Skip to main content

RSA 2026:AIサイバーセキュリティの成熟度 - なぜAIは壊れたシステムを修正できないのか

エンタープライズ州と地方AIサイバー
April 21, 2026Dr. James Stanger

本サイト上のコンテンツは、参照目的だけのために、英語の原本から翻訳されたものです。また、本サイト上のコンテンツの一部は機械翻訳されたものです。日本語版と英語版の間に何らかの齟齬がある場合には、英語版が優先されます。
当社は改善のためのあらゆる努力を行いますが、翻訳の正確性及び信頼性は保証せず、当社に故意または重大な過失がある場合を除き、不正確性又は遺漏により生じる損失又は損害に責任を負わないものとします。

AIを混沌に放り込んで知恵を期待することはできません

RSAサンフランシスコのショールームフロアの秩序ある混沌を目の当たりにし、プレゼンターたちの知恵を体験するのはいつもワクワクしますし、少し不安でもあります。製品やベストプラクティスの驚異的な進歩を見るのはとてもワクワクします。RSAは企業と政府が学びに関わる創造的な交節点であり続けています。CompTIAにとっては自然な居場所です。しかし同時に、私たちがどれだけ努力しても、ほとんどの組織がサイバーセキュリティの進展を十分に進めていないことに不安を感じさせます。確かに、成熟と効率の模範的な人もいます。しかし、彼らは依然として少数派にとどまっています。

「有害な組み合わせ」への対抗

RSA 2026でのプレゼンテーションでは、同僚のパトリック・ジョンソンと私は意図的に「AIの流行語」トークを避けました。代わりに、私たちは実際の組織で繰り返し目にするもの、すなわち有望なAIイニシアチブが未熟なプロセスや文化的な盲点、長年の技術的負債と衝突するパターンに焦点を当てました。私たちはこれらのパターンを「有害の組み合わせ」と呼び、AIがリーダーが期待する成果をしばしば提供できない理由を説明しています。

少し話が逸れますが、このブログでは今このタイミングで何らかのSF的な引用を入れることが重要です。私たちの場合は、『The Ultimate Computer』というエピソードに登場するクラシックオリジナルシリーズのスター・トレックのリファレンスを使います。エピソードの最後で、人間が(誰が知っていただろう)暴走したAIシステムから危機を救ったところで、ミスター・スポックとマッコイ博士は人間とAIの相互作用の利点について避けられない議論を繰り広げる。スポックは返す。「あなたの記憶のエングラムをコンピューターに刻印するのはとても面白いでしょうね、ドクター。その結果として生まれる非論理的な洪水は非常に面白いだろう。」

ご覧の通り、1960年代でさえ、テレビの視聴者は間違ったことを統合し、自動化し、反復してしまうと起こりうる問題、つまり混沌を理解していました。しかし、テック業界全体が以下の課題を抱えています。

  • レジリエントな技術を導入することで、組織に即時の価値をもたらしましょう。
  • 迅速にガバナンスを導入しましょう – 絶え間ない変化の中でコンプライアンスフレームワークの作成に時間をかけすぎる余裕はありません。
  • 効率化のために自分をボットやエージェントに複製する。

これらは価値があり、必要な目標です。本当に、彼らはテーブルステークのようなものです。ただし、正しいものを必ず複製してください。

悪い状況にAIを挿入する

組織は、運用、サイバーセキュリティ、ソフトウェア開発、顧客エンゲージメントのいずれにおいても、AIを「何かする」という大きなプレッシャーを感じています。しかし、私たちの研究と現地経験から、AIは悪い状況や理論的なワークフローでは繁栄できないことが示唆されています。それは、既存のシステムとつながった、人と共に、具体的なワークフローの中で機能しています。そして、もしそれらのワークフローが壊れていたり有害であれば、AIはそれらを直すのではなく、スケールさせるだけです。

私たちが目にする最も危険な前提の一つは、AIを単に状況に放り込むだけで状況を良くできるという考えです。私たちは皆、古いプロセスが変わらず再利用される状況を目にしてきました。新しい技術がそのプロセスを再考させても。壊れたインセンティブは依然として残っています。シャドウITや未公開のワークフローは静かに存在し、重大な影響力を発揮しています。これらのワークフローの中には実際に非常に有用で優れたものもありますが、即時の価値を生み出す影のワークフローとして文書化されておらず、AIの導入が間違った形で使われるとしばしば廃止されてしまいます。

こうした環境では、AIは判断を改善するどころか判断を置き換え、明確さではなく曖昧さを自動化し、誤った判断を排除するのではなく加速させます。それは変革ではなく、より速い失敗です。これが、AI実装の約80%がいわゆる「バックトラッキング」を経験する理由かもしれません。ここでAIプロジェクトが始まりますが、通常はアナログな別のプロセスに引き戻されます。CompTIAが運営しているあらゆる分野で、企業、政府、学習機関でそれを目の当たりにしています。

私たちが指摘した多くの有害な組み合わせは「中間」の空間に存在しています。人間がシステムに仕事を渡す、APIがサービスを接続する、エージェントに十分な監督なしに権限を与えられる、あるいは明確な所有者なしにワークフローが広がる場所です。これらの中間空間こそがリスクが集中し、AIが最も力を発揮する場所です。AIアシスタントが破損したり、範囲を誤ったり、過度に信頼されたりすると、その結果は従来のツールが許すよりもはるかに速くシステム全体に波及する可能性があります。

すべてが有害というわけではありません!

