティ上の脅威を見落としがちです。SANS Instituteの最高AI責任者(Chief AI Officer)兼リサーチ責任者であるロブ・リーは、SANS 2025 GCCサイバーセキュリティ脅威ランドスケープレポートの調査結果と、AIの二面性――セキュリティ対策を強化できる一方で新たな脆弱性も持ち込む――に光を当てています。
SANS 2025レポートの中核的目的
SANS 2025 GCCサイバーセキュリティ脅威ランドスケープレポートの中心にあるのは、地域全体における組織行動を詳細に概観するという重要な狙いです。あらゆる体系的な脅威分析と同様に、目的は企業がデータをどのように解釈し、戦略的意思決定に不可欠な指標が何であるかを特定することにあります。「サイバーセキュリティ」という言葉はマーケティングのバズワードに薄められがちですが、現実には、注意と適応を要する絶えず進化する分野です。
こうした変化を把握することで、組織は同業他社に対する自社の立ち位置をより適切に分析できます。リーダーは難しい問いに向き合わなければなりません。私たちの脆弱性は固有のものなのか、それともより広範なシステム上の問題を反映しているのか。業界動向と整合しているのか、それとも重要な洞察を見落としているのか。こうした分析は、組織が新たなトレンドに合わせてセキュリティ戦略を微調整するのに役立つ実証データを提供するため、極めて重要です。
サイバー攻撃における可視性ギャップ
レポートの興味深い統計の一つは、調査回答者のおよそ3分の1が、自組織が受けた攻撃の件数について把握できていないと回答したことです。この可視性ギャップは、地域の検知能力に関して憂慮すべき疑問を投げかけます。脅威の規模を理解することは重要です。というのも、「見えないものは防げない」と言われるからです。残念ながら、業界にはこの「デジタルな盲目」を認めたがらない傾向がしばしば見られます。
AIで強化された脅威の増加により、サイバー戦の様相は急速に変化しています。攻撃の高度化と高速化が進み、可視性ギャップはさらに重大になっています。多くのネットワークには、重要な警告と無関係なデータを区別するために必要なテレメトリが不足しています。これは、空港の保安検査で、既知の脅威が新たな危険より優先されがちな状況を想起させます。
さらに、組織は脅威環境を明確に把握できていると誤って信じ、誤った安心感を得てしまう可能性があります。信頼できる指標がなければ、組織は同様に誤解した同業他社を基準にベンチマークしてしまい、脆弱性について表面的な理解にとどまるリスクがあります。
組織間で分かれるリスク認識
レポートは、組織がサイバーリスクをどのように認識しているかに関して、憂慮すべき乖離を示しています。回答者の約25%が自組織のサイバーリスクを「非常に低い」と評価した一方で、同じ割合が「高い」と分類しました。こうした相反する見方は、同様の環境脅威に直面する組織間で、サイバーセキュリティ成熟度が異なることを示唆しています。
リスクを「非常に低い」と捉えるグループには、十分に備えた一部の組織も含まれるかもしれませんが、実際には直面する危険を単に認識できていない組織が多い可能性があります。この可視性の問題は、前述した認識ギャップの観察と密接に一致します。対照的に、リスクを「高い」と評価する組織は、脅威の量をより正確に把握しているか、最近侵害を経験した可能性があります。
この二極化は、GCC域内でサイバーリスクを評価する方法について合意が欠けていることを示しています。統一されたベンチマークがなければ、地域全体としてのサイバーセキュリティのレジリエンス確保が難しくなり、協調的な取り組みはさらに困難になります。
セキュリティ予算の賢明な配分
レポートの重要な発見として、回答者の25%超が、セキュリティ予算の4分の1未満しか検知と対応に割り当てていないことが挙げられます。ランサムウェアが依然として主要な脅威であることを踏まえると、残りの予算がどこに配分されているのかという疑問が生じます。
組織はしばしば、時代遅れの境界防御、コンプライアンス主導のソリューション、レガシーハードウェアに投資し、進化するサイバー脅威の高度化を軽視しがちです。多くは、横展開(ラテラルムーブメント)や侵害後の活動に焦点を当てる代わりに、初期侵入手法の追跡に依然として注力しています。脅威環境を効果的に乗り切っている組織は、検知と対応の取り組みに向けて予算を最適化している傾向があります。
シャドーAIの台頭
新たなセキュリティ上の懸念として、「シャドーAI」があります。これは従業員が無許可のAIツールを利用し、機密情報を露出させてしまう状況を指します。組織がAI駆動の攻撃に備える一方で、内部でのAI利用に起因するリスクも管理しなければなりません。残念ながら、サイバーセキュリティ分野は外部脅威に過度に焦点を当て、従業員による無許可のAI導入がもたらす内部リスクを過小評価している可能性があります。
組織は三重の課題に直面しています。外部のAI混在型攻撃の監視、防御のためのAI導入、そして内部AIフレームワークの保護です。この多面的なアプローチには異なるスキルセットが必要です。驚くべきことに、AI/MLトレーニングを受けた組織は22%にとどまり、危険な準備不足を示しています。
セキュリティアーキテクチャへの優先度シフト
クラウドセキュリティの専門家やペネトレーションテスターの需要が高い一方で、セキュリティアーキテクトはそれほど求められていないようです。この乖離は意外です。特に、セキュリティアーキテクチャはトレーニングとスキル開発における重要領域と見なされているからです。しかし採用担当者は、組織のセキュリティ基盤を維持する戦略的ポジションよりも、即効性のある解決策を提供する戦術的役割を優先しがちです。
ペネトレーションテスターのような目に見える問題解決者を短期的に採用することに注力すると、技術的負債が蓄積するサイクルに陥りがちです。堅牢なアーキテクチャ計画がなければ、組織は予測可能な脆弱性への対処を繰り返すことになり、先回りした対策の実装ができません。
重要システムの脆弱性への対処
多くの組織が、操業を中断せずに産業用制御システムへパッチを適用できないため、これらの環境における脆弱性対応はますます複雑になっています。古いシステムはしばしば時代遅れのインフラ上に構築されており、従来のパッチ適用手法が使えません。その結果、組織は代替的な統制(補完的コントロール)、重要資産のリスクベース優先順位付け、そして問題発生時に検知できるよう監視の強化を進める必要があります。
さらに、重要セクターにおける人材不足により、レガシーシステムと最新のセキュリティプロトコルの双方を扱える専門家を見つけることは一層困難になっています。警戒が戦略であるだけでなく必須となる状況において、組織は適応しなければ深刻な影響を被るリスクがあります。
定期的な脅威モニタリングの重要性
驚くべきことに、GCCの組織の約3分の1は、地域の脅威を四半期ごとにしか確認していません。レポートが指摘するように、この遅れは危険への露出を大幅に増やし得ます。特に攻撃戦略が急速に進化していることを踏まえるとなおさらです。AI技術は攻撃のタイムラインを圧縮し得るため、組織は散発的な評価ではなく、継続的なモニタリングを採用することが不可欠です。
GCCは高度な国家主体アクターにとって依然として主要な標的であり、強固で能動的な対策が求められます。レポートは、日次または週次でモニタリングを実施している組織は脅威の検知と対応においてはるかに有利な立場にある一方、そうでない組織は重大な侵害を見逃したまま許してしまうリスクがあることを強調しています。
サイバーセキュリティの環境がこれほど急速に進化する中、SANS 2025 GCCサイバーセキュリティ脅威ランドスケープレポートから得られる洞察は、組織が戦略を再評価し、新たなAIリスクに直面するにあたり可視性と備えを改善する必要があることを示す重要な注意喚起となっています。
