ヨーロッパ最大のサイバーセキュリティ関連のカンファレンスであるInfoSec Europeに行ってきました。今年のカンファレンスで人気を集めていたのは、やはりAI関連の話題です。ただし、日本やアメリカのカンファレンスと若干違うところは、ヨーロッパの関係者が集っているということもあり、AIに関してかなり現実的なコメントが目立ったという点です。

例えば、カンファレンス2日目の6月5日の「Unlocking AI's Value, in a Safe and Secure Way !」というキーノートでの議論は大変興味深いものでした。Blockmoorのインフォメーション＆サイバーセキュリティのディレクターのイアン・ヒル氏は、「多くのビジネスは、AIツールに関してまだ十分に学んでいない」と指摘します。AIツールの導入を推進するのは、基本的に利益の追求で、導入する企業はどんどん増えてはいるのだが、導入したからといってビジネスが劇的に変わるというわけではない、という内容です。

そして、多くのベンダーはAIのツールを何とか売ろうとしているけれども、導入する企業のビジネスの目的が何かということをよく見なければならない。つまり、サイバーセキュリティの観点からは、AIツールを導入して何を保護するのか、さらに技術レベルを検証し、導入することによってどんなリスクが想定されるのかを十分に検証すべきだというのです。

これは、このセッションに参加していた 他のスピーカーも全く同じ意見でした。つまり、多くのビジネスがAIの導入を先走ってしまい、ビジネスの基本的な目的や一体何を達成したいのかということを十分に議論していない、というわけです。

また、導入する際に非常に重要なのは、既存のプロセスやセキュリティ体制が新しいツールの導入に対応できるのかということですが、その詳細を十分に検証せずに導入してしまうという例もあるようです。これに関しては、KADOKAWA がランサムウエア攻撃を受けたという事例がありました。

仮に他の企業が人員削減のためにサイバーセキュリティを効率化し、それまで人が細かく検証していたセキュリティを、AIツールで代替したとしましょう。そうすると、攻撃を本当に検知することができるのか、迅速な対応が期待できるのか、という疑惑が湧いてきます。ツールが攻撃のパターンに対応していないという場合もあるでしょう。 熟練したセキュリティ担当者であれば、何となくの勘で不自然な動きや攻撃を察知できるという場合もあるかもしれません。

また、攻撃が内部の人間による場合。 普段からオフィスにいる従業員を対面で細かく観察しているセキュリティの担当者であれば、この人間は攻撃をする可能性があるのではないか、と注意していることができます。例えば、ライフスタイルが急激に派手になったとか、何らかの理由でお金が必要、会社に対して普段から何か恨みを抱いている、といったことです。 こうしたソーシャルエンジニアリング的なリスクの察知は、AIツールでは不可能なことです。

企業に対する攻撃の少なからずは、実は物理的に行われていたりすることもありますから、AI時代とはいえどもツールに頼りきりになるのはやはり考え物です。