AIがビジネス戦略にますます組み込まれる中、CISOはテクノロジーの進化と可能性に対応するため、自身のセキュリティ組織を再検討しています。
絶えず変化するサイバーセキュリティの状況は、長年にわたりCISOを警戒させてきましたが、今やAIがセキュリティチームの運用やイノベーションに新たな課題をもたらしています。場合によっては、このテクノロジーがCISOの見られ方さえも変えつつあります。
デロイトのFuture of Cyber Surveyによると、米国のサイバー意思決定者のうち43%が自社のサイバーセキュリティプログラムにおいてAIを大いに活用していると回答しており、AIの能力はサイバーセキュリティプログラムでますます利用されています。
これにより、CISOはサイバーに精通した経営層の中でより大きな影響力を持つようになっています。デロイトの調査によれば、ほぼ3分の1の回答者が、CISOがテクノロジー投資に関する戦略的な会話に関与していると述べています。
それでも変化は徐々に進んでいると、会計・資産管理コンサルティング会社Plante Moranのパートナーであるジョー・オレクサック氏は強調します。
「約30年のサイバーセキュリティコンサルティング経験から自信を持って言えるのは、AIがセキュリティ組織を革命的に変えたわけではありませんが、徐々にその運用方法を再構築しつつあるということです」と彼は語ります。
オレクサック氏が見てきた最大の変化は、スピードが決定的な要素になったという認識が高まっていることです。しかし、セキュリティチームはAIを万能薬だと考えて気を緩めてはいけないと彼は主張します。
「AIは攻撃も防御もすべてを加速させます。つまり、基本がこれまで以上に重要になるのです」とオレクサック氏。「プロビジョニング、権限設定、ネットワークのセグメンテーション、さらには共有フォルダに保存されている情報でさえも厳密に管理する必要があります。AIはあらゆるミスを拡大させるからです。」
ここで重要なのが規律です。「長年にわたりセキュリティに投資してきた組織は、AI駆動のツールをワークフローに組み込むことで効率化を実現しています」とオレクサック氏。「しかし、セキュリティを真剣に捉えてこなかった組織は、依然として同じ脆弱性を抱えたままです。AIがそれを一気に解決してくれるわけではありません。」
実際、攻撃者がAIを使ってフィッシングやスキャン、ディープフェイクをより安価かつ迅速に行っているため、成熟した組織と準備不足の組織の間のギャップは広がっているとオレクサック氏は付け加えます。
ここでは、AIが戦略の一部としてより頻繁に活用されるようになる中で、CISOがどのようにセキュリティ組織を再検討しているかを見ていきます。
Cスイートのダイナミクスの変化
ディニーン・デフィオーレ氏(ユナイテッド航空副社長兼CISO)は、AIによってCスイートとの関係性が明確に変化したと語ります。
「AIによって、サイバーセキュリティが戦略的なビジネスの会話に引き上げられました。私は他の経営幹部とより密接に連携し、AIの取り組みが最初からセキュリティを組み込んで進められるようにしています」と彼女は述べます。「もはやインフラを守るだけではなく、安全にイノベーションを推進し、信頼を構築し、ビジネスが自信を持って迅速に動けるようにすることが重要です。」
この変化は、同社が責任あるAIの導入にコミットしていることにも起因していると彼女は言います。「私たちはAIを倫理的かつ透明性を持って導入することに注力しており、サイバーセキュリティが説明責任、公平性、レジリエンスを確保する中心的役割を果たしています。Cスイート全体でのこの責任共有が、リーダーシップやイノベーションのあり方を変えています。」
ユナイテッド航空
この変化の多くは、セキュリティが後回しにされた場合に何が起こるかを組織がすでに経験していることに起因しているとオレクサック氏は指摘します。これは1990年代のインターネット普及時に業界全体で起こったことであり、Cスイートのダイナミクスが変わらなければAIも同じ道をたどる可能性があると彼は考えています。
