シャリ・ピレ氏はPlume Design, Inc.の最高法務・プライバシー責任者である。
業界を問わず、弁護士が共有する傾向がある特性が1つあるとすれば、それは慎重さへの偏りである。我々は何が間違う可能性があるかを予測し、論理のギャップを探し、深刻な結果をもたらす可能性がある場合は「起こりそうにない」出来事でも重要だと想定するよう訓練されている。
サイバーセキュリティは常にそのマインドセットを要求してきた。AIは単にその賭け金を引き上げただけである。
AIはサイバー犯罪を工業化した。攻撃の規模を拡大し、その巧妙さを増し、脆弱性が知られてから犯罪者がそれを悪用するまでの時間を圧縮している。過去1年間の脅威レポートは、この点について驚くほど一貫している。攻撃者はより速く動き、より広範囲にスキャンし、自動化を使用してライフサイクルの早い段階で開口部を見つけている。CrowdStrikeのグローバル脅威レポートは、その加速の結果を示している。脆弱性の発見から悪用までの時間は圧縮され続けており、多くの場合、数分という短さである。
そのスピードは、リーダーが考える必要がある方法を変える。これは、見出しに載る大規模な侵害に関連する季節的な問題ではない。継続的な規律として扱わなければならない、進行中でエスカレートする懸念である。
AIは障壁を下げ、その後被害を拡大する
最も過小評価されている変化は、アクセシビリティである。かつては相当なスキル、時間、リソースを必要とした能力が、今ではパッケージ化され、購入され、より洗練されていない行為者によって展開される可能性がある。専門家は警告している。AIは、かつてより専門的だった技術を民主化することで、サイバー犯罪への参入障壁を下げている。
同時に、最高の犯罪グループはAIを使用して業務を加速している。自動化されたスキャンと偵察は、多くの脅威レポートで急増しており、防御側はリアルタイムでその影響を目の当たりにしている。
企業にとって、これは不快な現実を生み出す。内部統制が改善されていても、敵対者のペースも改善されているのである。
ディープフェイクとフィッシングが人々を最前線に置く
2つ目の変化は心理的なものである。フィッシングは新しいものではない。なりすましも新しいものではない。新しいのは、それらの攻撃の質である。
AIは、組織内の実在の人物を模倣する信頼できるメール、音声通話、動画を作成することを容易にした。調査とレポートは、AIがフィッシングをより説得力があり、よりスケーラブルにする役割を果たしていることを指摘し続けている。そのため、法務、プライバシー、コンプライアンスのリーダーは、トレーニングを年に1度のチェックボックス演習として扱うことはできない。香港からの広く報道された事例では、攻撃者はディープフェイクの動画と音声技術を使用して、ビデオ会議中に企業のCFOになりすまし、従業員に数百万ドルの電信送金を承認させた。
教育は絶対に重要であるが、進化しなければならない。トレーニングでは、機密情報や独自のビジネス情報を外部のAIシステムに入力すると、保護された企業データがサードパーティのプラットフォームに公開され、営業秘密の保護が破壊され、機密保持義務に違反する可能性があることを強調すべきである。
そして、教育だけでは十分ではない。そのため、私は法務、財務、人事などのハイリスクチームに対する追加の検証プロトコルを強く支持する。二次チャネルを構築する。独立した確認を要求する。機密性の高い取引には、事前に確立された内部コードまたは承認キーを使用する。私はこれを「信頼してから検証する」と考えている。
また、「安全第一」の報告文化を奨励する。何かがおかしいと感じたら、誤報であることが判明しても報告する。最近のほとんどのメール環境では、疑わしいフィッシングの試みを簡単にフラグ付けでき、セキュリティチームはそれらの信号を使用して組織全体の防御を調整できる。
機械速度に追いつく
私が受け入れるようになった現実の1つは、人間の介入だけで機械速度と戦うことは単純に不可能だということである。我々がそれほど速くなることを望むが、現実的ではない。脅威が自動化されている場合、防御も機械速度で動作する必要がある。
そこで、AI搭載のセキュリティシステムが不可欠になる。正しく実装されると、これらのツールは膨大な量のデータを分析し、異常を特定し、従来のセキュリティチームがこれまでできたよりもはるかに速く、人間のレビューのために問題を表面化できる。AIは、セキュリティアナリストが通常処理する日常的な作業の大部分、特にトリアージと相関関係に関する作業を自動化できる。
