ISACA最高グローバル戦略責任者クリス・ディミトリアディス氏の見解。
AIのパワーについて、2つの視点から考えてみよう。まず、AIが十分に主流になりつつあり、一部の組織がイノベーションのためにAIに依存し始めていることを考えてみよう。次に、近い将来、ほとんどのコードがAIツールで作成される可能性があることを認識しよう。
AIの導入以前から、サイバーセキュリティ人材の不足は既に重大な課題だった。AIの急速な台頭により、特別な技術スキルを必要としない攻撃者によって、意図のスピードでサイバー攻撃が発生し始めるにつれ、この課題はさらに拡大する見込みだ。
言い換えれば、AIの加速的な使用—技術を武器化しようとする悪意ある行為者と、イノベーションを追求する世界中の企業の両方による—は、既存のサイバーセキュリティ人材不足を持続不可能なほど悪化させている。この拡大するギャップは、グローバルなサイバーセキュリティの状況における分岐点を示しており、人材を強化し、新たなAI駆動型の脅威に対するレジリエンスを構築するための緊急の行動が求められている。
サイバーセキュリティ人材ギャップの解消
現実には、この急速に変化する不安定な状況に備えた人材がまだ整っていない。
多くの企業は、サイバー脅威の量と洗練度の指数関数的な増加から保護するサイバーセキュリティアーキテクチャとテクノロジーを構築するスキルを欠いている。同時に、ほとんどの組織はAI実装によってもたらされる脆弱性への対処に苦戦している。
AIは責任を持って展開される前に、監査されリスクが徹底的に精査される必要がある。しかし、セキュリティ、リスク、プライバシー、ITオーディットなどのデジタルトラスト分野のほとんどの専門家は、これを行うスキルを持っておらず、組織全体でAIがどのように、なぜ、どこで使用されているかを理解することさえできていない。
現状維持は世界経済に災害をもたらすことになるため、迅速に多くの進展が必要とされている。
私の組織であるISACAは、最近3000人以上のデジタルトラスト専門家にAIについて調査を行った。回答者の28%のみが「組織にAIに関する正式で包括的な方針がある」と回答した一方、81%は「組織内の従業員が、許可されているかどうかに関わらずAIを使用している」と考えている。
この調査はまた、AIがディープフェイク、フィッシング、ソーシャルエンジニアリング攻撃をセキュリティ専門家が対抗するのをより困難にすることについて、デジタルトラスト専門家の間で高いレベルの懸念があることを示している。これにより、既に要求の厳しい分野にさらなる複雑さとストレスが加わっている。
つまり、この時代に世界経済を守ることができるサイバーセキュリティ人材の構築は、ますます困難な課題となっている。
AIサイバー脅威の時代に備える
これらの問題を解決するために、民間セクターがすべての答えを持つことは期待できず、政府、規制機関、業界団体からの支援が必要となる。
その点では、進展が見られる。欧州では、EU AI法、DORA、NIS2などの最近の規制が、デジタルトラスト専門家に対して標準化、説明責任、ガイダンスの強化を提供している。世界中の他の司法管轄区域もこれに続き、規制環境に独自の特色を加えている。
規制措置を補完するために、政府は組織がより安全にイノベーションを起こすのを助ける実質的なガイダンスを提供できる。最近の優れた例として、英国政府が発行したサイバーガバナンスおよびソフトウェアセキュリティ実践規範がある。業界専門家からの有意義な意見と国立サイバーセキュリティセンターの支援を受けて開発されたこれらの規範は、組織がリスク管理とレジリエンスのレベルアップのためのロードマップを特定するのに役立つ。
多くの場合、企業のリーダーは組織のセキュリティ確保について善意を持っているが、彼らを脆弱にするギャップを評価し修正する方法が不明確である。ビジネスコミュニティに詳細なベストプラクティスを提供することで、政府はデジタル経済を強化する実用的なガイダンスを提供するだけでなく、サイバーセキュリティが国家安全保障の重要な要素であるというメッセージを発信することもできる。
しかし、これらの措置は一般的に前進ではあるものの、組織は改善の方向性を設定するために規制に依存すべきではない。長い間、企業はセキュリティを検出と予防の文脈で考えてきた。これらの要素は重要だが、回復力、レジリエンス、事業継続性に関する組織の成熟度レベルを高めることにもっと重点を置く必要がある。
必要な多層的な進歩を達成するために、組織は継続的に人材への投資にコミットしなければならない。ビジネスモデルとサイバー脅威は急速に進化しているのに、なぜトレーニングへの投資は静的なままなのだろうか?
組織はまず、空いているセキュリティ職の積極的な採用に取り組むべきだ。新規および既存の従業員に対しては、AI駆動型の脅威に対抗するためのチーム装備を維持するために、関連する資格と専門能力開発への投資が不可欠となる。
これには、垂直的にも水平的にも訓練された専門家を育成するためのクロスドメイントレーニングの提供が含まれる。これらの専門家は、ビジネスパートナーが達成しようとしていることを理解し、その目標を責任を持って達成するためのセキュリティと保証を提供する必要がある。
結論
急速なAIの進歩の中でデジタルエコシステムのレジリエンスを強化することは、真空の中で成功するには大きすぎる取り組みである。政府と業界団体は、明確なガイダンス、フレームワーク、ポリシーを開発することで必要な支援を提供し、組織がこの複雑な環境を安全にナビゲートできるようにすることができる。
しかし、企業はまた、トレーニング、資格認定、分野横断的な専門知識の強調に大胆に投資することで、人材を準備する必要がある。規制のベンチマークは役立つが、企業はコンプライアンスを超えて、イノベーションを保護し、セキュリティとレジリエンスの文化を構築できる有能で機敏なチームを構築するための積極的な措置を講じる必要がある。
これらの連携した取り組みにより、デジタルトラスト人材は世界経済を守り、組織が安全かつ責任を持ってAIの恩恵を受けることができるようになる。しかし、すべては人から始まることを忘れてはならない。これが、できるだけ早くより強力なサイバーセキュリティ人材を構築する必要がある理由である。
