生成AIは敵か味方か。注力すべきセキュリティ投資とは？

生成AIのセキュリティ領域における活躍は、ソリューションの多様化に伴い明らかなものとなってきました。生成AIは強力な味方となり得る一方、警戒したいのがそれを悪用されるケースです。サイバー攻撃に生成AIが用いられたり、生成AIの利用そのものがリスクとなってしまったりすることで、企業が思わぬ損失を被る問題が懸念されています。

セキュリティ支出が世界的に高まる中、今後企業はどの分野への投資を深めていくべきなのでしょうか。

2025年、セキュリティ支出は2120億ドルまで上昇の予測

2024年8月、大手調査会社のガートナー社が発表したレポートによると、情報セキュリティに対して世界のエンドユーザーが負担することになる支出は、2024年の1,839億ドル

から15.1%増加し、2,120億ドルにまで到達すると試算しています。

セキュリティ支出が増大する要因として、同社は以下の3つの要因を挙げています。

脅威の継続的な高まり
クラウドシフトの進行
人材不足

企業のセキュリティ投資が強化される一方、サイバー攻撃の発生件数は減少するどころか増加の一途をたどっています。また攻撃手法の多様化や悪質化も懸念されており、企業はより一層の強化が求められるのが現状です。

加えて、近年はシステムのクラウドシフトが進み、従来のセキュリティ環境の抜本的な改革が求められています。このようなセキュリティ改革には必然多額の投資が必要となるため、積極的なセキュリティ支出は免れません。

また、セキュリティ領域における人材不足も各社で深刻な懸念をもたらしています。従来よりも高額なオファーを提供したり、十分な人手を確保したりしなければ、盤石なセキュリティ環境を整備できない問題です。

17%の情報漏洩に生成AIが関与する懸念も

ガートナーが示しているもう一つの気になるレポートが、サイバー攻撃やデータ漏えいにおいて生成Aの関与度合いが増加傾向にある点です。

同社は2027年までに全てのサイバー攻撃、およびデータ漏えい事件の17%に生成AIが関与するようになると予測しており、生成AIの悪用を踏まえた対策は不可欠と言えるでしょう。

生成AIのネガティブな側面といえば、これまでは著作権や肖像権の問題、そして出力情報のブラックボックス化といった、クリエイティブな方面における懸念事項が一般的でした。しかし、2,120億ドルを超える市場を生み出すに至ったセキュリティ領域における生成AIの懸念は、そのような創造性に関する議論よりも、差し迫った課題であると言えるのではないでしょうか。

【成功率87％】生成AIを用いたサイバー攻撃に懸念

生成AIを用いたサイバー攻撃において、猛威を振るっているのがソーシャルエンジニアリングのアプローチにおいてです。

生成AIの標的は「人間」

ソーシャルエンジニアリングは、システムの向こう側にいるユーザー、つまり人間に対して働きかけを行い、マルウェアのインストールや情報流出を促す手法です。行政の人間を装って手続きを呼びかけたり、脅迫を行ったりすることにより、人間のアクションを誘います。

生成AIの登場によって、ソーシャルエンジニアリングははるかに簡単で、かつ効果的に実行できるようになっています。日本語のような独自性の高い言語であっても、AIによって自然な文章を生成し送信先のアクションを簡単に呼びかけられる環境が整いました。

「怪しい日本語のメールは削除」だけではもはや事足りず、それ以上の対策を求められるようになっている状況です。

ワンデイ脆弱性攻撃に用いられる生成AIの脅威

生成AIを用いた攻撃において、もう一つ脅威と認識されているのがワンデイ脆弱性攻撃への適用です。

ワンデイ脆弱性攻撃とは、脆弱性が発見され、修正パッチが適用されるまでの期間を狙ったサイバー攻撃を指します。システムに脆弱性が見つかった場合、配布アップデートを即座に適用すればリスクは小さいものです。しかし規模の大きなシステムやサーバーの場合、迅速なアップデートが得られないケースも多く、この瞬間を攻撃者は逃さないというのがワンデイ脆弱性攻撃の恐ろしさです。

生成AIに過去に公開された脆弱性情報や修正内容、脆弱性探索方法を読み込ませることで、ワンデイ脆弱性を発見・攻撃させる実験がアメリカの大学で行われました。OpenAIの最新大規模言語モデルであるGPT-4を使用したこの実験では、実に攻撃成功率は87%にも達しており、重大な脅威であることが知られるきっかけとなっています。

生成AIの恐ろしいところは、常人ではあり得ない試行回数を簡単に確保できる点です。このような生成AIの強みは今後もさらに強化されると考えられ、このような攻撃を踏まえた対策を検討しなければなりません。