｢完全防御は困難｣でどうする？サイバー攻撃対策 ゼロトラストからサイバーレジリエンスへ

最近、ゼロトラストセキュリティの次の段階として、サイバーレジリエンスも注目を集めている。ゼロトラストは被害を受けなくするのが前提だが、サイバー攻撃を完全に防ぐのは難しいため、攻撃を受けることを前提に予測力、抵抗力、回復力、適応力の強化に焦点を当て被害を最小限に復旧させることを指す。

「係長セキュリティから社長セキュリティへの移行」という話題もある。これは、大手、中堅企業を中心に、セキュリティ対策は経営マターという認識が着実に進展していることを表す。実際、CISO（Chief Information Security Officer：最高情報セキュリティ責任者）を設置する企業も増えている。

ただ、CISOを設置している割合は、日本が39.4％なのに対し、アメリカは96％と高く、日本はまだまだこれからだ（NRI「Secure Insight 2022」）。攻撃そのものも非常に高度になり、なかなか防ぎきれない状況が続いていて、経営者が関与するセキュリティ対策がますます重要になっている。

私が座長としてまとめた経済産業省「サイバーセキュリティ経営ガイドライン」では、経営者が認識すべき3原則としてリーダーシップの発揮、サプライチェーン強化、 社内外の情報共有を挙げている。

またサイバーセキュリティ経営の重要10項目としてCISOなどが対応すべき点についても書かれている。経営者はこれらを参照して、セキュリティ対策が経営マターだと認識してしっかり対応してもらいたい。

生成AIがサイバー攻撃をさらに高度化する

――生成AIはサイバー攻撃やセキュリティ対策にどのような影響をもたらすか。

以前から、AIとセキュリティの関係には4つの観点があると私は言っている。「Attack using AI」はAIを利用した攻撃、「Attack by AI」はAI自身による攻撃で、どちらもAIが攻撃してくるが、後者のAIが自律的に攻撃してくる可能性も認識しておく必要がある。そのほか、AIへの攻撃の「Attack to AI」と、AIを利用したセキュリティ対策となる「Measure using AI」もある。

今後は、AIを利用した攻撃がいっそう増えると考えられるが、「Attack using AI」では、とくに生成AIの影響が大きくなるだろう。