生成AIとクラウドの光と影—企業経営者が直面する新たなサイバーリスク
サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)運営委員会議長である梶浦敏範氏が、「生成AIとクラウド利用に潜むセキュリティリスク」について講演を行った。本講演では、企業のデジタルトランスフォーメーション(DX)が進む一方で、新技術の利用に伴うセキュリティリスクが増大している現状が強調された。
講演の冒頭で梶浦氏は、近年のサイバー攻撃の傾向を解説。国際的な緊張や社会不安の高まりに伴い、重要インフラへの破壊的攻撃や選挙に関する偽情報が増加していること、そしてサイバー犯罪者が組織化され、国家レベルの攻撃者が民間企業を標的にしている現状を指摘した。例えば、イランとイスラエル間での水道施設に対するリモート破壊工作や、LG製の家電がハッキングされ大量の通信記録が残された事件など、サイバー攻撃の手口がますます高度化し、一般家庭や公共施設にも影響を与える事例が続出している。
一方、クラウドサービスの利用については、企業のDX(デジタルトランスフォーメーション)を加速させる利点がある一方で、設定ミスや利用者側の不注意が大きなリスクを伴うと説明。クラウド事業者の業務停止が一企業だけでなく、サプライチェーン全体に影響を与える可能性があるため、利用者側の責任が重要になることが強調された。また、データの完全削除が技術的に不可能である点や、クラウド事業者が再委託している場合、サプライチェーン全体を見通す必要があることも述べた。
生成AIについては、未熟練労働者の能力向上や業務効率化など、ビジネスの多様な分野でポジティブな影響が期待されている。例えば、コールセンター業務の自動化や、デバッグ作業の効率化が挙げられる。しかし、その一方で、AIを使った高度な詐欺やマルウェアの作成がすでに行われており、AI技術が悪用されるリスクも大きい。梶浦氏は、AIを使いこなせる企業とそうでない企業の間に格差が広がることを懸念し、特にAI倫理の確立や適切なガイドラインの整備が不可欠であると述べた。
梶浦氏は講演の締めくくりに、「DX with Security」を推進することが経営者の責務であり、セキュリティ対策を怠ることは企業の命運を左右しかねないと警鐘を鳴らした。新技術の導入は企業の発展に寄与する一方で、リスク管理を怠れば逆に大きな損失を招く可能性がある。技術の光と影を認識し、積極的にセキュリティ対策を講じる姿勢が、現代の経営者には不可欠である。
生成AIとランサムウェアの脅威が企業を襲う — 最新サイバーセキュリティ対策に注目
株式会社日立ソリューションズのセキュリティアナリストである青山桃子氏は、セミナーで「企業を守る!最新サイバーセキュリティ対策と事例」という講演を行い、近年のサイバー攻撃の動向と対策について詳述した。その中でも特に注目されたのが、生成AIの悪用とランサムウェア攻撃の脅威である。
青山氏によれば、近年のサイバー攻撃の被害は多様化し、金銭を目的とした攻撃が急増している。具体的な事例として、2023年7月に発生した中部地区の港湾システムがランサムウェアに感染し、全ターミナルが停止する事態が紹介された。この攻撃はリモート接続機器の脆弱性を突いたもので、同様の攻撃は2022年にも関西地区の公立病院で確認されている。これらの事例から、リモート接続機器のセキュリティ強化やログ管理、バックアップの充実が再発防止に必要であることが強調された。
また、生成AIを悪用した攻撃の増加も懸念されている。生成AIは、フィッシング詐欺やディープフェイクの精度を飛躍的に高め、攻撃者にとって強力なツールとなりつつある。2024年5月には、生成AIを使用してランサムウェアを作成した人物が日本で初めて逮捕されるという事件も発生した。このような事例から、生成AIを防御側でも活用し、脅威インテリジェンスの解析や異常検知に応用することが急務であると青山氏は述べた。
さらに、青山氏は「生成AIのリスクは、ゼロトラストモデルの導入によって軽減できる」と指摘。すべてのアクセスを常に検証し、信頼を前提としないセキュリティ戦略が不可欠だと強調した。これに加え、生成AIがもたらす新たな脅威に対処するためには、技術的な対策だけでなく、従業員へのセキュリティ教育も重要だとしている。具体的には、生成AIに関連する脅威の周知や、機密情報の取り扱いに関するルール整備が求められている。
青山氏は講演の最後に、これからのサイバーセキュリティは単一の対策では不十分であり、企業は多層的な対策を導入すべきだと述べた。特に、リモートワークやクラウドサービスの普及に伴い、攻撃の手口はますます巧妙化しているため、境界防御の考え方だけでは対応しきれないと警鐘を鳴らした。企業がサイバー攻撃に対抗するためには、セキュリティ教育と技術的な防御の両面での強化が急務である。
生成AIとクラウドの活用が企業にもたらすセキュリティリスク — さくらインターネットの取り組み
さくらインターネット株式会社の技術推進統括担当執行役員でありCISO・CIOを務める江草陽太氏は、「セキュリティマネジメント再考 ~生成AI・クラウド活用に潜むセキュリティリスク~」と題した講演を行った。講演では、企業における生成AIやクラウドの活用が急速に進む中で、その利便性の裏に潜むセキュリティリスクに焦点を当て、具体的な対策や組織体制について述べられた。
江草氏はまず、さくらインターネットが直面しているセキュリティ課題について言及。特に生成AIの活用が広がる中で、企業が適切にリスクを管理しなければならない現状が強調された。生成AIは、業務効率の向上や新たなビジネスチャンスを生み出す一方で、AIモデルの不正利用や誤ったデータによる学習といったセキュリティ上の問題を引き起こす可能性がある。江草氏は、「生成AIは、正しく活用されなければ重大なリスクを伴う」と述べ、生成AI利用に関する内部ガイドラインの整備の必要性を訴えた。
具体例として、生成AIが悪用されるケースが紹介された。生成AIを使用したサイバー攻撃では、偽の情報を生成し、フィッシング詐欺やディープフェイクなどの精度が飛躍的に向上している。これに対し、さくらインターネットでは、AIに関するリスクを最小化するための社内ルールを策定し、AI入出力に対するファイアウォールの導入やデータの分類と保護を徹底している。
また、クラウド活用におけるリスクについても議論された。江草氏は、クラウドサービスは業務の効率化を促進するが、データの管理やアクセス制御を厳格に行わないと情報漏洩のリスクが高まると指摘した。さくらインターネットでは、クラウド利用におけるセキュリティ管理を徹底し、特に外部アクセスに対して多層的な防御策を講じていることが説明された。
江草氏は講演の締めくくりとして、これからの企業には「多層的なセキュリティ対策」が不可欠であると述べた。技術的な防御策だけでなく、社員のセキュリティ意識を高めるための教育やトレーニングが必要不可欠であり、経営陣が積極的に関与することが、サイバーリスクに対抗する鍵となると強調した。
<協賛企業>HENNGE株式会社/株式会社アシュアード
