急速に進化する今日のテクノロジー業界では、人工知能 (AI) がこれまでにないペースで業界を変革しています。しかし、AI は生産性の向上が評価されることが多いものの、サイバーセキュリティへの影響も同じくらい、あるいはそれ以上に深刻です。
Breach Secure Now の CEO、Art Gross 氏は、特に中小企業やマネージド サービス プロバイダー (MSP) にとって AI がサイバーセキュリティの実践に及ぼす影響について洞察を共有しました。彼の会話では、AI による生産性の向上を活用することと、AI がもたらす新たなサイバーセキュリティのリスクに対処することの間の重要なバランスが強調されました。
中小企業向けの AI の新たなフロンティア
多くの中小企業が、効率性と生産性の向上という期待に駆られて AI テクノロジーの検討を始めています。Art Gross 氏が指摘したように、多くの経営者が AI の急速な進歩に懸念を抱いており、その多くは AI が業務を効率化する方法に焦点を当てています。しかし、グロス氏は、生産性だけの問題ではないことを強調しました。企業は、特にサイバーセキュリティの観点から、AI がもたらす潜在的なリスクにも注意する必要があると警鐘を鳴らしました。
サイバーセキュリティにおける AI の二重の役割: 生産性と保護
Art Gross 氏が指摘する重要な点は、AI は生産性とサイバーセキュリティという 2 つの観点から見る必要があるということです。効率の最大化に重点を置くクライアントにとって、AI ツールはワークフローを大幅に強化し、企業がより少ないリソースでより多くのことを行うのに役立ちます。サイバーセキュリティに関心のある人にとって、AI は脅威を軽減したり、新しい脅威を生み出したりすることができます。
プラス面としては、AI は脅威の検出と応答時間を改善することで、サイバーセキュリティ対策を強化できます。AI アルゴリズムは、従来の方法よりもはるかに効率的にパターンを分析し、異常を検出し、潜在的な脅威を特定できます。しかし、AI は悪意のある者の手に渡ると、サイバー犯罪者にとって強力なツールになります。ディープフェイク ビデオの生成から非常に説得力のあるフィッシング詐欺の作成まで、攻撃者は AI を活用して悪意のある活動をより効果的にし、検出を困難にすることができます。
Art Gross 氏と彼のチームは、長年にわたり、より強力なサイバーセキュリティ対策を提唱してきました。注目を集めるデータ侵害が増えているにもかかわらず、多くの企業は自分たちが標的ではないと信じて油断していません。同氏は、「ファイアウォールとウイルス対策ソフトウェアがあるので、それで十分だ」という声を頻繁に耳にします。しかし、AI によるサイバー攻撃の高度化が進むにつれて、これらの基本的な防御ではもはや十分ではないことが明らかになっています。
サイバーセキュリティと AI トレーニングのギャップを埋める
Art Gross 氏は、彼のチームが AI の性質に対処するための特別なトレーニング プログラムを開発してきたと説明しています。かつて Microsoft 365 に合わせたサイバーセキュリティ トレーニングを作成したのと同様に、現在では AI がサイバーセキュリティに与える影響に焦点を当てたコースを提供しています。これらのコースでは、生産性向上のために AI ツールを使用する方法や、AI に関連するサイバーセキュリティの脅威について従業員を教育する方法を取り上げています。
トレーニングへの移行は、一般的なサイバーセキュリティの概念から、より高度なツール固有の教育への移行に似ています。Art Gross 氏によると、これは基本的な数学の指導から代数の導入に移行するようなものです。脅威がより高度になるにつれて、複雑さが増しています。昨今、企業は、ChatGPT などの AI ツールやその他の生成 AI プラットフォームによって作成されたフィッシング メールなど、AI 固有の詐欺について従業員を改めて研修を行う必要があります。
AI が生成したフィッシングと詐欺の脅威の高まり
