学習プラットフォーム提供企業のO’Reillyによると、組織内におけるAIセキュリティスキルの不足について、テクノロジー分野の専門家の懸念が高まっている。
同社の2024年版セキュリティ実態調査(State of Security Survey)レポートでは、テックプロフェッショナルの33.9%がAIセキュリティスキルの不足を報告しており、特にプロンプトインジェクションのような新たな脆弱性に関する領域で顕著だった。
調査回答者はまた、来年に向けた最優先事項としてAI対応のセキュリティツール(34.4%)を挙げ、次いでセキュリティ自動化(28.2%)が続いた。サイバーセキュリティ防御の自動化が、セキュリティ専門家の間で拡大するトレンドであることを示す証拠だ。
憂慮すべきクラウドセキュリティのスキル不足
AIセキュリティは、テックプロフェッショナルが重大なスキルギャップを指摘した唯一の領域ではなかった。
クラウドコンピューティングが登場してから20年が経つにもかかわらず、回答者の約5人に2人(38.9%)が、クラウドセキュリティを最も深刻なスキル不足として挙げた。
重要なセキュリティ対策の必要性は広く理解されているようで、テックプロフェッショナルの過半数(88.1%)が多要素認証(MFA)を導入している一方、エンドポイントセキュリティを展開しているのは60.1%、ゼロトラストモデルを実装しているのは49.2%にとどまり、クラウドセキュリティは依然として十分に保護されていない。
継続的学習はセキュリティ研修の最優先事項
回答者が、これらのスキルギャップを説明する主な理由として挙げた上位2つのニーズは、セキュリティ研修と認定資格の不足だった。
全従業員に対するより良いセキュリティ意識向上トレーニング(40.1%)が、組織のセキュリティ態勢を改善するうえで最も重要なステップとして特定され、増員やより良いセキュリティツールを上回った。
採用にあたり51.3%の企業が資格保有を求めているにもかかわらず、セキュリティチームのメンバーの40.8%は無資格のままだ。このギャップはインシデント対応担当者で非常に大きく(70%が無資格)、CISOでは比較的小さい(33.3%が無資格)。
CISSPとCompTIA Security+が、最も求められ、望まれている資格だ。
しかし、これらの情報源だけではもはや十分ではなく、多くのセキュリティ専門家が、ベストプラクティスや新たな脅威に関する最新情報を得るために、オンラインコース(88.8%)、書籍(76.6%)、動画(75.2%)など、他の学習リソースも利用する必要があると認めた。
O’Reillyの社長であるローラ・ボールドウィン氏は、組織がセキュリティニーズに追随する必要性を強調した。「当社の調査は、セキュリティ環境における地殻変動を明らかにしています。もはやITだけの懸念ではなく、全社的な必須事項なのです。
「CISSPのような資格が依然として重要である一方で、クラウドとAIセキュリティには重大なスキルギャップが見られます。デジタルの未来を真に守るためには、試験対策を超え、すべての従業員が進化する脅威に対する最前線の防衛者となれるよう力を与える、高品質で継続的な学習が必要です。」
O’Reillyは本レポートのために、1300人を超えるテクノロジー分野の専門家を対象に調査を実施した。
翻訳元: https://www.infosecurity-magazine.com/news/tech-professionals-critical-ai/
