Google Cloudの委託を受けたクラウド・セキュリティ・アライアンス(CSU)のレポートによると、経営幹部はIT・セキュリティ担当者よりもAI技術に精通しているという。4月3日に発表されたこのレポートでは、IT・セキュリティ担当者がAIによって職が奪われることを懸念しているかどうか、生成型AIの増加によるメリットと課題などについて論じている。
調査対象となったITおよびセキュリティ専門家のうち、63%がAIが組織内のセキュリティを向上させると考えています。さらに24%はAIがセキュリティ対策に与える影響について中立的であり、12%はAIが組織内のセキュリティを向上させるとは考えていません。調査対象者のうち、AIが自分の仕事を代替すると予測したのはわずか12%でした。
このレポートの作成に使用された調査は国際的に実施され、2023年11月に南北アメリカ、アジア太平洋、EMEAの組織に所属する2,486人のITおよびセキュリティ専門家と経営幹部から回答を得ました。
リーダーシップに就いていないサイバーセキュリティ専門家は、サイバーセキュリティにおける AI の潜在的なユースケースについて、経営幹部ほど明確ではなく、「非常に明確」であると回答したスタッフはわずか 14% でした (経営幹部レベルでは 51%)。
「AIの理解と実装における経営陣とスタッフの間の断絶は、この技術をうまく統合するための戦略的かつ統一されたアプローチの必要性を浮き彫りにしている」と、クラウド・セキュリティ・アライアンスのAI安全イニシアチブの議長、カレブ・シマ氏はプレスリリースで述べた。
レポート内の一部の質問では、回答が生成 AI に関連するものである必要があると指定されていましたが、他の質問では「AI」という用語が広義に使用されていました。
セキュリティにおけるAIの知識ギャップ
経営幹部レベルの専門家はトップダウンのプレッシャーに直面しており、セキュリティ専門家よりも AI のユースケースを意識するようになっている可能性があります。
多くの(82%)経営幹部は、経営幹部や取締役会がAI導入を推進していると回答しています。しかし、このアプローチは将来的に導入上の問題を引き起こす可能性があると報告書は指摘しています。
「これは、このようなユニークで破壊的な技術(例えば、迅速なエンジニアリング)を採用し、実装するために必要な困難さと知識に対する認識の欠如を浮き彫りにしている可能性がある」と、クラウド セキュリティ アライアンスの研究および分析担当シニア テクニカル ディレクターである筆頭著者のヒラリー バロン氏と寄稿者チームは書いている。
このような知識ギャップが存在する理由はいくつか考えられます。
- サイバーセキュリティの専門家は、AI が全体的な戦略にどのような影響を与えるかについて、あまりよく知らないかもしれません。
- リーダーは、既存のサイバーセキュリティ慣行の中で AI 戦略を実装することがいかに難しいかを過小評価している可能性があります。
レポートの著者は、一部のデータ (図 A ) によると、回答者は生成 AI と大規模言語モデルを、自然言語処理やディープラーニングなどの古い用語と同じくらいよく知っていることが示されていると指摘しています。
図A
報告書の著者は、自然言語処理やディープラーニングといった古い用語に対する馴染みの深さは、生成 AI と ChatGPT のような一般的なツールとの混同を示している可能性があると指摘しています。
「導入と実装の面でより重要なのは、消費者向けGenAIツールに精通しているか、それともプロフェッショナル/エンタープライズレベルのGenAIツールに精通しているかの違いです」とバロン氏はTechRepublicへのメールで述べています。「これは、あらゆるレベルのセキュリティ専門家の間で広く見られる現象です。」
AIはサイバーセキュリティの仕事に取って代わるでしょうか?
セキュリティ専門家の少数派(12%)は、今後5年間でAIが自分の仕事を完全に置き換えると考えています。一方、より楽観的な見方をする人もいます。
- 30% は、AI がスキルセットの一部を強化するのに役立つと考えています。
- 28% は、AI が現在の役割全般をサポートすると予測しています。
- 24% は、AI が自分の役割の大部分を置き換えると考えています。
- 5% は、AI が自分の役割にまったく影響を与えないと予想しています。
組織の AI に対する目標はこれを反映しており、36% が AI によってセキュリティ チームのスキルと知識を強化することを目指しています。
報告書は興味深い矛盾を指摘しています。スキルと知識の向上は非常に望ましい成果であるにもかかわらず、人材は課題リストの最下位に位置しています。これは、脅威の特定といった差し迫った課題が日常業務において優先される一方で、人材は長期的な課題であるということを意味しているのかもしれません。
サイバーセキュリティにおけるAIの利点と課題
AIが防御側と攻撃側のどちらにとって有益かという点では、グループの意見は分かれた。
- 34% が、AI はセキュリティ チームにとってより有益であると考えています。
- 31% は、防御側と攻撃側の両方にとって同様に有利であると考えています。
- 25% は、攻撃者にとってより有利であると考えています。
セキュリティにおける AI の利用を懸念する専門家は、次のような理由を挙げています。
- データ品質が低いため、意図しない偏りやその他の問題が発生する(38%)。
- 透明性の欠如(36%)
- 複雑な AI システムの管理に関するスキル/専門知識のギャップ (33%)。
- データ汚染(28%)
幻覚、プライバシー、データの漏洩や紛失、正確性、不正使用も、人々が懸念する可能性のある他の選択肢でした。回答者に最も懸念される 3 つの項目を選択するよう求めた調査では、これらすべての選択肢に対する投票は 25% 未満でした。
参照:英国国立サイバーセキュリティセンターは、生成AIが攻撃者の武器を強化する可能性があることを発見しました。(TechRepublic)
回答者の半数以上(51%)は、サイバーセキュリティにおけるAIへの過度の依存の潜在的リスクを懸念しているかという質問に対して「はい」と回答し、さらに28%は中立的でした。
サイバーセキュリティにおける生成AIの計画的利用
サイバーセキュリティに生成AIを活用することを計画している組織では、想定される用途は非常に多岐にわたります(図B)。一般的な用途としては、以下のようなものがあります。
- ルールの作成。
- 攻撃シミュレーション。
- コンプライアンス違反の監視。
- ネットワーク検出。
- 誤検知を削減します。
図B
AI時代の組織はチームをどう構築しているのか
調査対象者の74%が、今後5年以内にAIの安全な利用を監督するための新たなチームを設置する予定であると回答しました。これらのチームの構成は多岐にわたります。
現在、AI導入に取り組んでいる組織の中には、セキュリティチーム(24%)にAI導入を委ねているところもあります。その他の組織では、AI導入の主な責任をIT部門(21%)、データサイエンス/アナリティクスチーム(16%)、専任のAI/MLチーム(13%)、または上級管理職/リーダーシップ(9%)に委ねています。より稀なケースでは、DevOps(8%)、クロスファンクショナルチーム(6%)、あるいはいずれのカテゴリーにも当てはまらないチーム(「その他」として1%)が責任を負っているケースもあります。
参照: 採用キット: 迅速なエンジニア (TechRepublic Premium)
「サイバーセキュリティにおけるAIは、既存の役割を変革するだけでなく、新たな専門職への道を切り開いていることは明らかだ」と筆頭著者のヒラリー・バロン氏と寄稿者チームは書いている。
どのようなポジションですか?バロン氏はTechRepublicに対し、生成AIガバナンスはAIに焦点を当てたトレーニングやスキルアップと同様に成長しているサブフィールドだと語った。
「一般的に、プロンプトエンジニア、AIセキュリティアーキテクト、セキュリティエンジニアなど、よりAIに特化した役割を含む求人広告も見られ始めています」とバロン氏は述べた。
