Pieter DanhieuxはSecure Code Warriorの共同創業者兼会長/CEOである。
ビジネスリーダーたちが、ChatGPTなどの大規模言語モデル(LLM)によるコンテンツやコード生成、あるいはエージェント型AIのより積極的な意思決定能力など、AIがもたらす潜在的な利益に夢中になるのは当然のことだ。
より高度な自動化や予測分析から、顧客関係の強化、より情報に基づいた戦略的計画まで、あらゆる可能性が検討されている。しかし、AIに夢中になっている経営陣の会議室には、もう一つの声が必要だ—特に、急速に広がるAI利用に伴うセキュリティリスクの重要性と、サイバーセキュリティリスクをビジネス優先事項として管理することの重要性を訴える声である。
組織は今、AIの爆発的な普及によって転換点を迎えており、これはビジネスの運営方法に大きな変化をもたらすことを約束している。
そのため、CISOは不安定な立場に置かれている。組織のデータとアクセスの門番として、彼らは企業のセキュリティを確保しなければならない。しかし、広範囲にわたる、そしておそらくチェックされていないAI利用への猛進は、多くのCISOが現在の組織構造の下では対処できないセキュリティ問題の洪水を引き起こす可能性がある。
CISOはより大きな影響力を必要としている。そして、リーダーおよび戦略的ビジネスパートナーとしての影響力を高める必要がある。
ビジネスリーダーにAIリスクを教育する
CISOはどのように影響力を高めることができるだろうか?まず、AIのリスクを明確なビジネス用語で実証し、定量化することで予算獲得の戦いに勝たなければならない。
もちろん、サイバーセキュリティの重要性はビジネスエグゼクティブにとって馴染みのない概念ではないが、LLMやエージェント型AIが猛烈なペースでコードを作成・展開する能力は、現在のリスクを増大させ、安全でないコード生成や知的財産の漏洩から、インジェクション攻撃の脆弱性、アクセス制御の弱点、そして最終的には法的責任に至るまで、新たなリスクをもたらす。
取締役会メンバーに、無制限のAI開発がもたらす具体的だが見過ごされがちなセキュリティへの影響について教育することが重要だ。そしてCISOは、技術的な専門用語を財務パフォーマンスや評判の損害に関する現実世界のリスクの説明に変換し、ビジネスリーダーに響く言葉で課題を説明する必要がある。
その過程で、セキュリティへの投資の明確なROIを示し、単なるセキュリティ実務者としてではなく、組織のブランドと評判の不可欠な守護者としての立場を確立することができる。
LLMとエージェント型AIがセキュリティの基準を引き上げる方法
OpenAIのChatGPT、GitHub Copilot、AnthropicのClaudeなどのLLMは、開発者の効率を向上させ、彼らが生産できるコードの量を大幅に増加させた。次世代のソフトウェアコードは、バイブコーディングのような新しい技術によって書かれ、加速されている。これにより、開発者が平易な言語でプロンプトを発行し、LLMに実際のコードを処理させることで、コード生成がさらに容易になる。
AIの生産性—そしてリスク—は、AIシステムがより自律的に行動し、最小限の人間の介入で意思決定し、目標を追求するエージェント型AIの出現により、新たなレベルに達している。エンタープライズ内のすべてのドメイン—エッジのコンテナまで—にわたってデータを収集し、独立した行動を開始するエージェント型AIシステムであるAgentic Opsは、すでにビジネス運営における次の大きな革新として称賛されている。
しかし、エージェント型AIは追加のセキュリティリスクももたらす。例えば、通常はLLMと連携して動作するが、LLMは欠陥のあるデータでトレーニングされることによるバイアス、幻覚、ミスに対して脆弱である。AIシステムはまた、プロンプトインジェクションやリモートコード実行攻撃にも脆弱だ。エージェント型AIを統合・調整するために使用される新興プロトコルであるModel Context Protocol(MCP)は、脆弱性や設定ミスを引き起こす可能性のある複雑なプロセスを含んでいる。
一方、サイバー犯罪者やその他の悪意ある行為者たちは、エージェント型AIを使用して強化・加速できる攻撃を通じて、AIを利用する独自のアイデアを持っている。
サイバーセキュリティ企業Team 8による最近の報告書によると、CISOの4人に1人が過去12カ月間にAIによって生成された攻撃の被害者になったと報告している—ただし、報告書の著者は、AIが人間の行動を模倣し、多くの検出方法を回避する能力があるため、実際の数はより高い可能性があると指摘している。
実際の数がどうであれ、AI生成攻撃はCISOの最大の懸念事項となり、脆弱性管理、データ損失防止、サードパーティリスクなどの確立された懸念事項を上回り、不眠の夜の主な原因となっている。CISOが最も多く挙げた具体的な懸念は、AIエージェントの保護(回答者の37%が指摘)と従業員によるAIツールの使用の管理(36%が指摘)だった。
これらすべてが組み合わさり、CISOの仕事をより大きく、よりストレスの多いものにし、企業の成功に絶対に不可欠なものにしている。
協力の文化を育む
ビジネスの基本的なツールとしてのAIの台頭は、CISOが主導権を握る、企業全体でのアプローチでそれらのシステムを保護することを必要としている。CISOは取締役会のテーブルに席を確保する必要がある—必要であれば戦ってでも—影響力を高めるために。彼らはまた、CIOや場合によってはCEOと協力して、セキュリティリスクとそれがビジネスに与える潜在的な影響を明確に定義することができる。
セキュリティとビジネス成果の両方を結びつける物語を紡ぐことで、彼らは予算を財務的損失、評判の損害、規制上のミスを最小限に抑えることに結びつけることができる。実行可能なサイバーセキュリティ計画がセキュリティを向上させるだけでなく、より効率的で生産的なソフトウェア開発への道を開くことができる方法について、取締役会を教育する(誇張ではなく事実で)。
CISOの影響力は経営幹部を超えて企業全体に及ぶ必要がある。特に、ソフトウェアセキュリティの基盤を築くことができる開発者に対してだ。
開発サイクルの初めに安全なコーディング実践について継続的かつ実践的な教育を受ける開発者は、彼らが作成するコードの安全性とセキュリティを確保するとともに、AI生成コードが基準を満たすことを保証できる。開発者が必要とするスキルを決定し、その進捗を測定するためのベンチマークを使用することは、ソフトウェアの脆弱性を軽減するために不可欠であり、AIツールとエージェントのトレーサビリティとセキュリティ評価も同様に重要だ。
特定のサイバーセキュリティの懸念事項を強調し、AI駆動のソフトウェア開発のビジネスリスクを組織のリーダーシップに明確に伝えることで、CISOは技術志向のセキュリティ監視役から、AI時代における企業戦略の不可欠な柱へと役割を変革することができる。
