サイバーリスクソリューション大手ResilienceのCEO兼共同創業者、ヴィシャール・「V8」・ハリプラサド氏。
メディアの見出しは、サイバーセキュリティ業界が最大の脅威として注目する警告で溢れている。AI(人工知能)を活用した攻撃、ダークウェブに潜む「悪のGPT」モデル、ディープフェイクを駆使した詐欺、そして現在の暗号化を破る量子コンピューティングのカウントダウンなどだ。
これらの脅威は現実のものである。量子コンピューティングは新たな暗号化リスクをもたらすだろう。AIとディープフェイク技術はソーシャルエンジニアリングを強化する。これらの脅威を無視するのは愚かなことだ。
しかし、私が感じるのは、世間の議論を支配するものと、実際に金銭的損失を引き起こすものとの間に乖離があるということだ。複雑な脅威は、その現在の頻度や深刻度に比べて過度な注目を集める一方で、はるかに一般的な障害が静かに最大の損害をもたらす可能性がある。
私の経験では、組織が現在直面している最大のサイバーリスクの一部は、人的ミスに起因している。フィッシングの兆候の見逃し、脆弱または不在の認証、その他の衛生管理上のギャップが、管理可能なインシデントを重大な損失に変えてしまうのだ。
次世代の技術的侵入よりも、サイバーセキュリティリスクの将来は、防止可能な人間の過ちの結果によって定義されると私は考えている。問題は、企業が基本を正しく実行することにコミットするかどうかだ。
人間がナンバーワンのセキュリティリスク
私は日々これを目の当たりにしている。重大な損失につながるインシデントは、斬新な手法の結果であることはまれだ。一般的には、プロセスの失敗、資産管理の不備、人的ミスといった馴染みのある障害に起因している。これらのエラーは、人間がデジタルエコシステムのあらゆる層に組み込まれているために発生する。
私の組織の推定では、2025年の総請求額の78%が、人間に起因する障害ポイントから発生した。これらの障害は、必ずしもリンクの誤クリックのように見えるわけではない。ある国際金融サービス企業では、機密性の高い顧客データを含む暗号化ドライブが、オフィスビルの裏のゴミ箱に捨てられた。それは持ち去られ、データは後にダークウェブで販売された。
あるサイバーセキュリティSaaS企業では、IT チームが従業員を解雇した後、ログイン認証情報を取り消さなかった。元従業員はログインし、機密データをエクスポートしてオンラインで販売した。あるロボット製造企業では、重要なサポート終了オペレーティングシステムが「オフラインにするには重要すぎる」と見なされ、パッチが適用されなかった。それは数週間の強制ダウンタイムにつながり、リスク受容と人的ミスの境界線を曖昧にした。
これらのインシデントはいずれも最新の技術進歩を必要としなかったが、顧客の喪失や数百万ドルに上る可能性のある規制上の罰金という重大な結果をもたらした。フィッシングの成功は請求額の比較的小さなシェアを占めるかもしれないが、総損失の大部分を占め、最も金銭的に損害を与える攻撃ベクトルの1つとなっている。
同様に、私の組織が2025年に遭遇した脆弱性のほとんどは、既知の問題であり、斬新またはAI主導の手法ではなかった。脆弱性がエラーの問題になるか、悪用の問題になるかには微妙な境界線がある。現在、多くの組織は、基本がプレッシャーの下で失敗するために大きく損失を被っている。
サイバー衛生管理の重要な役割
多要素認証の欠如や不適切に構成されたバックアップなどのギャップは、請求件数に有意義に寄与している。ほとんどの組織は「良い」セキュリティがどのようなものかを知っているため、これらは業界が埋める必要のある知識のギャップであることはまれだ。
課題は、一貫した実装、検証、保守にある。不均一に展開され、機能していると想定され、環境が静かに進化する中で手つかずのまま放置されたコントロールは、盲点となる。時間の経過とともに、これらの盲点はセキュリティホールを生み出す。
例えば、サイバー衛生管理が強固だと信じていた2つの地域病院を考えてみよう。しかし、組織が攻撃を受けたとき、医療結果を保持する主要システムがバックアップされていなかったことが判明した。復旧は停滞し、重要な患者ケアが中断された。適切なテストがあれば、ギャップはより早く発見されたかもしれない。
サイバー衛生管理は退屈かもしれないが、効果がある。マイクロソフトは、サイバー攻撃の98%が基本的な衛生管理で回避できると推定している。
人間主導の損失がコストのかかる理由
人的ミスが常に要因であったなら、なぜ今それほどコストがかかるように見えるのか。組織は、ガバナンス、セキュリティポリシー、または運用上の厳格さが追いつくよりも速く新しいツールを採用している。AIは生産性を加速させる一方で、複雑さを増し、エラーのマージンを圧縮する。
企業はサイバー衛生管理疲労を経験している。基本的なコントロールは「解決済み」の問題として扱われるため、チームはそれらを積極的に検証、テスト、保守することをやめる。時間の経過とともに、これらの基本は一貫性なく適用されるか、静かに劣化する。チームが気にしないからではなく、注意がより緊急の優先事項に移るからだ。
適切な可視性のない自動化への過度の依存は、新たなリスクを生み出す。AI支援コーディングは、観測可能性とレビュープロセスが成熟していない場合、チームが検出できるよりも速くソフトウェアに脆弱性を導入する可能性がある。
AIと量子技術は、将来の攻撃の規模とスピードを増幅させるだけのように見える。人間がすでにドアを開けたままにしているとき、攻撃者は侵入するためにそれらを必要としない。
将来がリーダーに求めるもの
教訓は、これらの新たな脅威を無視することではなく、優先順位のバランスを取り直すことだ。組織は、避けられない攻撃の影響を減らすことに焦点を当てるべきだ。それは3つのことから始まる。
1. サイバー衛生管理を取締役会レベルの優先事項にする。サイバーセキュリティ衛生管理は、コンプライアンス以上のものでなければならない。基本は機能する。レジリエントな企業について最も示唆に富むシグナルの1つは、トップダウンのセキュリティ文化だ。
2. コンプライアンスと意識向上トレーニングを超える。従来のコンプライアンストレーニングは、抽象的なルールと非現実的な期待で従業員を圧倒することで疲労に寄与する。代わりに、従業員とより深く関わり、セキュリティ対策が実施されている理由について、具体的で現実世界の理解を与える。
3. プロアクティブなサイバーリスクマインドセットへのシフト。すべての脅威から防御することは不可能だ。侵害は発生するため、組織のマインドセットをレジリエンス、復旧、事業継続性を中心としたものにシフトする。サイバーリスクの最大の削減要因の1つは、インシデント復旧と事業継続性計画のテストだ。
サイバーセキュリティ問題への備えは、現在の持続的な問題を修正することから始まる。脅威の状況は進化し続けるが、人間に起因する脅威に確実に対処できるようになるまで、次世代の脅威に備えることはできない。
