新しいアイデアを常に探求し、未知の状況に適応し、現状に挑戦する力
前例のないスピードでイノベーションが進む現代、21世紀は産業の破壊的変革の時代と特徴づけられる。イノベーションのあらゆる側面で変化が起きている。AI(人工知能)や自律システムといった新技術の採用は大きな経済変革をもたらし、所有ではなくサブスクリプションや使用量ベースのアクセスを提供する新しいビジネスモデルは消費者の選択と価値を根本的に再定義し、検索から商取引、決済に至るまであらゆるものがデジタルへとシフトする消費パターンの変化が進んでいる。
大きなイノベーションの転換期には恐れが伴うことが多いが、全体として見れば、歴史的にこうした変化は脅威よりも多くの機会をもたらしてきた。例えば、1990年代半ばに主流となった公共インターネットは、人々や情報に自由かつ広範にアクセスし、つながることを可能にする数多くのイノベーションを生み出した。これにより、コミュニケーション、学習、仕事、商取引の方法が変革され、私がよく言うように、生活のあらゆる側面に組み込まれたことで、私たちの「遊び方」も変わった。しかし、多くの恩恵をもたらすこの採用は、同時に多くのサイバーセキュリティの課題も提示してきた。
サイバーセキュリティは、コンピュータウイルスの出現を契機として1970年代から存在している。当初の主な保護手段はアンチウイルスソフトウェアとファイアウォールだった。公共インターネットの普及に伴い、1990年代にはより本格的な産業となった。セクター全体でサイバー犯罪のリストが増加し始め、一部のセクターでは他よりも顕著だった。一般的に、犯罪は個人、組織、そしてデバイス、サーバー、ストレージシステム、ネットワーク、アプリケーション、オペレーションを含む企業のインフラを標的としていた。
例えば、サプライチェーンと物流の世界では、脅威は認証情報の窃取、ルーティングシステムの操作、偽造品の挿入、そしてマルウェア注入、フィッシング、DoS、ランサムウェアといった従来型の攻撃など、多様な形態で現れる。サイバーセキュリティ攻撃に対する保護が、インフラの保護からデータ、プライバシー、アイデンティティの保護へ、そしてAIの脅威の増大を受けて信頼の保護へと進化し続けている様子を観察するのは興味深い。
AIはあらゆるものの状況を変え続けており、サイバーセキュリティも例外ではない。実際、AIはインターネットがもたらしたのと同様のパラダイムシフトをサイバーセキュリティのニーズにもたらしているが、さらに複雑なレベルでである。今日、脅威アクターはAI対応のフィッシングやソーシャルエンジニアリング、AI対応のマルウェア、そしてAIシステム自体のAI悪用を使用している。脅威の高度化と、それらを検出・防御するための開発ツールの高度化という2つの次元で変化が起きている。
脅威の好例が「ビッシング」である。これは音声フィッシングの略で、電話サービスを使って人々を騙し、機密情報を提供させるサイバー犯罪の手口だ。このアプローチは以前から存在していたが、最近のAIの使用により、はるかに説得力があり現実的になっている。これらの新しい攻撃ベクトルはますます高度化し、より巧妙で説得力のあるフィッシングやディープフェイクキャンペーンを通じてサイバーセキュリティ防御を覆そうと試み、ユーザーの油断を突こうとしている。防御側もAIを使用して、エンドポイント、ネットワーク、クラウド環境全体で、より迅速かつ正確に脅威から保護する必要がある。調査によると、IT・サイバーセキュリティ専門家の51%が2026年に脅威が最大の懸念事項になると予想しているが、これらのリスクを管理する準備ができていると感じているのはわずか14%である。この準備不足は、Kyndrylの2025年準備状況レポートでも裏付けられており、それらを管理する「完全な準備ができている」と感じているのは少数派のみである。このギャップは近代化の緊急性を浮き彫りにしている。
適応力が鍵