しかし、これらのリスクにもかかわらず、私たちのメッセージは悲観的ではありませんでした。実際、それは慎重ながらも楽観的だった。AIに備えること――本当に 準備すること――は、組織に長年無視したり先延ばしにしてきた問題に直面させたりします。AIを責任を持って導入するためには、ワークフローの在庫管理、意思決定経路の文書化、プロセスの合理化、所有権の明確化が必要です。AIシステムが何を見たり、何をしたり、ルールが適用されるかを定義しなければなりません。これらはサイバーセキュリティやITガバナンスにおける新しい考え方ではありませんが、AIはそれらを即時的で避けられない必須事項に変えてしまいました。

ここからが本当に面白いところです。組織がAIを導入する中で、多くの組織が意図せず全体的な成熟度を高めています。このことがサイバーセキュリティの分野で最も顕著に現れています。数十年にわたり、サイバーセキュリティは決定的な進展を図ることに苦労してきました。進歩は確かにありましたが、しばしば遅く、反応的で断片的でした。しかしAIは、安全に機能するためには、より良いデータ衛生、明確なアクセス制御、より強力なアイデンティティ慣行、そしてより厳格なワークフローガバナンスが必要です。未熟さは価値の障害となり、単なるリスクの源ではありません。これにより、組織は 英国郵便局スキャンダルや様々なサプライチェーン攻撃を回避し、AIを導入してサイバーセキュリティの成熟度を真に実現できます。

AIにとって安全な職場環境づくり

その結果、組織はワークフローを合理化しています。例えば、組織がSOC運営を行い、インシデント対応を再考する真剣な取り組みが見られますが、それはフレームワークが指示したからではなく、AIが非効率や盲点を無視不可能にしたからです。場合によっては、AI主導の変化によって数年で、過去20〜30年間の政策やツールだけで達成できたサイバーセキュリティの成熟度を上回っているのかもしれません。

例えば、インシデント対応に関しては、組織が「午前3時の電話」というありきたりなインシデントから離れ、慢性的で長期的なマイクロインシデントの調査に取り組んでいるのが見られます。AIを適切に導入した組織は、「サイバーセキュリティのマイクロアグレッション」が発生するワークフローの重要な領域を特定することができました。マイクロアグレッションには、OWASPトップ10( 従来 型・ AI版の両方)に含まれるあらゆるものが含まれます。

  • 理論的または理想的なワークフローを、組織内で実際に起きているワークフローの代わりに置き換えること。

  • 技術をビジネスニーズにどうマッピングするかに関する経営幹部のコミュニケーションの不備。

  • 導入プロセス中にサイバーセキュリティの問題を記録し、フォローアップしなかったこと。

  • DevOpsプロセス中にコードとプラットフォームをペアリングする際のサイバーセキュリティのガードレールを回避すること。

  • AIを考慮しない緩いガバナンス構造。

  • 技術労働者のスキルアップの必要性を無視しています。

この最後の点は、多くの点で最も重要です。過去1年で、エンタープライズCISOや軍のリーダー、プライベート・エクイティ投資家の皆さんから、AIを成熟させて活用するための準備において、スキルアップが最も重要な要素だと言われました。これ以上に大切なものはありません。しかし、同じリーダーたちは、組織がこの特定のマイクロアグレッションの悪影響を十分に認識していないとも指摘しています。

私たちのプレゼンテーションから得られた教訓はシンプルだが要求的でした。AIは驚くべきことを成し遂げることができる――ただし、それはあなたが準備をしなければの話です。AIを正しく行えば、指数関数的な技術がもたらす深刻なレバレッジを体験できます。もしそうしなければ、さらに大きな問題が発生します。ワークフローをクリーン化し、粗雑なものを減らし、思考を成熟させる組織は、AIが彼らの長所を増幅させることに気づくでしょう。そうでない人は、AIがもはや無視できない問題の鏡を映し出しているだけだと気づくかもしれません。

その意味で、AIは単なる技術的な変化ではないかもしれません。それは、私たちがついにデトックスして大人になるための、これまでで最も強い動機かもしれません――つまり、成熟したのです。そうすれば、適切なAIと人間の対話が健全な環境をもたらすという知恵を享受できるでしょう。

CompTIAが御社のAIおよびサイバーセキュリティ課題にどのように取り組むかについて話し合いたい方は、 こちらからご連絡ください。