Skip to main content

AIセキュリティは、単なる技術的な問題ではなく人材に関する問題であるということ

本サイト上のコンテンツは、参照目的だけのために、英語の原本から翻訳されたものです。また、本サイト上のコンテンツの一部は機械翻訳されたものです。日本語版と英語版の間に何らかの齟齬がある場合には、英語版が優先されます。当社は改善のためのあらゆる努力を行いますが、翻訳の正確性及び信頼性は保証せず、当社に故意または重大な過失がある場合を除き、不正確性又は遺漏により生じる損失又は損害に責任を負わないものとします。

 

AIのセキュリティを確保するには、スキルギャップを解消する必要がある

AIは、多くの組織がそれを守る準備ができているよりも速く動いています。それは技術が新しいからではなく、ワークフォースがまだ準備できていないからです。 最近のウェビナーでは、CompTIAの業界調査担当副社長セス・ロビンソン氏とH.I.G.キャピタルの最高技術責任者ルイス・スアレス氏が、AIを大規模に確保するために必要なことについて議論しました。彼らのメッセージは明確でした。AIは既存のシステムの上にクリーンなレイヤーとして登場するものではありません。システム、プロセス、人材のギャップを明らかにします。 

これにより、準備状況の考え方が変わります。問題は、どんなツールが必要かから、チームがそれらを安全かつ一貫して使えるスキルを持っているかどうかに移ります。ロビンソンが指摘するように、「私たちは本当に、多層的な戦略が必要だと感じています。AIツールを実装し使いこなすスキルも必要ですが、基本的なサイバーセキュリティのスキルも必要です。」その能力がなければ、新しいツールは既存の弱点を修正するどころか増幅してしまう傾向があります。 

AIはサイバーリスクと脅威量を加速させています

AIは強力な生産性向上の推進力となり得ますが、同時にサイバーリスクの規模、速度、頻度も増加します。スアレスは敵対者も同じAI能力を持っていると指摘しています。「悪意のある人たちも同じことをしている」と彼は言う。「彼らは同じ道具を使って、これまで以上に速く複数の攻撃を発生させている。」  

つまり、攻撃は単に高度化しているだけではありません。攻撃の仕掛け方がより簡単になり、実行コストが安くなり、封じ込めるのが難しくなっているのです。かつては専門的なスキルを必要としていた手法も、今では大規模に再現しやすくなっています。セキュリティチームにとっては、これにより日々の業務内容が変わってきます。  

スアレスは、AI対応のプロセスがシステム間の情報を相関させ、以前はトリアージしなければならなかったセキュリティイベントに一貫した精査を適用することで、チームがこの圧力の一部を軽減できるようにしていると説明しています。これにより死角が減り、早期発見が可能になります。しかし、課題は道具の選択だけにとどまりません。また、出力の検証、誤検知の管理、結果の迅速な解釈など、新たな複雑さももたらします。結局のところ、チームがそれらのツールを使いこなし、必要なペースで対応できるかどうかが重要です。 

AIのセキュリティ準備状況は既存のガバナンスギャップ を露呈させる

AI導入のより不快な現実の一つは、すでに存在していた問題を浮き彫りにしてしまうことです。スアレスはこの点について明確に言っています。「AIはあなたのデータが弱い部分を見つけ出し、プロセスの弱点を見つけるでしょう。」  

多くの場合、この問題は新しいリスクではありません。既存のリスクがより目立つようになり、悪用されやすくなっているのです。組織は外部からの脅威から防御する必要がありますが、AIツールが内部システムと相互作用する際に制御され予測可能な振る舞いをする必要もあります。 

また、組織のセキュリティアプローチの広範な変化を強調しています。もはや独立した機能ではありません。運用、システム、意思決定に組み込まれなければなりません。ロビンソン氏は「技術チーム全体から非技術部門に至るまで、全員がサイバーセキュリティを真剣に受け止めなければなりません」と説明しています。 

これは、組織がAIを迅速に活用しなければならないというプレッシャーを感じるときに課題となります。スアレスはその緊急性を認めつつも、基盤を圧縮しないよう注意を促す。「AIツールを捨てるには、データやサイバーに関する議論をせずに済むわけにはいかない。」 

