2024年1月、ガートナーは「日本の企業がセキュリティに関して2024年に押さえておくべき10の重要論点」を発表した。内容は以下の表のとおりである。

今回は特に注目すべき課題として「内部脅威への対応」「クラウドのリスクへの対応」「AIのリスクへの対応」を取り上げ、具体的にどのような脅威があるのかを説明しよう。

内部脅威

クラウドにはどこからでもアクセス可能といった便利さがある一方で、セキュリティリスクを抱えていることを覚えておきたい。例えば、第三者がクラウドへ不正にアクセスできる状態では機密情報を守ることはできない。

さらに恐ろしいのは、企業内部の過失によってセキュリティトラブルが引き起こされることだ。ここで言う内部とは、現役あるいは退職済みの社員や、権限を付与された社外関係者などを指す。例えばクラウド上で機密情報を取り扱う際に誤って暗号化されていないフリーWi-Fiなどを使用した場合、第三者がその内容を盗み見ることが可能となってしまう。

また、内部の人間が悪意を持って引き起こしたトラブルは他の理由によるセキュリティ被害に比べて危険性が高いことが判明している。2023年にIBM社が発表した「データ侵害のコストに関する調査レポート」によると、悪意のある内部の人間によって引き起こされたデータ漏えいの被害コストは、平均的なデータ漏えいの被害コストに比べて約9.5%高くなるという。

クラウドのリスクへの対応

前述の脅威に対して企業が実施できる対策として考えられるのは、クラウドのリスクに関する社内教育である。IDやアクセス権限などを適切に管理する方法や、攻撃対象になりやすいサービスを知ることで、トラブルを未然に防ぐことができ、万が一問題が発生した場合でも適切な対処が望めるだろう。

AI活用のリスクへの対応

AIを活用する際にも、セキュリティへの注意が必要だ。AI学習に使用されるデータセットは大量のデータの集合体であり、多くの機密情報を学習している可能性がある。AIは、情報を引き出そうと考える攻撃者にとって格好の的なのだ。

企業が保有するデータが外部からの攻撃によって流出した場合、罰せられるのは攻撃者だけではない。ヨーロッパでは「EU一般データ保護規則」によって、大規模なデータ流出被害に遭った大手航空会社が約250億円の制裁金を科せられた例がある。

また、最近はAIサービスそのものにセキュリティの脆弱性（ぜいじゃくせい）が発見されたことも報告されている。イスラエルのある大学は、チャットボット形式の生成AIがユーザーとやりとりするデータを傍受することにより、入力された内容をおおむね推測できることを発表した。通常、AIによるデータのやりとりは暗号化されているが、そのプロセスに使われるトークンの長さやタイミングを調べることで入力された内容を推測することが可能だという。

注目すべきは、今後は攻撃側もAIを活用する可能性が高く、サイバー攻撃がより高度化・複雑化していくと予測されることだ。そのため今後は、攻撃は防げないものという視点を持って被害を最小限に抑える対策や早期復旧のシステム整備などの先回りした対策も不可欠なものとなっている。

新しい技術やサービスは業務を効率的にしてくれる一方で、リスクの火種にもなり得る。そこで重要なのが、自社のセキュリティ対策の状況を見える形にする、「可視化」のシステムとセットで運用するということだ。管理がブラックボックス化した状態は、必ずトラブルの元となる。問題を敏感に察知する環境を整えて、上手に技術やサービスと付き合っていくことが求められる。