Quick Look
AIによるサイバー攻撃の増加に対応するため、基礎対策の徹底、セキュリティの練度向上、IT運用とセキュリティ運用の統合が不可欠。特に日本では、IT部門とセキュリティ部門の分断が課題であり、組織的な統合が求められている。
AI-generated summary
Why It Matters
AIによるサイバー攻撃の増加は、単純な攻撃量の増加という形で現れており、これに対応するには基礎対策の徹底が極めて重要である。
フロンティアAIによる攻撃側の変化のうち、やはり最も厄介なのは単純な攻撃量の増加だろう。いつの時代においても争いでは物量がものをいう。そしてAIによる“手当たり次第の圧倒的な物量攻撃”に対応するには、基礎対策を徹底することが極めて重要だ。
サイバーセキュリティの世界では、どうしても技術的に深い領域や新しい領域が華やかで目立ちやすく、世間の関心を集めがちだ。しかし、圧倒的な物量を前に、現実的な防御力に最も差をもたらすのは、何よりも基礎の強度だ。これは前回触れた建築業界と全く同じだ。どんなに高度な対応をしていても、基礎的な部分で隙間が多いと攻撃の多くがすり抜けてしまい、圧倒されてしまう。一言で言うと「基礎的な部分がみっちり、かつきっちりできていないと、その上に位置する応用的対策が成り立たなくなっている」状況が来ているのだ。
ポイントは、基礎の網羅性、厳密性、そしてスピードだ。今やセキュリティはなんとなく頑張っている、のでは通用しない。「仮にセキュリティの第三者評価で他社よりずっと高いスコアを誇っていても、仮に全社的に99%完璧な対策ができていても、たった1件でも特権管理に不備があったり、VPNの脆弱性が放置されていたりすると、マイナス1万点なのです」と私は最近顧客に伝えている。
クリティカルな脆弱性や管理者権限というのは、それぐらいAIに悪用された時の全体へのインパクトが計り知れない。脅威ハンティングをやっています、自前のレッドチームを持っています、と言ったところで、これらの基礎ができていないと、華やかな防御は実効性の観点では何の意味もなさない。
基礎の部分に隙間ができないよう、入念にみっちりと備えてこそ、初めて応用的対策が加点要素として生きてくるのだ。それに、応用的対策はかかるコストも要求される専門スキルも高い。基礎的対策に不備があるとベーシックなところに労力が割かれ、効率も悪い上に余計な消耗をしてしまうことになる。
変化2:セキュリティの“練度”を高められるかどうかがキーになってくる
欧米ではAIが台頭する前からこのような基礎的な領域の重要性を理解し、しっかりと経験を積み重ねてきている企業も多い。そのような企業では、単にプロセスやコントロールが導入されているかどうかは議論するまでもなく、むしろその質的側面に着目して、どこまで網羅的に、迅速にできるかを厳密に測定しながら改善を積み重ねている。
それはすなわち、“セキュリティをどこまで鍛えられるか”と言い換えられる。セキュリティは防衛である故に、“練度”が極めて重要となるのだ。その観点において、継続的改善を積み重ねるためには、データドリブンなオペレーションが前提となる。
基礎的取り組みに関するKPIをしっかりと持った上で、繰り返し追い込んでいく。そして最近ではさらに意識的にレジリエンシー(問題からの回復・修復能力)を高めるために、サイバーセキュリティにカオスエンジニアリングのコンセプトを導入する動きもある。これにより、本番さながらの障害やインシデント状況を意図的に引き起こし、有事に対処するための経験値を積極的に獲得できる。
残念ながら日本国内を見渡すと、そこまでできている企業は極めて少ない。読者の企業では漫然と基礎的対応をやっていないだろうか。市場で流行りのキーワードに乗せられて、場当たり的な対応をしていないだろうか。改めて、本気で基礎力の鍛錬に取り組んでいただきたい。
変化3:IT運用とセキュリティ運用の垣根がなくなってくる
基礎的対策が重要なことは伝わったと思う。そして国内の企業で、そのような基礎的対策が、IT運用とセキュリティ運用の狭間に落ち込んでしまっているケースが大半だ。
なぜなら日本ではIT運用部門とセキュリティ運用部門が組織として分かれていることが多い。多くの企業で、IDやアクセスの管理、パッチ管理、バックアップという基礎的な運用はIT部門で管轄し、セキュリティ部門では、脆弱性情報の収集、セキュリティアラートの監視などを担当しているケースが多い。
従来のIT運用においてはハードウェアやネットワークの障害対応など、可用性確保を主目的とした低レイヤーでの運用負荷が高かった。しかし、クラウドの普及などによって、その辺りの運用負荷が以前より減っている。一方で、繰り返される緊急のセキュリティパッチ適用や厳格な特権管理など、セキュリティに起因した運用の負荷は日に日にその割合が高まっている。
そしてここにきてAIの脅威を前に、いよいよITシステムそのものの在り方が変わろうとしている。ITシステムは安全でないと成り立たないし使えない。セキュリティ意識の低いIT運用など、企業にとって極めて大きなリスクになってしまう。だから、もはやセキュリティと切り離してIT運用を語ることには効率の観点でも効果の観点でも何のメリットもない。
だからこそ、今まさに組織としてIT運用とセキュリティ運用の統合が求められている。現実的にはIT運用とセキュリティ運用を別々の運用ベンダーに任せているような企業も非常に多いため、それは簡単ではないだろう。ただ、今後企業がITシステムを問題なく、効率良く使っていくためには、恐らくその統合が肝となってくる。
What to Watch
AI outlook — possibilities, not facts
IT運用とセキュリティ運用の統合が進まない企業は、AI攻撃による被害リスクが高まる。
Likely · Within months
Open Questions
- 日本の企業はいつまでに運用統合を達成できるか?
- AI攻撃の進化は今後どのように進むか?






