逆をいうと、サービス事業者はユーザーによる多要素認証の利用を必須要件にするべきだろう。利便性が下がることで利用者が他社サービスに移行することを恐れて多要素認証の導入を控えてきたという事業者もいるようだが、AIによってなりすましメールやフィッシングサイトが本物かどうか見分けづらくなった今、利便性と安全性の両立が強く求められている。
企業においては、AIによって行われるサイバー犯罪に対してAIで対抗することを標準にすることだ。サイバー犯罪の精度もスピードも変わる今、脅威の分析や対応を人手を中心に行う従来のアプローチには限界がある。脅威をリアルタイムで検出したり、検出した脅威に自律的に対応したりすることで、被害を防ぐために、積極的にAIを活用することだ。
なりすましメールの精度が高くなっている現状を考えると、サービス事業者であれ企業であれ、DMARCのようになりすましメールを防止する技術を積極的に活用することだ。単に導入するだけでなく、本物のメールだけが届くようにするための運用上のポリシー強化は日本企業が特に踏み込んでいくべきだろう。
AIの精度はデータの量、種類、モデルで決まる。AIを活用したサイバーセキュリティ製品の選定にあたっては、どれだけの種類・量のデータを有しているか、どれだけのモデルを開発し続けているかに目を向けることだ。
またAIドリブンといいながら、ユーザー側で設定変更やチューニングをしなければ脅威の検出精度が上がらないといったサイバーセキュリティ製品もあるため、出荷時設定でどれだけ高い精度で脅威を検出できるかも評価することだ。ここでは同じ条件下で行われた第三者による性能評価は参考になるだろう。
企業におけるAI活用においても、「AIは危ない」と漠然とした状態を続けるのではなく、従業員がどの生成AIサービスにアクセスしているか、どんなデータをプロンプトに流しているか、組み込む生成AIサービスにどんなリスクが内在しているか、学習させるべきではないデータを取り込んではいないかを可視化することだ。可視化しなければリスク評価もできなければ制御することもできない。
利便性の高いサービスが登場すると、後先考えずに飛びつくのは人間の習性だろう。これまでに登場したさまざまなテクノロジーと同様に、AIは我々の生活やビジネスをより良くする可能性を持つと同時に、サイバー犯罪の世界でも悪用され、また活用方法を間違えると取り返しのつかないリスクに晒されることになる。リスクを理解した上で安全性も考慮して正しく利活用することが重要だ。AIの登場で我々のデジタル活用のあり方が改めて問われている。
連載:「あの」インシデントから紐解く企業セキュリティの本質
過去記事はこちら>>
