今後のセキュリティ管理の鍵はサイバー攻撃を前提に事業継続性を向上させるサイバーレジリエンス（2/2 ページ）

[山下竜大，ITmedia]

生成AIに関しては日本と米豪で活用状況に大きな差が

　ゼロトラストセキュリティの観点では、VPN侵害によるセキュリティ事故が頻発している中、約8割の企業が今後もVPNを使用継続すると回答している。一方、従業員数1万人以上の企業では、約18％がVPNの使用停止を検討している。その理由としては、ゼロトラストセキュリティ推進による脱VPNが66.2％で1位となっている。2位は他社で発生したVPNへの侵害が27.3％、3位はVPN機器のセキュリティ運用負荷の上昇が18.2％である。

　ゼロトラストの実装状況は、企業規模を問わず年々増え続けている。1000人〜1万人の企業では2022年の15.9％から2024年は29.2％に、1万人以上の企業では2022年の38.8％から2024年は48.9％に増えている。

　「ゼロトラストは検討の段階から実装のフェーズへと移っており、一部ではVPNを停止する企業も出てきています。注目すべきは、ゼロトラストを検討したがあえて実装しないという回答も増えていることです。ゼロトラスト検討中の企業はソリューション選定や戦略策定が課題で、一部実装中の企業はスコープ設定やユーザービリティとのバランスの考慮などが課題になっています」（足立氏）

ゼロトラストセキュリティは検討の段階から実装フェーズに

　生成AIに関しては、2023年に初めて調査を行い、2024年で2回目となる。生成AI活用状況は、日本企業は65.3％で、米豪の企業はほぼ100％活用している。日本企業では、社内の個人利用（情報検索・サマリ作成や議事録作成など）が多く、顧客向けサービス（顧客向け問い合わせチャットボットなど）が少ないことが海外との大きな違いとなっている。生成AIサービスの提供を検討するにあたり、日本企業で懸念や課題となるのは、入力可能なデータの判断やルールを策定する人材の不足（45.7％）、出力される結果の不安定さ（39.4％）などである。

　また顧客向けの生成AIサービスの提供に関するセキュリティルールの整備状況に関する調査では、日本企業の16.0％がルールを整備する予定はないと回答している。足立氏は、「ルールを整備している企業に、どのようなルールを整備しているかを聞いたところ、入出力してはいけない内容を定義する、生成AIサービスの利用規約に記載する内容のルールを定義する、リリースまでの承認プロセスを整備するなどです。米豪に比べて少なかったのは、生成AIサービスのリスクレベルの定義です」と話す。

　生成AIサービスのリスクレベルを定義しているのは、日本企業の35.0％に対し、米豪は約70％となっている。リスクレベルの定義は、企画構想・リリース前の段階におけるセキュリティ課題の洗い出しや、最低限必要なセキュリティルールの方向性・内容を提供する点で重要であり、今後は日本企業もセキュリティレベルを定義することが必要になる。またAIシステムの開発・運用におけるセキュリティ対策では、日本企業の3割が対策を講じていないと回答している一方、米豪では多くの企業が「出力結果の監視」や「出力結果の評価とテスト」を実施している。プロンプトインジェクションなど、生成AI特有の攻撃への対策も米豪に比べ、日本企業の実施率が低くなっていることも課題である。

生成AIの活用は増えたが顧客向けサービスに活用する日本企業は未だ少ない

　「AIを活用して効率化したいセキュリティ対策も、日本企業と米豪で中身が異なります。米豪ではセキュリティルールの作成やセキュリティ対策状況の把握の自動化に生成AIを活用したいと答えていますが、日本企業では、1位が脆弱性の検知、2位が攻撃の検知で、3位が特になしとなっています。日本企業では、セキュリティ対策に生成AIを利用するという事例が少ないので、まだイメージできていないのかもしれません。今後、AIエージェントを搭載したセキュリティ製品やサービスが増えていくので、日本でも米豪と同様の状況になると考えられます」（足立氏）。