「同じ過ちを繰り返す余裕はありません」と彼は言います。「AIを責任を持って導入するには、CISOが戦略と実行の中心にいなければなりません。CISO主導で経営陣が支援する“セキュリティ・ファースト”のアプローチこそが、AIが企業を強化し、弱体化させない唯一の方法です。」
サイバーとITの連携の再構築
AIの登場は、ITとセキュリティ組織の連携方法も変え、リアクティブなセキュリティからプロアクティブかつ戦略的な協働へと焦点を移したとデフィオーレ氏は言います。
「今ではAIの取り組みの最初からサイバーセキュリティを組み込み、チーム横断で密に連携し、イノベーションが安全かつ倫理的に進むよう努めています」と彼女は強調します。「責任あるAIへのコミットメントにより、すべてのソリューションが透明性、公平性、説明責任を念頭に設計されています。」
また、Aya Healthcareのプロダクトマネジメント担当上級副社長であり、組織のセキュリティを管理するジェイソン・ランダー氏も、サイバーセキュリティとITの関係性に変化が見られると述べています。
「AIはセキュリティ部門とIT部門の協働、ワークフローの効率化、責任の融合、意思決定や信頼関係の再定義に明らかな変化をもたらしています」と彼は言います。「IT運用はよりインテリジェントかつプロアクティブになり、セキュリティチームは運用支援と可視性を高めています。」
Plante Moranのオレクサック氏は、AIが大半のセキュリティ組織とITの連携方法を大きく変えたとは考えていませんが、徐々に期待値が変化しつつあると見ています。「ITチームはAIによって分析や検知が加速するため、セキュリティもより迅速に動けると考えるようになり、取締役会もCISOをより戦略的な役割として見始めています」と彼は述べます。
同時に、オレクサック氏はCISOがITとは根本的に異なる視点を持っていることが十分に認識されていないと考えています。
「ITの関心はスピードや効率、ビジネスの推進にありますが、CISOの関心はビジネスを守ることにあります。この違いはしばしば誤解されます」と彼は主張します。「AIがディープフェイクやAI駆動のフィッシング、従業員がAIクエリを通じて機密IPを意図せず漏洩するなど新たな強力なリスクをもたらす中で、これらの脅威を予測し緩和できるのはCISOだけです。」
ジル・クネセック氏(BlackLineのCISO)は、同社のCIOにレポートしています。彼女によれば、チームはもともと密に連携していましたが、AIによってその関係はさらに強化されたといいます。
「今では、私たちが行うすべてのことについて足並みをそろえる必要があります」と語るクネセック氏は、以前FBIサイバー犯罪班の捜査官やマテルのCISOも務めていました。AIツールはリスクを増やすと同時に、機会ももたらすからだと彼女は言います。
仕事の性質の変革
AIはAya Healthcareにおいてさまざまな改善を可能にしており、繰り返し作業の効率化や自動化によってセキュリティ業務の進め方が進化しているとランダー氏は述べます。
「AIツールはデータの取得を迅速化し、意思決定をスピードアップさせることで、チームメンバーがより戦略的な課題に集中できる時間を生み出しています」と彼は言います。「私たちは引き続き従業員に新しいAIプロセスやツールのスキルアップとトレーニングを行い、システム統合の効率化、即時の脅威検知の迅速化、プロセス改善、全体的なセキュリティ、データガバナンスやアクセス管理への注力を強化しています。」
ユナイテッド航空のデフィオーレ氏も同様で、AIがアラートのトリアージや異常の抽出、繰り返し作業の自動化によってノイズを処理していると述べます。これにより彼女のセキュリティチームは、戦略的分析、脅威モデリング、レジリエンス計画に集中できるようになりました。「運用がより迅速に、より集中し、よりインパクトのあるものになりました。」
ランダー氏は、AIによって自身の日々の業務も変化し、プロセス自動化への注力や過去の組織的選択の再評価、戦略的優先順位の強化が求められるようになったと述べます。
