国際情報システムセキュリティ認証コンソーシアム(ISCS)による新たな調査によると、サイバーセキュリティ専門家の大多数(88%)は、AIが仕事に大きな影響を与えると考えています。一方で、AIが仕事に与える影響を既に実感している回答者はわずか35%でした(図A)。この影響は必ずしもプラス面でもマイナス面でも、サイバーセキュリティ専門家が仕事の変化を予期していることを示しています。さらに、ディープフェイク、誤情報、ソーシャルエンジニアリング攻撃に関する懸念も高まっています。この調査では、ポリシー、アクセス、規制についても取り上げています。
AIがサイバーセキュリティ専門家の業務にどのような影響を与えるか
調査回答者は概ね、AIによってサイバーセキュリティ業務の効率化(82%)と、他の業務をAIが担うことでより価値の高い業務に時間を割けるようになる(56%)と考えています。特に、AIと機械学習はサイバーセキュリティ業務の以下の側面を担う可能性があります(図B)。
- ユーザーの行動パターンの分析(81%)
- 反復的なタスクの自動化(75%)
- ネットワークトラフィックの監視とマルウェアの検出(71%)
- 侵害が発生する可能性のある場所を予測する(62%)
- 脅威の検出とブロック(62%)
この調査では、「AI によって私の仕事の一部が不要になる」という回答を必ずしも否定的なものとして評価しているわけではなく、むしろ効率性の向上として位置づけています。
AIサイバーセキュリティに関する主な懸念事項とその影響
サイバーセキュリティ攻撃に関して、調査対象となった専門家が最も懸念していたのは次の点です。
- ディープフェイク(76%)
- 偽情報キャンペーン(70%)
- ソーシャルエンジニアリング(64%)
- 現状では規制が不足している(59%)。
- 倫理的な懸念(57%)
- プライバシー侵害(55%)
- 意図的または偶発的なデータ汚染のリスク (52%)。
調査対象となったコミュニティでは、AIがサイバー攻撃者にとってより有益か、防御者にとってより有益かという点で意見が分かれました。「AIと機械学習は、犯罪者よりもサイバーセキュリティ専門家にとって有益である」という意見に対しては、28%が同意、37%が反対、32%が不明と回答しました。
調査対象となった専門家のうち、13%は過去6ヶ月間のサイバー脅威の増加とAIの関連性を明確に確信していると回答しました。一方、41%はAIと脅威の増加との間に明確な関連性を見出せないと回答しました。(これらの統計はいずれも、過去6ヶ月間にサイバー脅威が大幅に増加したと回答した54%の回答者の一部です。)
参照:英国国立サイバーセキュリティセンターは、生成AIによって今後2年間でサイバー攻撃の量と影響が増大する可能性があると警告した。ただし、実際の状況はそれよりも少し複雑だ。(TechRepublic)
脅威アクターは、生成AIを活用することで、大規模な人間チームでさえ不可能な速度と規模で攻撃を仕掛けることができる可能性があります。しかし、生成AIが脅威の状況にどのような影響を与えているかは依然として不明です。
流動的:企業におけるAIポリシーの導入とAIツールへのアクセス
ISC2の調査回答者のうち、AIの安全かつ倫理的な利用に関する正式なポリシーを組織が整備していると回答したのはわずか27%でした。また、AI技術のセキュリティ確保と導入方法に関する正式なポリシーを組織が整備していると回答した組織は15%でした(図C)。ほとんどの組織は、依然として何らかの形でAI利用ポリシーの策定に取り組んでいます。
- 回答者の企業の 39% が AI 倫理ポリシーに取り組んでいます。
- 回答者の企業の 38% が AI の安全でセキュアな導入ポリシーに取り組んでいます。
調査では、従業員に AI ツールへのアクセスを許可するためのアプローチが以下のように非常に多岐にわたることがわかりました。
- 私の組織では、すべての生成 AI ツールへのアクセスをブロックしています (12%)。
- 私の組織では、一部の生成 AI ツールへのアクセスをブロックしています (32%)。
- 私の組織では、すべての生成 AI ツールへのアクセスを許可しています (29%)。
- 私の組織では、生成 AI ツールの許可または禁止について内部で議論したことはありません (17%)。
- 組織が生成 AI ツールに対してどのようなアプローチを取っているか分からない (10%)。
AIの導入は依然として流動的であり、市場の成長、衰退、あるいは安定化に伴い、今後さらに大きく変化していくことは間違いありません。サイバーセキュリティ専門家は、職場における生成型AIの問題を最もよく認識していると言えるでしょう。なぜなら、これは彼らが対応する脅威と業務で使用するツールの両方に影響を与えるからです。調査対象となったサイバーセキュリティ専門家の過半数(60%)は、組織におけるAIの導入を主導できる自信があると回答しました。
「サイバーセキュリティの専門家は、AIがもたらす機会と課題の両方を予期しており、組織にAIを安全に業務に導入するための専門知識と意識が不足していることを懸念しています」と、ISC2のCEOであるクラール・ロッソ氏はプレスリリースで述べています。「これは、サイバーセキュリティの専門家が、安全な技術に関する専門知識を活かし、その安全かつ倫理的な利用を確保するために主導的な役割を果たす絶好の機会となります。」
生成AIはどのように規制されるべきか
生成AIの規制方法は、政府の規制と大手テクノロジー企業との相互作用に大きく左右されます。調査回答者の5人に4人が、生成AIに関して「包括的かつ具体的な規制の必要性を明確に認識している」と回答しました。しかし、その規制をどのように実施するかは複雑な問題です。回答者の72%が、AIの種類によって異なる規制が必要であるという意見に同意しました。
- 63% が、AI の規制は政府の協力的な取り組み(国境を越えた標準化の確保)によって行われるべきだと回答しました。
- 54%が、AIの規制は各国政府が行うべきだと回答した。
- 61%(別の質問で調査)は、AI の専門家が集まって規制の取り組みを支援することを望んでいます。
- 28%が民間部門の自主規制を支持している。
- 3%は現在の規制されていない環境を維持したいと考えています。
ISC2の方法論
この調査は、2023年11月から12月にかけて、ISC2会員であるサイバーセキュリティ専門家1,123名の国際グループに配布されました。
「AI」の定義は今日では曖昧な場合があります。本レポートでは「AI」や機械学習といった一般的な用語を一貫して使用していますが、その主題はChatGPT、Google Gemini、MetaのLlamaといった「一般向け大規模言語モデル」(一般的には生成AIとして知られています)とされています。