AIが存在感を拡大し続け、新たなより高度な脅威をもたらす中、IT・サイバーセキュリティ専門家は調整を迫られる。答えは、AI特有の保護・検出機能と継続的な意識向上プログラムを組み合わせて、これらのAI対応脅威と戦うことを防御フレームワークの一部とすることだ。これには、内部および第三者接続を含むインフラ全体にわたるAI特有のリスクを含めるよう、既存の脅威モデルを拡張することが含まれる。プロンプトインジェクション攻撃、モデルポイズニング、抽出、操作、不正使用など、多くの新しい脅威ベクトルが存在する。また、大規模言語モデル(LLM)やAIアプリケーションに対するデータ漏洩のためのコード標準攻撃もある。
サイバーセキュリティとレジリエンスの管理とガバナンスのベストプラクティスでは、企業が最も重要なもの、すなわちデータ、ブランド、ステークホルダーを保護するために、適切なレベルの保護とアクセス制御を維持することが求められる。データの保護に関しては、誰がデータにアクセスしているかを検証するためのアクセス制御と認証、信頼できない外部ネットワークからのデータパケットのフィルタリング、不正使用を防ぐためのデータの暗号化、既知の脅威からのデータ保護の組み合わせが必要である。
ブランドの保護に関しては、詐欺から守り、機密情報を保護し、さまざまなステークホルダーに対するサービス中断を防止・封じ込めるための監視・検出ツールとプロセスの組み合わせが必要である。
最後に、ステークホルダーの保護に関しては、卓上演習、年次認証、アカウント管理を含む包括的な意識向上トレーニングの組み合わせが必要である。これには、未知のものをクリックする前に考えること、仮想プライベートネットワーク(VPN)で公共接続を保護すること、アプリケーションソフトウェアを最新の状態に保つこと、多要素認証で強力なパスワードを使用することが含まれる。
最も厳格な規律が整っていても、サイバー攻撃による侵害は発生する可能性が高い。識別、保護、検出の能力は依然として侵害される可能性がある。しかし、迅速に対応し回復するためのポリシーと手順が整っていれば、重大な損害を最小限に抑えることができる。これは、米国国立標準技術研究所のガイドラインセットであるNISTサイバーセキュリティフレームワークで概説されているように、企業がサイバーセキュリティリスクを軽減するための基盤となる。企業は以下を確実に実行すべきである。
- インフラの近代化とサイバーセキュリティスキルへの一貫した投資は、中核業務と顧客の信頼を保護するために不可欠である。
- 最高情報セキュリティ責任者(CISO)を、機密データと情報を保護するための意味のある全社的指標の定期的なレビューでサポートする。
- 進化する脅威の状況に常に適応しながら、定期的なサイバーセキュリティ教育を提供する。トレーニングと意識向上は最良の人的防衛線である。
- 個人の責任と説明責任を強化するために、年次従業員認証を実施する。
- すべての主要ステークホルダーを巻き込んだ定期的な卓上演習を実施し、迅速に回復・対応する方法に焦点を当てたさまざまな脅威シナリオをシミュレートすることで、「常に準備を整えておき、準備する必要がないようにする」。
テクノロジーおよびビジネスエグゼクティブとして33年間過ごした後、私はこの10年間、エネルギー・公益事業、デジタル決済の金融サービス、そして小包・貨物の流通・物流、電子部品・組込みソリューション、保守・修理・運用(MRO)に集中して、業界を超えて取締役を務めてきた。フィッシングからサービス拒否攻撃、ランサムウェア攻撃まで、あらゆる企業がすでに対処してきたであろうさまざまな形態のサイバー脅威を日常的に目撃することになる。
2015年、私の取締役会企業の1つが、サイバーセキュリティ脅威を統治・監督するために独立したリスク委員会を設立した最初の企業の1つだったことを思い出す。私の他の取締役会は、監査委員会の範囲を拡大するか、監査委員会の延長として臨時のサイバーセキュリティ重視委員会を設立した。彼らの焦点には、情報技術と運用技術、知的財産、データセキュリティとプライバシー、内部統制、事業継続と回復にわたる製品、プロセス、ポリシー、手順のガバナンスが含まれていた。これらの取締役会レベルの監督委員会の追加は、日常業務に対する経営陣の責任を変えるものではなかったが、最良のガバナンス慣行が実践されていることを確保する取締役会の義務を強調するのに役立った。この転換は、サイバー犯罪の世界的コストが2015年に年間3兆ドルと推定され、今日では10兆ドルを超えると予想されていることを考えると必要だった。