「ガバナンスやリスクに関するより深い知識が求められ、AIの能力をビジネス目標と整合させ、イノベーションとリスク管理のバランスを取る必要があります」と彼は説明します。「Ayaでのすべての投資は100%ミッション主導です。私たちの革新的なテクノロジーは、病院や医療施設が必要な時に最良の臨床医を確保できるようにし、医療従事者が最も重要な患者ケアに集中できる時間を提供します。」
BlackLineのクネセック氏は、AIの最大の活用事例としてセキュリティ運用チームに注目しています。なぜなら多くの工数が必要だからです。BlackLineは独自の24時間365日体制のセキュリティ運用を持ち、クネセック氏は夜間や週末のカバレッジ強化のため、インドオフィスにセキュリティ運用エンジニアを配置する計画です。
「この分野こそ、AIの能力を活用して、グローバルに同等のカバレッジを提供するために多くの人を雇う必要を減らせると考えています」と彼女は言います。
Plante MoranでのAIツールの導入は「AIによる脅威にはAIによる防御で対抗するのが最善策であるという単純な現実を反映しています」とオレクサック氏は言います。しかし、すべてのサイバーセキュリティ施策と同様に、テクノロジーは解決策の一部に過ぎないと彼は指摘します。堅固な防御はトレーニングと文化から始まります。
「私たちは、AIの能力とリスクの両方について全従業員に教育を徹底し、なぜセキュリティプロトコルやポリシーが重要なのか理解してもらうよう努めています」とオレクサック氏。「従業員にAIを恐れてほしくありません。AIはソフトウェアであり、すべてのソフトウェア同様に脆弱性があります。」
ユナイテッド航空のデフィオーレ氏と同様に、オレクサック氏はAIをどれだけ責任を持って使うかが重要だと言います。AIツールは従業員の業務を加速させることができますが、基本を忘れてはいけません。
「例えば、ディープフェイクによる音声詐欺が経営幹部を模倣できる今、電話で指示を確認するような“昔ながら”のセキュリティ習慣がこれまで以上に重要です」と彼は言います。
AIによってコンサルティング会社のセキュリティチームの規模や構造が変わったわけではありませんが、業務の焦点は変わりました。繰り返しのトリアージ作業が減り、判断力やコミュニケーション、セキュリティ文化の強化により注力するようになったとオレクサック氏は言います。「トレーニング、文化、そして昔ながらの良識がこれまで以上に重要になりました。」
サイバーセキュリティをより広範な取り組みに
AIがもたらした複雑さの一つは、テクノロジーやサービスプロバイダー自身のサイバーセキュリティ体制やプロセスを検証する必要性です。AIの影響でこの作業はより広範なものになっているとオレクサック氏は言います。
「ディープフェイクは企業にとって非常に現実的な危険をもたらし、今後ますます増加するでしょう」と彼は説明します。「私たちも例外ではなく、これらのリスクに対応するために冗長でしばしば手動のプロトコルを導入しています。」
Aya Healthcareのランダー氏にとって、AIはチームが注目する新たな機会を多数もたらしています。「私たちは機密データの定義を見直し、再定義しています。また、人間とボットによる行動を区別するためのより優れた検知モデルや手法も導入しています」と彼は述べ、セキュリティ専門家はセキュリティ漏洩リスクの増大にも注意を払っていると付け加えます。
ユナイテッド航空では、チームを再編成し「脅威アナリスト、エンジニア、データサイエンティストをよりアジャイルで協働的なポッドにまとめている」とデフィオーレ氏は言います。
「AIや機械学習の専門知識を持つ人材を選択的に採用する一方で、既存の人材への投資も行っています。AIの仕組みやモデルの検証方法、ツールの責任ある活用法を理解できるようトレーニングしています」と彼女は述べます。
迅速な対応へのプレッシャー