Art Gross 氏が指摘する最も懸念される傾向の 1 つは、ターゲットを絞ったフィッシング詐欺を個別生成する AI です。以前は、フィッシング メールは文法が間違っていたり、明らかな間違いがあったりして、簡単に見破られることが多かったのですが、AI が生成したフィッシング メールはほぼ完璧であるため、見破るのがはるかに困難になっています。
「今では、表現に違和感のあるメールを探すのではなく、完璧すぎるメールには注意する必要があります。」
巧妙さは文法やスペルだけにとどまりません。サイバー犯罪者は現在、過去のデータ侵害の情報とソーシャル メディアで公開されている情報を組み合わせて、高度にパーソナライズされた詐欺を作成しています。たとえば、LinkedIn や Dropbox からユーザーのデータが漏洩した場合、攻撃者はその情報を AI システムに入力して、その個人の業務や興味関心に特化した専用メールを生成することができます。このレベルのパーソナライズにより、個人がフィッシングの試みを認識することがますます困難になっています。
意識向上の重要性
AI によるサイバー攻撃の脅威が高まっていることから、Art Gross 氏はサイバーセキュリティ意識向上トレーニングの重要性を強調しています。従業員に詐欺の兆候を見抜くよう教えるだけではもはや十分ではありません。代わりに、組織は基準を引き上げ、攻撃がいかに巧妙になっているかを従業員に確実に認識させる必要があります。
Art Gross 氏はサイバーセキュリティ トレーニングと教育レベルを類推しています。
「小学校で学んだ知識しかなく、大学レベルの知能で攻撃されたら負けです。従業員や人間をその知能と意識のレベルに引き上げる必要があります。従業員や人間が詐欺を見抜くのは難しくなると思いますが、同時に詐欺に関する教育レベルも高める必要があります。そうしないと、従業員は被害者になり、詐欺が何なのかまったくわからないままになります。諦める時ではないと思いますが、従業員に何を伝え、何に注意すべきかについて、もっと真剣に取り組む時が来ていると思います。」
従業員が詐欺を見破る初歩的な訓練しか受けていない場合、大学レベルの攻撃者に太刀打ちできないでしょう。解決策は、こうした新たな脅威に正面から対処できるよう訓練を強化することだと彼は主張しています。犯罪者が AI をどのように活用しているかについて従業員の認識を高めることで、組織はチームがより高度な詐欺を認識して対応できるよう、より適切に準備することができます。
AI 革命に向けて MSP を準備する
マネージド サービス プロバイダー (MSP) は、サイバー セキュリティと AI 導入の複雑さを乗り越えて中小企業を導く上で重要な役割を果たします。しかし、多くの MSP は、顧客と AI について話し合うことにまだ慣れていません。Art Gross 氏は、MSP はマネージド サービスやクラウド ソリューションについて話すことには長けていますが、AI は多くの人にとって新しい話題であると指摘しています。
AI は本質的に複雑で、機械学習、自動運転車、ロボット工学などの概念はしばしば圧倒的に感じられます。しかし Art Gross 氏は、MSP が顧客と有意義な会話をするために AI の専門家である必要はないと考えています。むしろ、技術的な詳細にこだわるのではなく、AI の実用的な用途と潜在的なメリットを強調しながら、AI について高レベルで話し合うことに焦点を当てるべきです。
AI とサイバーセキュリティの未来を受け入れる
AI は、サイバーセキュリティの状況を根本的に再形成しています。中小企業や MSP にとって、AI の可能性とリスクを理解することは不可欠です。Art Gross が適切に述べているように、鍵となるのはバランスの取れたアプローチを開発することです。つまり、AI を生産性向上に活用しながらも、その誤用には警戒を怠らないことです。
目標は恐怖心を植え付けるのではなく、用心深く準備万端の考え方を養うことです。従業員を教育し、MSP が顧客と積極的に会話できるようにすることで、組織は AI がもたらす課題と機会を乗り越えることができます。
将来は不確実かもしれませんが、適切なトレーニング、ツール、考え方があれば、企業は AI 主導のサイバー脅威の高まりから身を守ることができます。