AI駆動型攻撃が現実となる時代に求められるセキュリティ対策と専門家の役割とは――名和利男氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

生成AIが本格的に登場してから、多くの専門家や研究者が「AIを活用した攻撃」の可能性を指摘してきた。こうしたAI駆動型攻撃には、「高度な自動化」「人間の行動パターンの模倣」、そして「迅速な適応と進化」という3つの特徴がある。

[高橋睦美，ITmedia]

　遺伝的プログラミングも含め、プログラムの作成と解析、修正といった一連のプロセスにAIを活用していくことで、「攻撃者との時間的競争において、優位性を確保できる可能性があります」と名和氏は述べた。

　現在、日本企業ではまだ脆弱性対応は人手に頼る部分が多く、結果として取りこぼしや見逃しが発生している。一方で、ゼロデイ脆弱性が発見されてから悪用されるまでの時間はどんどん短くなっている。

　こうした状況の中で、脆弱性を自動的に検出するだけでなく、修正までサポートする自動バグ修正技術には大いに期待できる。名和氏は「懸念が現実のものになったときの被害は、おそらく私たちの想像を絶するものになるでしょう。その前に関心を持ち、コンセプトを理解して導入に向け取り組む必要があるでしょう」と述べた。

AI時代のセキュリティ専門家に求められる戦略的思考と倫理的判断

　このようにAI駆動型攻撃、いわば「知能化された脅威」のリスクがますます高まる中、われわれはどのように対応していけばいいのだろうか。

　名和氏はまず、これまで培ってきた従来型防御の速度、スケーラビリティ、適応性、協調性をいっそう高めていくことが重要だとした。同時に、従来型の防御ではカバーできていない新たな適応手段に取り組む必要もあるという。

　その1つが、「機械学習を活用したセキュリティ強化」だ。特に、異常検出や脅威インテリジェンスの高度化には期待ができるという。「単に情報を取ってきて、それを知らせて終わるのではなく、きちんと機動的に、有機的に使うことが重要です。そこにAIが介在することで、人間の専門家とAIとで効果的な役割分担が可能になります」（名和氏）

　生成AIは、データ分析やパターン認識、反復的タスクの自動化は得意だが、この行動を取ったら、どのような影響が起こるかを総合的に判断することまでは実現できていない。AIの分析結果を基に、人間の専門家がしっかり戦略的な判断や意思決定を担い、さらにプライバシーや法的な観点も含めてリスク管理や倫理判断を下していくことが必要だとした。

　名和氏はさらに、セキュリティオーケストレーションの重要性についても話した。セキュリティオーケストレーションは、複数のセキュリティツールが組み合わさって複雑化したセキュリティスタックの統合管理、自動化を通して、効率的な運用を支援する仕組みだ。「今や、一定レベル以上のセキュリティ人材はなかなか集まりません。人材採用に費やす予算で、新たなソリューションを検討するのもいいと思います」（名和氏）

　今後もAIはますます進化していくだろう。名和氏は、防御AIと攻撃AIの進化と衝突は避けられないと予測する。その中で、AIベースで自ら学習し、進化を続けて最新の脅威に適応する自己学習セキュリティシステムが必須のものとなり、いずれは実現されるだろうとした。そして、こうした変化に伴い、人間が果たす役割も大きく変化していくという。

　「サイバーセキュリティ人材にとって、戦略的思考と倫理的判断が最も重要になります。さまざまな議論を通して、AIにはまだ実現できない人間ならではの創造性と直感を養うことができるでしょう」と名和氏は述べ、技術、戦略、倫理を統合的に理解する能力を備えたセキュリティリーダーが、これからの世界で生き残っていくだろうとした。

　そしてあらためて、AI駆動型攻撃に対して従来型の防御だけでは限界があり、新たな防御戦略を検討する必要があることを強調。人間の創造性や倫理観を生かした新たなセキュリティパラダイムシフトに向け、ガイドラインの策定を待とうと様子をうかがったり、誰かが教えてくれるのを待つのではなく、自ら変革の主体者となり、考え、行動を起こしてほしいと呼びかけた。