サイバー耐性強化へAI活用と経営層の責任を強調する声明

声明は、サイバー耐性を事業継続や市場の信頼、長期価値を支える中核要素と位置付けた。組織のリーダーには、リスクや準備状況、責任体制の把握と評価、基礎的なサイバーセキュリティ対策と統制の優先、サイバー担当責任者への権限と資源の付与、脅威や指針の変化への継続的な関与を求めた。成功の鍵は、ツール導入ではなく、基本的な対策の徹底、迅速な対応、サイバーセキュリティを事業戦略の中核に組み込む姿勢だ。対応が遅れた組織は、業務面でも戦略面でも不利な立場に置かれるとした。

AIは将来の課題ではなく、既に現実の問題だと声明は強調した。AIによって攻撃者の技術的なハードルは下がり、攻撃の速度や複雑さは高まっている。脆弱（ぜいじゃく）性の発見から悪用までの猶予は短くなり続ける。反面、防御側にとってもAIは強力な手段となり得る。脆弱性の早期発見、ソフトウェア品質の改善、異常行動の監視、インシデント対応の高速化に使えば、被害の規模や費用を抑えられるとした。

声明は、サイバーリスクを純粋な技術課題として扱う段階は過ぎたとした。いまや経営上のリスクであり、取締役会や経営陣の責任範囲に入る。各組織のリーダーは、サイバー攻撃への備えが形式的な整備にとどまっていないかを確認しなければならない。実際のインシデント発生時に統制が機能すると確信できる状態にした上で、長年続いた優先順位やリスク許容の考え方を見直し、防御強化のためにAIを意図的に使う必要がある。長年続いた優先順位やリスク許容の考え方を見直し、防御強化のためにAIを意図的に使う必要がある。

行動原則として声明は、セキュア・バイ・デザインとセキュア・バイ・デフォルトを標準にするよう求めた。耐性は単一の製品や技術に依存できず、多層防御が引き続き欠かせない。AIシステムの進化に伴い、ゼロデイ脆弱性を含む未知の弱点が出現する可能性も示した。侵害は起きるという前提に立ち、事前準備によって迅速に封じ込め、重大な業務危機や財務危機への発展を防ぐべきだとした。

実務面では5つの対応を挙げた。第1に、攻撃対象領域の縮小だ。不要なシステムアクセスや外部接続を制限し、外部へ公開する必要のないシステムは分離する。第2に、パッチ適用手順の加速だ。AIによって脆弱性発見から悪用までの時間が短くなるため、更新の遅れはリスクを増やす。とくに更新周期が長い運用系システムにおいて、セキュリティ更新の優先度を上げる必要がある。第3に、レガシーシステムへの対応だ。サポート切れのシステムは攻撃の標的になりやすく、単なる技術的負債ではなく戦略上の負債だとした。第4に、IDとアクセス制御の見直しだ。重要システムにアクセスできる人物を絞り、強力な認証を徹底し、権限を定期点検する。第5に、事前のインシデント準備だ。対応計画を試験し、チームを訓練し、侵害発生を前提に迅速な封じ込めと復旧へ焦点を置く。

声明は、防御側もAIを活用すべきだと強調した。敵対者は既にAIを使い、より速く、より効果的に動く。防御側がAIツールをセキュリティ運用へ組み込めば、脆弱性の検知や品質管理、監視、対応の各段階で効果を得られる。声明は最後に、フロンティアAI開発の速さにより、サイバーリスクに関する前提は数ヶ月で古くなると警告した。サイバー耐性はIT部門だけの課題ではなく、業務継続と市場の信頼を支える中心課題だ。今動くリーダーはリスクを抑え、耐性を強化し、顧客、パートナー、投資家の信頼を高められる。遅れる組織は、避けられたはずのリスクを抱えることになる。ファイブアイズは、サイバーセキュリティ分野で透明性のある協力を進めており、脅威情報の共有は集団安全保障に欠かせないとして、産業界とベンダーに即時の行動と協力を呼びかけた。