ベストプラクティス
AIがもたらす脅威の一部はユニークで以前より速く動く可能性があるが、そうしたリスクに対抗する慣行は過去の取り組みと一貫している。取締役会のガバナンスと監督のベストプラクティスには、適切なスキルと監督構造を備えたサイバーセキュリティ委員会を設立し、さまざまな運用面の定期的な詳細レビューを実施することが含まれる。これは、攻撃の前、最中、後のサイバー準備態勢を確保するためである。焦点は準備態勢にあり、サイバースコアカードと主要指標、近代化への投資、スキルと教育、卓上シミュレーション、インシデント対応計画、継続的改善のためのインシデント根本原因分析の定期的なレビューを通じて達成される。
さらに、取締役会全体が年次トレーニングに参加し、リテラシーを高め、現在の市場動向と企業のサイバーリスクに関する一般的な理解を維持する必要がある。サイバー犯罪の絶えず変化する性質を考えると、取締役会は主要なリスク指標と脅威に焦点を当てて、経営陣との継続的な対話を維持しなければならない。さらに、私が「好奇心の優位性」と呼んでいるものを日常的に実践しなければならない。言い換えれば、適切な質問をすることを決してやめないことだ。これは取締役会メンバーに期待され、要求されることであり、監督責任の自然な一部である。アルバート・アインシュタインの言葉を引用すれば、「重要なのは質問をやめないことだ」。
これは、取締役にとって最も強力な3つの質問、すなわち「なぜ?」「どのように?」「もし〜だったら?」につながると私は考えている。これらの質問のオープンエンドな性質により、企業のリーダーシップと取締役会の間の透明性のための適切な対話が可能になった。私が学んだのは、破壊的変革の中で成功するリーダーは、答えが明白でない場合でも難しい質問をし続ける人々だということだ。好奇心は単なる個人的特性ではなく、戦略的優位性である。それは私たちに前提に挑戦し、代替案を探求し、どこに投資し、どのように適応するかについて情報に基づいた選択をするよう促す。
取締役会は次のような質問をすべきである。
- なぜ私たちは、重大なサイバー攻撃を迅速に検出でき、最も重要な資産に対して適切なレベルの監視と保護が整っていると確信できるのか?
- 私たちの対応・回復計画が、実際のサイバーインシデント時に継続的な運用を可能にすることを、継続的にどのように知ることができるのか?
- もし第三者プロバイダーの1つが侵害を受け、それが私たちの環境に波及して運用を混乱させたらどうなるか?
これは網羅的な質問リストではないが、取締役が尋ねるべき質問の種類、そして企業のリーダーシップが解決策を持って答えなければならない質問の例として機能する。AIが参加し、この破壊的イノベーションの時代にペースを設定しているため、これは終わりのない対話である。悪意のあるアクターは、サイバー脅威と攻撃を強化するためにAI対応のモデルとツールを使い始めており、したがって防御も一歩先を行くためにAI対応でなければならない。ガバナンスをIT問題としてではなく、戦略的、運用的、財務的、技術的、規制コンプライアンスをカバーする企業リスクとして扱い続けなければならない。「ゼロトラスト」は、企業の運用モデルと重要資産へのユーザーアクセスの標準となる。脅威は企業の内外で発生すると想定しなければならず、「何も信頼せず、すべてを検証する」必要性を促進する。企業とその取締役会リーダーシップにとっての賭け金は上昇し続けており、関係者全員が防御態勢を維持する必要がある。
結論として、好奇心はリーダーが緊急性と規律の間の緊張をナビゲートし、近代化が反応的ではなく目的志向であることを確保するのに役立つ。このようなマインドセットを受け入れる取締役会と経営陣は、AI時代に自信を持ってリードするだろう。
