サイバーセキュリティにおける人工知能: 善か悪か?

私のキャリアを通じて最大級の技術イノベーションといえば、インターネット、スマートフォン、ソーシャルメディアなどが挙げられますが、このリストにまた新たな画期的イノベーションが加わりました。生成AIは世界に旋風を巻き起こし、ソフトウェア開発からマーケティング、そして夕食時の子供たちとの会話に至るまで、あらゆるものに影響を与えているように見えます。

先日のSix Fiveサミットで、生成AIが企業のサイバーセキュリティに与える影響について、Pat Moorhead氏と話し合う機会を得ました。生成AIは多くの破壊的イノベーションと同様に、組織の実績を根本的に改善する大きな可能性を秘めていると同時に、まったく新しいサイバーセキュリティ上のリスクと課題ももたらします。

生成AIがもたらす主なリスク

生成AIが今日の企業にもたらす主なリスクとして、以下の3つが挙げられます。

機密データの漏えい:  企業のユーザーが、機密情報や会社の他の秘密情報を、無意識または意図的にChatGPTなどの生成AIシステムに入力して機密情報を露出し、自社の評判をリスクにさらす可能性があります。

著作権の問題:  企業の従業員が生成AIを使用して、ソースコード、画像、文書などのコンテンツを作成することがあります。しかし、ChatGPTが提供したコンテンツの出所が何かわからないうえ、元になったコンテンツが著作権フリーではない可能性もあり、組織にとってリスクとなります。

攻撃者による悪用:  攻撃者がChatGPTなどの生成AIツールを使ってまったく新しい攻撃を開発することも懸念されています。しかし、生成AIが攻撃者の特定の作業を効率化できる可能性はありますが、現時点では、まったく新しい攻撃を作り出すことはできません。生成AIシステムは情報コンテンツ開発ツールであって、ロボットではありません。この種のツールに対して、「マシンを感染させる一般的な方法をすべて挙げなさい」と命じることはできますが、「この会社のマシンをすべて感染させなさい」と命じることはできません。

企業の保護

では、従業員による生成AIツール使用の安全を守るために、セキュリティの専門家は何ができるでしょうか。

まず、どのような組織も、組織の環境内での生成AIの利用について独自のポリシーを定める必要があります。たとえば、適切なセキュリティ制御を適用しつつビジネスを強化・改善するにはどのようなアプローチが最善かといったことを決めます。生成AIの利用はまだ初期段階にあるため、組織は定期的にポリシーを見直して、必要に応じて進化させていく必要があります。

Symantec Enterprise Cloudは、お客様による独自の生成AIツールポリシーの実施を可能にします。一部の組織は、問題の検討が終わるまでの間さしあたって生成AIツールの利用を禁止するという決定を下し、その制御を実施するために当社のSecure Web Gatewayを活用しています。生成AIの利用を慎重に許可している他の組織では、生成AIに送信されるデータをリアルタイムで詳細に検査して修復し、機密情報が漏えいしないようにするために、シマンテックのDLP Cloudを使用しています。当社のDLP Cloudは、設定なしですぐ使えるテンプレートを備えており、HIPAA、PCI、PIIなどの主な規制に従ってデータをブロックできます。また、組織で生成AIに関する新たなDLPポリシーを作成することも、既存のポリシーを活用することも可能です。詳細については、当社の Symantec Enterprise Blogの記事と 生成AI保護のデモをご覧ください。

組織は、生成AIツールからの出力について、その正確さ、著作権の遵守、会社のあらゆるポリシーの遵守を検証することを全従業員に義務づける、文書化された明示的な要件を従業員に提供することも検討する必要があります。

当社は、攻撃者が最終的には生成AIを利用して、今よりはるかに効率的に新たな攻撃を開発して配信するようになると予想しています。したがって組織は、情報、脅威、ネットワーク、および電子メールツールを含む全体的なサイバーセキュリティ態勢によって、この攻撃者のさらなる高度化に対処できるように、十分に用心する必要があります。現時点では、生成AIはこれまで人間が作ったことがないまったく新しい攻撃手法を作り出すことはできません。したがって、シマンテック製品は生成AIを利用して開発した攻撃にも十分に対処できます。さらに当社も、お客様のための防御策の構築に生成AIを利用することができます。

AI対AI

攻撃側も防御側（サイバーセキュリティ会社）も生成AIツールを自由に利用できることを考えると、このような「兵器開発競争」がどのように進展していくかについて懸念があることも頷けます。

生成AIツールが時とともに進歩していくことは確かであり、将来、この種のツールが具体的な標的の組織に対するまったく新しい攻撃を生成して実行できるようになるときが来るかもしれません。同時に、セキュリティ会社も生成AIツールを活用して防御策を大幅に強化することができます。シマンテックでは、保護を強化し、セキュリティの専門家たちの日々の仕事を容易にするために、すべての製品ラインで生成AIの利用に投資しています。そのうち、生成AIを当社の製品に活かして、それぞれのお客様に合わせたセキュリティポリシーの最適化、修復手順の迅速な生成、SoCアナリスト向けの技術的セキュリティ情報の要約、そしてその他多くの重要な活動を実現できるでしょう。

当社は、この勝負では最もコンピューティング能力を持つ者が最終的に有利であると信じています。ChatGPTの早期の成功の鍵は、OpenAIがこのツールを開発するために使用した膨大なコンピューティング能力でした。当社は、この競争で防御側がリードし続けるために、セキュリティ会社はコンピューティング能力と調査に適切に投資することになると予想しています。

今後の見通し

他の破壊的技術の先例からわかるように、生成AIの利用が時とともにどのように展開していくかを予測することは不可能です。ソーシャルメディアは、人々がデスクトップPCやノートPCを使って友人や家族とつながるためのツールとして始まりましたが、その使われ方がどのように進化していくかを誰も想像できませんでした。

同様に、生成AIも私たちの個人生活と仕事を大きく変えつつあります。インターネット、スマートフォン、ソーシャルメディアなどの先行する他の画期的技術と同様に、生成AIはサイバーセキュリティとプライバシーに関する新たな懸念事項をもたらすことになるでしょう。生成AIのパワーを組織がフルに活用できるようにしつつ、生成AIに関連するリスクから組織を守ることで、サイバーセキュリティイノベーションの新たな波を確実に推進できます。シマンテックでは、この分野の最先端を走り続けるために積極的な投資を行っています。