証明が破綻するとき、CISOはどのようにアイデンティティを守ることができるか。
私の職務では、お金、悲しみ、アイデンティティが衝突するとき、「信頼」とは何を意味するのかについて多くの時間を費やしています。2026年までに、私たちの業界における本当の競争は、誰が最も速く自動化するか、または最も多くのAI機能を提供するかではなく、正当な実行者、受取人、または家族代理人と製造された人物を区別できるかになるでしょう。
私たちがAIで構築しているのは、その利点が否定できないからです。しかし、同じテクノロジーが詐称経済学を変えている様子も観察しています。合成アイデンティティとディープフェイク対応の詐欺は、辺縁事例から、私たちがかつて信頼していたコントロールを徐々に摩耗させる継続的な圧力へと移行しました。紙面上では、アイデンティティプログラムはまだ強く見えます。実世界の攻撃条件下では、攻撃者が大規模にリアリズムを適用すると、多くは崩壊する薄い周囲線になってしまいます。
不動産およびアイデンティティ関連の仕事では、その信頼の侵食は特に重い意味を持ちます。合成アイデンティティは、その人物が実在しない場合でも証拠の証跡が「完全」に見えるため、分配を簡単に誤った方向に導き、正当な請求を遅延させ、家族を紛争に巻き込むことができます。
デジタルゴーストの台頭
合成アイデンティティ詐欺とは、存在したことのない全体的な「人物」を製造すること、つまりデジタルゴーストを意味します。生成モデルは、定型的なチェックを通過する政府様式のドキュメント、もっともらしい履歴、および支持メディアを生成でき、偽のアイデンティティがシステム、チャネル、時間全体で一貫して見えるようにすることができます。
これが、コストが単一の損失イベントよりもはるかに高くなる可能性がある理由です。合成アイデンティティはエコシステムに入り、融合するのに十分な期間正常に振る舞い、請求、プロフィール変更、または支払いが必要とされる正確な瞬間に後で表面化できます。成功すると、それは私たちが依存していたベースライン(リスクモデル、ケーストリアージ、アナリストが信頼することを学ぶパターン)を汚染します。
ディープフェイクはリスクを高め、「デジタル」と「人間」の境界を崩壊させます。ビデオ通話、音声認証、ライブインタラクションはかつてはより強力な証明に感じました。現在、攻撃者は、急いだレビューを通過するのに十分な期間、顔、声、および一貫したストーリーを持って現れることができます。
アイデンティティが詐称可能な場合、プロセスが準拠かつ適切に文書化されている場合でも、すべてのダウンストリームコントロールは汚染された真理の上で実行されます。
故人と休止状態のアイデンティティの搾取
攻撃者はレバレッジに従います。休止状態、レガシー、および故人のアイデンティティは、既に履歴を持っているため、合成ペルソナが登るためのスキャフォルディングとして機能するレバレッジを作成します。
私は、抑制されたレコードがいかに迅速にエントリーポイントになるかを見てきました。攻撃者は、古いアカウントまたはアイデンティティフットプリントを新しく生成されたドキュメントと洗練されたサポート操作と組み合わせます。彼らはプロフィール変更、連絡先更新、または支払いリダイレクトをリクエストします。彼らは新しい認証、新しいデバイス、または新しいチャネルを要求します。それぞれは、孤立していては細かい詳細に見えます。順序立てると、活動が実生活に似ているため、獲得したように感じられる乗っ取りです。
従来の信頼信号はここで苦労しています。デバイスフィンガープリント、行動分析、および静的バイオメトリクスは役に立つことができますが、AIはそれらの信号を直接対象にしています。タイピングリズムを模倣できます。マウスの動きをシミュレートできます。声を十分にクローンして、疲れているまたは急いでいる人間をだましることができます。明白なシームが頻繁に現れなくなるため、経験豊かなレビュアーでもその利点を失います。
これが、この脅威が不動産関連のワークフロー内で異なるように感じられる理由です。通常、リクエストに関連する説得力のあるストーリーがあります。多くの場合、緊急性があります。多くの場合、感情があります。攻撃者は、人的圧力と手続き圧力が技術的コントロール単独では閉じないオープニングを作成することを理解しています。
証明の新しい基準の確立
合成アイデンティティにはプラグアンドプレイの修正はありません。それに対処することは、「これは誰ですか?」を超えて、「このアイデンティティ—およびそのデジタルフットプリント—はどのようにして存在するようになったのか?」というより法医学的な質問に移動することを意味します。
その転換は証明の基準を高めます。それは表面レベルの確信性よりも、出所、発行者検証、およびクロスチャネル一貫性を優先します。また、チームの運営方法も変わります。アイデンティティ信号を個別のツール、キュー、および所有者に散らばったままにすることはできません。信頼を強化するか矛盾を明らかにするかのいずれかである独立した信号から構築された共有リスクビューが必要です。
実際には、私たちはアーティファクトがどこから来たのか、どのように作成されたのか、そして変更されたかどうかを検査します。単一のチェックポイントを信頼する代わりに、リスクが変わり、チャネル全体で相関するときにより強い証拠を要求します。
また、内部アクセスと監査可能性を強化する必要があります。攻撃者が外部請求者になりすまうことができる場合、内部ワークフローも対象にできます。特権アクションには、最小限の特権、ジャストインタイムアクセス、および法医学グレードの証跡が必要です。
内部ワークフローへのアカウンタビリティの組み込み
継続的な検証は意図的な設計選択である必要があります。成熟したプログラムは、証明のレベルを現在起こっているリスクに結びつけます。新しいデバイスは定型的なログインのように扱われるべきではありません。支払い指示の変更リクエストは、単純なレコードビューまたはアドレス更新よりも高い閾値に直面するべきです。
その同じ規律を内部に適用する必要があります。高影響度の役割とマシンアイデンティティには、指定された所有者、文書化された認証情報継承計画、および推測なしで再構築できるアクセス証跡が必要です。何か問題が発生した場合、誰が実行した可能性があるかについての議論は必要ありません。証拠が必要です。
古いモデルが「検証」されたら、アイデンティティが安定したままであると想定しているため、規制当局と取締役会はこの方向に動いています。AIはその想定を破ります。アイデンティティ保証を測定可能なものとして扱い、明確なリスク欲求と定期的な敵対的テストを使用する組織は、自信を持って意思決定を擁護するのに最も適した立場にあります。
2026年の準備テスト
2026年に向けて、私は1つの質問に何度も戻ってきます。最も高い影響度のアクション背後にあるアイデンティティが、実在し、説明責任のある人間に属していることを、いつでも証明できますか?
答えが曖昧な場合、AIは間違ったことを加速させます。それは汚染されたデータに基づく決定を加速させます。信じられる偽造者によってハイジャックされる可能性があるワークフローを加速させます。それは、あなたがそれらを防御する必要があるまで準拠しているように見える結果を加速させます。
私たちのビジネスでは、アカウントとレコードを管理しているだけではありません。私たちはレガシーを保護し、義務を解決し、通常は正しく得るチャンスが1回しかない人々にサービスを提供しています。合成アイデンティティは、その責任をセキュリティ問題、ガバナンス問題、人的問題すべてに同時に変えます。それを新しい基本的真実として扱いましょう。
この記事は、Foundry Expert Contributor Networkの一部として公開されています。
参加したいですか?
翻訳元: https://www.csoonline.com/article/4146433/can-you-prove-the-person-on-the-other-side-is-real.html
