アンディ・ホワイト氏はClosinglockの創業者兼CEOである。
AIは不正をより拡大可能にし、より信憑性の高いものにし、検知を困難にしている。だからといって、リーダーがパニックに陥る必要はない。しかし、サイバーセキュリティと不正防止は、IT部門に委ねる後回しの課題ではなく、企業運営の中核を成す要素にならなければならないということを意味している。
こうした変化の必要性は、すでにデータに表れている。米連邦捜査局(FBI)の2025年版「インターネット犯罪報告書」によると、2025年には不動産詐欺に関する苦情が1万2368件寄せられ、2024年の9359件から増加した。2025年の不動産関連の苦情による報告損失額は2億7500万ドル以上に上った。さらに、ビジネスメール詐欺(BEC)に関する苦情による損失額は30億ドル以上と報告されている。
多くのケースで、不正は説得力のあるメール1通という単純なものから始まる。
AIはまた、詐欺師が活動する新たな手段を生み出し、こうした攻撃をより効果的なものにしている。ディープフェイク、音声クローニング、AI生成型フィッシングが参入障壁を下げているのだ。
私の見解では、不正は特殊なケースではなく、事業リスクである。私たちのチームにとっては、存続に関わる問題だ。だからこそ、私はサイバーセキュリティと不正防止対策を優先している。
しかし、サイバーセキュリティと不正防止対策は、特定の業界に限定されるべきではない。資金を動かし、機密データを扱い、本人確認と信頼に依存するあらゆる企業が、リスクにさらされる可能性がある。AI時代において、サイバーセキュリティと不正防止は必須条件なのだ。
不十分なサイバーセキュリティと不正防止対策のリスク
不正による金銭的損失は甚大になりうるが、コストは方程式の一部に過ぎない。
たとえ企業が不正インシデントから回復したとしても、評判の毀損を元に戻すことははるかに困難だ。私の観察では、多くの顧客は信頼が損なわれた時のことを記憶する傾向があり、すぐには忘れない。多くのケースで、彼らは単純に離れていく。セキュリティ誌の2024年の報道では、クラウドベースのセキュリティプラットフォームであるVercaraの報告書において、調査対象の消費者の75%が「サイバーセキュリティ問題が発生した後、ブランドとの関係を断つ用意がある」と回答したことが指摘されている。
リーダーが強固なサイバーセキュリティと不正防止対策を構築する際のアプローチ
サイバーセキュリティに単一の解決策は存在しない。多層的でなければならない。もし万能薬があれば、誰もがそれを使うだろう。
私のアドバイスは何か。
ツールではなく、リスクから始めることだ。「当社にとって本当に損害となるものは何か」と問うのだ。病院であれば、患者記録の流出かもしれない。Eコマース企業であれば、決済データの盗難だ。この問いに答える実践的な方法がいくつかある。可能であれば、これらのアプローチすべてを活用することを推奨する。チーム、特にITとセキュリティ部門と話し合う。業界の同業者と意見交換する。見落としているリスクを特定するために、AIを思考パートナーとして活用する。AIはリスクをもたらすこともあるが、リスクの特定と軽減にも役立つ。システムを圧力テストし、脆弱性を明らかにするためにも使用できる。
最大のリスクが分かったら、まずそれらを優先する。セキュリティの多層化とは、単一の障害が侵害につながらないよう制御を重ねることを意味する。銀行口座へのログインを考えてみてほしい。パスワード、多要素認証、デバイスチェック。各層が侵入を困難にする。
SOC 2やNISTのようなフレームワークは良い出発点だが、ゴールではない。
組織におけるセキュリティ文化構築の重要性
テクノロジーだけでは十分ではない。強固な制御が整っていても、人的エラーの一瞬が、検証せずに説得力のある要求に応じるといった、侵入口を生み出す可能性がある。私たちのケースでは、これを直接目にしてきた。詐欺師は私から送られたように見えるメールを送り、経理チームにベンダー情報を求めた。要求は単純で信憑性があり、うまくいく可能性があった。チームのトレーニングのおかげで発覚したのだ。今日の多くの攻撃はこのようなものだ。高度なハッキングではなく、誰かがほぼ「はい」と言いそうになる小さな瞬間なのだ。
セキュリティはIT部門だけが担うものではない。文化の一部でなければならない。ITチームはインフラの保護、アクセス管理、リスクに対するシステム監視に注力すべきだ。エンジニアリングチームはコードを書いたりインフラを変更したりする際にリスクを考慮すべきだ。財務部門からカスタマーサポートまで、すべてのチームが組織のセキュリティにおいて役割を果たすべきだ。トレーニング、意識向上、シンプルな検証習慣が重要なのだ。
不正に関して、リーダーが下しうる最も危険な思い込みは「うちの会社には起こらない」というものだ。リスクを完全に排除することはできないが、大幅に軽減することは可能だ。無視すれば、格好の標的になる。詐欺師は必ずしも最大の標的を探しているわけではない。彼らはしばしば容易な標的を探している。目標は、それが自社でないことを確実にすることだ。