これは2つの理由で重要である。第一に、経験豊富なサイバーセキュリティ専門家の深刻な不足がある。第二に、多くの組織は、より少ない人数でより多くのことを行うという持続的なプレッシャーの下で運営されている。AIは専門知識に取って代わるものではないが、実際に人間の判断を必要とするものをエスカレートすることで、熟練したチームのリーチを劇的に拡大できる。
その変化はまた、人々が機械がまだうまくできない高価値の仕事に集中することを可能にする。インシデントリーダーシップ、戦略的リスク評価、コアシステムの強化、ビジネスへの助言である。AIは大規模にデータを処理できるが、交渉したり、信頼を構築したり、複雑な状況で微妙な判断を下したりすることはできない。
しかし、テクノロジーだけでは十分ではない。組織はまた、エスカレーションパス、封じ込め手順、コミュニケーションプロトコルを明確に定義する、明確に定義されたプレイブックを必要とする。そうすることで、チームはプレッシャーの下で即興で対応する必要がなくなる。
その基盤は、堅牢なアイデンティティとアクセス管理と組み合わせる必要がある。今日の環境では、ログインが正常に見えるか、場所が見慣れているという理由だけで、ユーザーを信頼すべきではない。なりすまし、認証情報の盗難、横方向の移動は、もはやエッジケースではない。代わりに、セキュリティチームが最初から想定しなければならないベースラインリスクである。
AI駆動の脅威環境では、レジリエンスはスピードと構造の組み合わせから生まれる。人間の監視によってサポートされる機械駆動の検出、反応的ではなく継続的に動作するように設計された明確なプロセスと制御である。
最も見過ごされているリスクは社内にある
最も不快な真実の1つは、時には最大のリスクが自社の従業員であるということである。悪意があるからではなく、迅速に作業しようとしており、どのような脆弱性を露呈しているかを認識していないからである。
シャドーAIは真の課題である。従業員は、認可された経路が遅すぎるか不明確である場合、認可されていないツールを使用する。その結果は重大である可能性がある。弁護士・依頼人間の秘匿特権の喪失がその一例である。内部調査資料や訴訟戦略が、企業の管理外の外部のサードパーティシステムに入力された場合、弁護士と依頼人の関係が侵害される可能性がある。特権が放棄されると、それらのコミュニケーションは訴訟で開示可能になり、相手方の弁護士が内部の法的分析、調査結果、戦略的議論にアクセスできるようになり、企業の防御を大幅に弱める可能性がある。
目をそらして、それが起こっていないふりをすることはできない。代わりに、安全なツールをアクセス可能にし、安全でない行動を達成しにくくするガバナンスプロセスを作成する。これは簡単に聞こえるが、実装には運用上の課題が生じる可能性がある。
実際には、これは従業員が使用するツールを把握し、データが保護されているエンタープライズバージョンを確保することを意味する。また、安全な経路を簡単な経路にすることも意味する。内部で十分に有能なツールを提供すれば、回避策のインセンティブを減らすことができる。
セキュリティ・バイ・デザインと生き続けるガバナンス
最後に、AIはガバナンスを最前線に押し上げる。チェックリストアプローチは、この分野では全く不十分である。リーダーは、継続的なテスト、継続的な監視、明確な説明責任を備えた、AIガバナンスへの動的なアプローチを必要とする。
私は「トップのトーン」はここではスローガンではないと考えている。上級リーダーは、サイバー戦略に対して説明責任を負い、それへの投資不足のリスクに対して責任を負わなければならない。セキュリティが定期的なコンプライアンス演習として扱われる場合、組織は反応的なままである。
また、セキュリティ・バイ・デザインを推進する。ビジネスが拡大した後に制御を改修するよりも、最初に制御を組み込む方が常に簡単である。その原則はサプライチェーンにも拡張されるべきである。組織は、契約条件だけでなく、技術的デューデリジェンスを通じてベンダーを評価する必要がある。ベンダーはどのようなデータにアクセスするのか。彼らのセキュリティ態勢はどうか。サブプロセッサーとオフショアの依存関係をどのように処理するのか。契約は重要であるが、契約はそれを執行する意思と同じくらい良いものであり、損害が発生した後の執行が満足のいく救済策になることはめったにない。
AIはサイバーセキュリティのペースを変えた。最良の対応は規律である。人々を教育し、防御を近代化し、ベンダーをプレッシャーテストし、ガバナンスを生きた機能として扱う。財務統制や法的リスクに適用するのと同じ厳格さでサイバーセキュリティにアプローチする組織は、次のAI駆動の脅威の波が到来したときにより良い位置にいるだろう。その規律こそが、脅威環境が機械速度で動くときに、リーダーがスピードと精査のバランスを取る方法である。
