私たちは今、サイバーリスクの検知速度を上回るスピードでAIが進化する時代を生きている。かつて特定と評価に数週間から数カ月を要した脅威が、今では数時間で企業に影響を及ぼすようになった。AIは検知を加速させているだけでなく、リスクへの露出から実際の被害発生までの時間を圧縮しているのだ。私は金融機関のサイバー戦略に関するアドバイザリー業務を通じて、この現実を目の当たりにしている。
AIベースの分析は、アプリケーション、ユーザーアクセス、インフラ全体にまたがる攻撃経路の可能性を、機械の速度で見つけ出せるようになった。CrowdStrikeの最新「Global Threat Report」によれば、2025年にはAIを活用する攻撃者による攻撃が前年比89%増加した。
それでも多くの組織は、定期的なレビュー、孤立した発見事項、そしてより遅いペースを前提に設計された意思決定サイクルに基づくリスク監督モデルに依然として頼り続けている。脅威の進化の速さと、組織の対応の遅さの間に広がるギャップは、管理がますます難しくなっている。
リスク評価だけでは全体像を把握できない
長年にわたり、組織は対応の優先順位を決めるために深刻度評価に依存してきた。深刻度の低い問題は受容されがちで、焦点は最も重大な指摘に当たり続ける。だが実務では、このモデルが脅威の実際の顕在化の仕方と、ますず乖離していることを私は観察してきた。
AI主導の発見は、この前提を変えつつある。複数の小さな弱点を結び付けることで、AIは意味のある事業インパクトに直結する攻撃経路を浮かび上がらせる。問題は、統制が以前より頻繁に破綻するということでは必ずしもない。発見と悪用が自動化されると、小さな隙がいかに速く複合していくかを、従来モデルが過小評価してしまう点にある。
かつて許容可能とされたリスクが、時間の経過とともに許容できなくなる可能性がある。静的なスコアリングに依存する監督モデルでは、真の露出を過小に見積もりかねない。
いま、スピードがリスク露出を左右する理由
先に触れた通り、AIは弱点が現れてから悪用されるまでの時間を短縮した。検知、修正、テスト、承認といったプロセスは依然として主に人間が担っており、このスピードについていくのに苦労していることが多い。その結果、組織が何を特定できるかと同じくらい、どれだけ迅速に行動できるかが重要になっている。
影響はセキュリティチームにとどまらない。多くのエスカレーション(上申)や報告の仕組みは、経営陣が会合を開くより速いペースで重大な露出が拡大し得る状況を想定して設計されていない。取締役会や経営層が正確なリスク情報を受け取っていたとしても、結果を変えるには遅すぎることがある。AI主導の環境では、スピードそのものがリスクの重要な一部となる。
技術的負債がビジネス上の問題に転化するとき
歴史的に、企業は未解決の問題や文書化されていないシステムを「技術的負債」として扱ってきた。不完全ではあるが、管理可能だと考えられていたのだ。だが私は、こうした前提が崩れつつあるのを目にしている。
AIが隠れた弱点を素早く発見し、結び付けられるようになると、技術的負債は背景的な問題から、直接的なビジネスリスクへと転じる。自社のシステム、統合、アクセス経路について最新の見取り図を欠く組織は、AIが生成する洞察を意思決定へと落とし込むのに苦労しがちだ。攻撃経路がアプリケーション、API、ユーザーアクセス、サードパーティサービスにまたがる傾向が強まる中、パッチ適用で反応するだけでは追い付かない可能性が高い。
リスクライフサイクル全体への影響
AI主導の脅威発見は、リスクライフサイクルのあらゆる段階に影響する。
・ガバナンス:組織には、AI主導の脅威に関連する意思決定と結果に対する説明責任を確立しつつ、継続的なリスク監督を維持することが求められる。
・特定と保護:組織は、既存の資産インベントリ(資産台帳)を強化し、データ、システム、サードパーティにまたがる相互連関性に基づいてリスクの優先順位を付ける必要性を認識し始めている。
・検知と対応:情報セキュリティチームが、静的なアラートから、攻撃の進化の仕方を反映して脅威を文脈化する方向へ移行する動きが見られる。
・復旧と拡張:組織は復旧の取り組みにおいて不確実性の高まりに直面し、レジリエンスと継続性に影響し得るサードパーティリスクについて、より高い可視性を必要としている。
ツールではなく、リスクの捉え方を見直す
ここでのより大きな教訓は、AIが求めるのは新たなツールだけではなく、リスクについての異なる思考様式だという点にある。
私の経験では、最も速く適応するのは、定期的で統制ベースの思考から、継続的で露出ベースの思考へと移行できる組織である。
実務的には、次のことを意味する。
・ある時点の評価から、攻撃経路の継続的なモニタリングへ移行する。
・脆弱性が単体でどの順位にあるかではなく、どう組み合わさるかに基づいてリスクの優先順位を付ける。
・速度に基づく指標(検知、修正、検証に要する時間)をリスク報告に組み込む。
・新たな脅威の出現ペースに意思決定サイクルを合わせるよう、ガバナンスを整合させる。
これらは純粋に技術的な変更ではなく、セキュリティ、リスク、ビジネスの各チームにまたがる連携を要する。
規制当局はアウトカム(成果)にますます焦点を当てており、組織は、どのような統制を敷いているかだけでなく、AIが特定したリスクがビジネスへの影響や意思決定とどう結び付くのかも説明する必要があるだろう。成功するのは、チェックリスト型の評価を超え、今日の脅威環境の速度に見合う、より結び付きの強いリスク認識のアプローチへと進める組織である。
もはや、サイバーリスクを「私たちが知っていること」だけで定義することはできない。代わりに、リスクがどれだけ速く見つけられ、結び付けられ、悪用され得るかによって定義しなければならない。私見では、スピードを考慮に入れない監督モデルは、管理すべき現実から取り残されるリスクがある。
