多くの組織が、人工知能(AI)を業務に統合することは素晴らしいアイデアであり、絶対に必要だと考えています。そして、それは実際に両方を兼ね備えています。しかし、多くの組織はAIに関わるサイバーセキュリティリスクを十分に理解しておらず、自社のAI導入を守る準備がどれほど不十分かに気づいていません。
社内の生産性向上や顧客向けのイノベーションなど、AI、特に生成AIはビジネスを革新する力を持っています。
しかし、セキュリティが確保されていなければ、AI導入は利益よりも多くの問題を引き起こす可能性があります。適切な対策がなければ、AIは防御を強化するどころか、サイバー犯罪者への脆弱性をもたらすことになります。
AI導入がセキュリティ体制を上回るペースで進行
AIへの関心は否定できません。EYによると、2025年にはテクノロジーリーダーの92%がAIへの投資を増やすと予想しており、これは2024年から10%の増加です。エージェンティックAIは特に変革的な分野として浮上しており、テクノロジーリーダーの69%が競争力を維持するために必要だと答えています。
しかし残念ながら、組織はセキュリティについて十分に考えていません。世界経済フォーラム(WEF)の報告によると、66%の組織がAIが今後12ヶ月でサイバーセキュリティに大きな影響を与えると考えている一方で、AI導入前にセキュリティを評価するプロセスを持っているのはわずか37%です。中小企業はさらにリスクが高く、69%がトレーニングデータの監視やAI資産のインベントリ管理など、安全なAI導入のための対策を持っていません。
アクセンチュアの調査でも同様のギャップが見られます。77%の組織が基礎的なデータおよびAIセキュリティの実践ができておらず、生成AIモデルを安全に運用できると自信を持っているのはわずか20%です。
実際には、ほとんどの企業が自社のシステムやデータが本当に守られているという確証がないまま、AIを導入しているのです。
セキュリティが不十分なAI導入が危険な理由
セキュリティを考慮せずにAIを導入することは、大きなコンプライアンスリスクとなります。それだけでなく、サイバー攻撃者を積極的に助長することにもなります。攻撃者は生成AIをさまざまな方法で悪用できます:
- AIによるフィッシングや詐欺。 WEFによると、47%の組織がAIを活用したサイバー攻撃を最大の懸念事項としています。その理由は明確で、昨年は42%の組織がソーシャルエンジニアリング攻撃を経験しました。
- モデルの操作。 アクセンチュアは、Morris IIのようなAIワームが悪意のあるプロンプトをモデルに埋め込み、AIアシスタントを乗っ取ってデータを流出させたりスパムを拡散したりする事例を指摘しています。
- ディープフェイクを利用した詐欺。 犯罪者はAI生成の音声、画像、動画を使った詐欺を増やしています。ある攻撃では、イタリア国防大臣の声をAIで模倣し、著名なビジネス関係者を騙して海外送金させました。
AIは攻撃者にとっての参入障壁を下げ、詐欺をより迅速・安価・発見困難にしています。
AI導入初期からセキュリティを組み込む
組織がAIの恩恵を安全に享受したいのであれば、セキュリティを最優先に考える姿勢が必要です。インシデント発生後に防御策を後付けしたり、バラバラのツールを寄せ集めたりするのではなく、最初から統合されたサイバーセキュリティソリューションを導入すべきです。中央管理コンソールから簡単に管理でき、手動の統合作業なしで連携するソリューションを使えば、組織は以下のことが可能になります:
- AI開発パイプラインにセキュリティを組み込む。 セキュアコーディング、データ暗号化、敵対的テストはすべての段階で標準とすべきです。
- モデルを継続的に監視・検証する。 組織はAIシステムが操作やデータポイズニング、その他新たなリスクにさらされていないかテストする必要があります。
- サイバーレジリエンス戦略を統合する。 セキュリティは分断されていてはいけません。防御策はエンドポイント、ネットワーク、クラウド環境、AIワークロード全体で統合されている必要があります。この戦略により複雑さが減り、攻撃者に弱点を突かれるリスクを最小化できます。
WEFとアクセンチュアは、AI時代に最も備えができているのは、統合戦略と強力なサイバーセキュリティ能力を持つ組織だと強調しています。
アクセンチュアの調査によると、いわゆる「再発明準備ゾーン」に到達している企業は全体のわずか10%です。これは成熟したサイバー戦略と統合された監視・検知・対応能力を兼ね備えた状態を指します。このカテゴリーの企業は、準備不足の組織と比べてAIを活用したサイバー攻撃を受ける可能性が69%低いことが示されています。
MSPと企業の役割
マネージドサービスプロバイダー(MSP)にとって、AIの波は課題であると同時にチャンスでもあります。顧客は今後ますますAI搭載ツールを求めるようになりますが、同時にMSPにセキュリティの確保も期待します。
Acronis Cyberthreats Report H1 2025によると、サイバー攻撃者はMSPに対するAI活用攻撃を強化しています。2025年上半期にMSPが受けた攻撃の半数以上がフィッシングであり、その多くがAIの能力によって推進されていました。
そのため、MSPはクラウド、エンドポイント、AI環境を横断する統合的な保護を提供し、自社と顧客の両方を守る必要があります。
企業にとっては、野心と慎重さのバランスが重要です。AIは効率性、創造性、競争力を高めますが、責任を持って導入した場合に限ります。
組織はAIセキュリティを取締役会レベルの優先事項とし、明確なガバナンスフレームワークを確立し、サイバーセキュリティチームが新たなAI主導の脅威に対応できるよう訓練するべきです。
AI導入の未来はセキュリティと直結
生成AIは今後も定着し、ビジネス運営にますます深く組み込まれていきます。しかし、これらのシステムを守らずに突き進むのは、砂の上に高層ビルを建てるようなものです。基盤が弱ければ構造を支えられません。
統合的かつ積極的なセキュリティ対策とソリューションを導入することで、組織はAIの可能性を引き出しつつ、ランサムウェアや詐欺、その他進化する脅威へのリスクを増大させずに済みます。
TRUについて
Acronis Threat Research Unit(TRU)は、脅威インテリジェンス、AI、リスク管理を専門とするサイバーセキュリティの専門家チームです。TRUチームは新たな脅威の調査、セキュリティに関する洞察の提供、ITチームへのガイドライン、インシデント対応、教育ワークショップの支援を行っています。
最新のTRUリサーチを見る
Acronisによるスポンサード記事・執筆。
翻訳元: https://www.bleepingcomputer.com/news/security/the-hidden-cyber-risks-of-deploying-generative-ai/