その議論は、データ、セキュリティ、運用チームにまたがる具体的な要件へとつながっています。 

  • 明確なデータガバナンスとアクセスモデル 
  • ITライフサイクル 全体にわたる統合セキュリティ
  • AIシステムがデータ とどのように相互作用するかに関する定義されたポリシー
  • これらのシステムの動作を時間 をかけて継続的に監視しています

これらは新しい考えではありません。多くの組織は長年にわたり自らのガバナンスのギャップを認識しています。AIは単にそれらを放置した場合の結果を加速させるだけです。 

AIサイバーセキュリティスキルギャップの埋め合わせ

AIもまた、人材のギャップを無視しにくくしています。ロビンソンは、サイバーセキュリティスキル不足を、組織がセキュリティ戦略を実行する際に直面する最も一貫した障壁の一つだと指摘しています。組織は、ワークフォース開発がより大きな役割を果たす必要があることを認識しつつあります。狭い役割に固執するのではなく、責任の変化に応じて適応できるチームが必要です。実際には、肩書きが変わらなくても役割が変わることが多くあります。 

組織の対応にはいくつかのパターンが現れます。 

  1. 継続的なスキル向上が、標準的な慣行となっている
    役職は変わるため、スキルは新しいツールや概念に追いつく必要があります。「サイバーセキュリティは静的なスキルセットではありません」とスアレスは言います。「新しいツール、新しい概念、古い概念の新しいバリエーションを導入しています。」それは単に新しいツールの使い方を学ぶだけでなく、既存のプロセス全体で何を改善したり自動化したりするために設計されているのかを理解することも含まれます。 
  2. 認定資格は、変化し続ける環境において指針となる 
    役割が曖昧かつ拡大する中で、サードパーティの認定はチーム間のスキルを定義し検証する手段を提供します。 CompTIA SecAI+ は、AIとサイバーセキュリティの重なりに焦点を当てることで、このニーズを反映しています。セキュリティ、運用、データ機能全体で能力がどのようなものかについて、共通の理解を深めるのに役立ちます。チームは共通の言語を構築し、組織はスキルを一貫して検証する方法を得て、役割が進化するにつれてトレーニングの経路を繰り返しやすくなります。 
  3. 組織は自らの人材パイプライン を構築しなければならない
    現状の需要を満たすには経験豊富な専門家が十分にいません。唯一のスケーラブルな解決策は、社内人材をより早く、より意図的に育成することです。インターンシップ、クロストレーニング、構造化された開発プログラムは、時間をかけて能力を拡大する道筋を提供するため、ますます重要になっています。 

チームがAI導入に備えていること

最も重要な変化は技術ではなく、説明責任に関するものです。AIはそれだけで成果を出すわけではありません。その効果は、人々がどのように設定し、管理し、解釈するかに依存します。自動化が進む中でも、人間の監督は依然として不可欠です。スアレスはこれを直接警告して「AIはあなたに取って代わらないかもしれないが...AIを使う誰かに取って代わられるだろう」と警告します。  

ここで戦略と実行が交差します。ロビンソンによれば、「成功する組織は、最も多くのツールを持つ組織ではなく、それらを責任を持って効果的に活用できるチームを持つ組織です」と述べています。それには以下の組み合わせが必要です: 

  • 強固なガバナンスとデータ管理 
  • 統合的なセキュリティ実践 
  • 継続的な労働力開発 
  • チーム間の明確な連携

これらはよくある優先事項ですが、AIはリスクを高め、対処までの時間も短縮します。スピードだけでなく、準備状態に集中しましょう。AI導入と並行して労働力の能力を構築し、セキュリティをAIの運用の一部として扱うこと。 

 

オン デマンドウェビナー を視聴して、H.I.G. CapitalやCompTIAからのさらなる洞察を聞くか、 CompTIAチームとつなが ってSecAI+認定資格を含むAIセキュリティやワークフォース準備について話し合いましょう。