DBIR 2024:AI はサイバー脅威を加速するも、実際の影響はまだ限定的
2025 年 6 月 9 日 Iratxe Vazquez 著
サイバー攻撃における人工知能(AI)の利用は、今や深刻な懸念事項です。マルウェアの自動生成から高度化するフィッシング攻撃に至るまで、AI が脅威の規模と効果を高める能力は、大いに警戒すべきです。
しかしベライゾンの 2024 Data Breach Investigations Report (DBIR) によると、AI を直接的に利用しているのは、分析を行ったデータ侵害のうち 2% だけでした。これが示唆しているのは、AIツールが攻撃対象の範囲を広げている一方で、実際に成功した攻撃の数はまだそれほど多くない、ということです。
しかし現在企業は、新たなる大きなリスクとして「シャドウ AI」に直面しています。同報告書によると、従業員が私用または業務用アカウントを使用し、IT 部門の管理外で、適切な認証なしに AI ツールを使用した場合に、データ漏えいやセキュリティ侵害につながる可能性があると示されています。このことから、企業は明確な運用ルールを導入し、社内での AI 利用状況を積極的に監視して攻撃対象領域を最小限に抑え、デジタルアセットの管理を維持することが重要です。
AI の可能性を生かしながら、どのように安全な利用を実現するか?
調査では、従業員の 14% が業務用デバイスから AI ツールにアクセスしており、そのうち 72% は個人のメールアドレスでログインしていました。また 17% は社用メールを使用していたものの、適切な認証システムが導入されていなかったことが分かりました。
こうした行動は、企業の技術インフラストラクチャにリスクをもたらします。たとえば、従業員が個人アカウントを使って AI ベースのテキスト生成ツールで機密文書を作成するような場合、社内のセキュリティ対策の外で作業することになり、脆弱性を生む原因となります。なぜなら、サイバー犯罪者はセキュリティの甘いアプリやネットワークの脆弱性を突いてデータを傍受し、秘密裏に情報に不正アクセスする可能性があるためです。
社内での無断の AI 利用を十分に把握できていない場合、リスクは高まります。そのため、企業は次のような対策を講じる必要があります。
- 社内プロトコルの策定:
どの AI ツールが承認されているのか、インシデント発生時の対応方法、適用すべきセキュリティ基準など、AI 利用に関する明確なルールを定めましょう。これにより企業の運用リスクが軽減され、従業員も安心してツールを使用できるようになります。 - AI 固有のリスク評価:
AI を活用している環境に特化したリスク評価を実施しましょう。これにより、脆弱性が悪用される前に弱点を特定でき、データ侵害のシミュレーションや操作テストといった設計段階での対策も可能になります。 - データ保護:
データの入力と使用に関するセキュリティおよびアクセスの方針を策定しましょう。役割ベースのアクセス制御や暗号化、使用可能なデータの種類の制限などによって機密情報を保護することも可能です。 - エンドポイントにおける AI ツール利用の制御:
WatchGuard Endpoint Security は、社内での AI ツール利用を管理する多層的なアプローチを提供しています。例えばゼロトラストアプリケーションサービスは、新たな AI ツールなど未分類・未承認のアプリケーションを事前にブロックし、信頼できないソフトウェアの実行を防止します。またアプリケーションコントロール機能により、管理者はツール名や MDR カテゴリに基づいてアプリケーションのブロックや監視を行うことができ、承認されたツールのみが実行される環境を維持できます。生成型 AI ツールに関連するオンラインサービスへのアクセスを制限する場合には、Web アクセス制御機能を使って特定の URL やサイトカテゴリ全体をブロックすることが可能です。これらのポリシーは、個々のデバイスまたはデバイスグループに適用可能であり、各部門やリスク特性に応じて保護レベルを柔軟に調整できます。これによって、生産性を損なうことなく、リスクへの露出を抑えることが可能です。 - 教育への投資:
従業員が安全な AI の利用に関してより多くの知識を持つことで、異常の検出、適切な対応、アセットの保護が可能になります。これは企業のサイバー耐性を高めるだけでなく、従業員個々人の能力を伸ばし、デジタル成熟度の向上にもつながります。
人工知能は新たな可能性を拓くだけでなく、企業内に新たな脆弱性ももたらします。リスクは必ずしも外部にあるとは限らず、多くは未規制の、あるいは誤った内部利用から生じます。これが、発見しづらいセキュリティ課題を引き起こします。このようなリスクを軽減し企業アセットを守るためには、明確な使用ガイドラインを策定し、教育、社内ポリシー、技術的なソリューションを組み合わせた多層的なセキュリティ戦略を導入することが不可欠です。それにより、インテリジェントでプロアクティブな、かつ責任ある形での AI 活用が実現します。