クネセック氏はAIの未知数に懸念を抱きつつも、企業が自社製品にAIを組み込んでいるとアピールできるよう、セキュリティチームに新たな能力の迅速な構築を求めていると述べます。セキュリティとITは「道路やガードレールを敷く運輸チームのような存在で、物事が制御不能にならないようにしています」と彼女は言います。「私たちは一部の分野で猛スピードで作業しており、実際どんな脅威があるのか正確には分かっていません。だからこそ、最も強固なルールを整備するよう努めています。」
ジル・クネセック, CISO, BlackLine
BlackLine
オレクサック氏に共鳴し、クネセック氏は従来型のセキュリティの活用と適切なコントロールの重要性を強く感じていると述べます。基礎的なセキュリティをしっかりと構築することが大きな成果につながると彼女は言います。
「そして、より高度な攻撃について学ぶにつれて……私たちはツールや能力をそうしたリスクに合わせて転換していく必要があります。」今のところ「最も重要なのは、ビジネスが非常に速いスピードで進む中で、今日セキュリティが基礎的な観点からやるべきことを確実に実行していることです」と彼女は述べます。
AIの出力を疑う
組織がセキュリティへのアプローチを再考する中で、オレクサック氏はCISOに「AIの誇大広告に惑わされず、AIは戦略ではなくツールであることを忘れないように」と助言します。「他のテクノロジー投資と同じように扱ってください」と彼は言います。「リスクの優先順位から始め、AIが現実的に役立つ分野を決めましょう。」
つまり、AIは強みも弱みも拡大することを忘れてはいけません。「資産インベントリが不完全だったり、IAMコントロールが甘かったり、パッチ適用の頻度が低い場合、AIはそれらの問題を解決しません。むしろ混乱を加速させます」とオレクサック氏は言います。
導入には慎重なアプローチも重要です。彼は、AIツールをアラートトリアージやログ分析、フィッシング検知など限定的な用途で試験導入し、成果を測定することを勧めています。「人間の判断力を補強することに集中し、置き換えることを目指さないでください」と彼は言います。
セキュリティチームは透明性を通じて信頼も構築します。「チームにAIの出力を疑う訓練をし、経営層や従業員にも利点とリスクの両方を教育しましょう」とオレクサック氏。「CISOの仕事はAIツールを導入するだけでなく、それらが全体のセキュリティ像の中でどのような位置づけか組織に理解させることです。」
連携体制の構築
AIはリスク低減、スピード向上、レジリエンス強化に役立つ場面で活用すべきだとデフィオーレ氏は言います。「特に法務、データ、オペレーションチームと早期にパートナーシップを築きましょう」と彼女は述べます。「組織全体で教育に投資し、倫理観を持ち続けてください。AIの意思決定は現実世界に影響を及ぼすため、組織は慎重にAIを活用し、その利用方法に関する説明責任の可能性も考慮すべきです。」
AIは強力なツールですが、それに意味を持たせるのは人間だとデフィオーレ氏は言います。「ユナイテッド航空では安全が基盤です。AIはより正確かつ俊敏にその約束を果たす助けになりますが、それを支える人間の判断こそが信頼、インパクト、長期的価値を生み出します」と彼女は述べます。
AIは恐れるべきものではありませんが、そのセキュリティへの特異な影響は尊重すべきだとオレクサック氏は言います。
ランダー氏は、AIは単なる新しいツールではなく、「慎重なガバナンス、思慮深い統合、戦略的思考、継続的な学習を要する新たな領域である」と認識する必要があると強調します。「最初からセキュリティを組み込み、部門横断の関係者を巻き込み、AI特有のリスクを予測し、人材と適応的な枠組みに投資することで、CISOは組織がAIの可能性を責任を持って自信を持って活用できるよう導くことができます。」CISOはAI時代に備えて連携体制を構築し、AIをサイロ化せず、共有責任として管理すべきだと彼は推奨します。「今後数年はオープンマインドで、AIをチームの新しいメンバーのように捉え、皆をより良くする存在として受け入れることが求められます」とランダー氏。「未来のCISOはシステムを守るだけでなく、AIを活用したビジネスの成功も守る存在なのです。」
