クロード ミュトスなどのフロンティアAIの登場により、組織が対応するより速いペースでAIが悪用される時代になりつつある。
もはや、いかに早くパッチ適用するかということはナンセンスだ。
攻撃者がフロンティアAIを活用した場合、防御側の対応は間に合わない。攻撃側のエクスプロイト速度が24時間以下に短縮されているのに対し、防御側のパッチ適用には平均55日を要する。攻撃者は人間の確認を省いて高速化できるが、防御側は各段階で人間の確認を挟むため、両者の時間軸の差は人間の運用努力では埋められない。
重要なのは、人間が逐次承認を行う構造からの脱却だ。今後は、AIが内部で高速に検知・分析・封じ込めを回し、人間はその外側から監査やガバナンスを担う「ダブルループ構造」への移行が必要である。人間がリアルタイム処理を担うのではなく、「AIの判断基準を設計し、監督する側」へと役割を変えていくのである。
必要なのは「隔離前提」の経営判断
これから企業に求められるのは、「完璧に防ぐこと」ではない。
あらかじめ攻撃表面積を小さくし、残った攻撃表面積に対して、攻撃時にはどれだけ速く隔離できるか、リスクを低減できるかが勝負となる。今後は、「脆弱性検知までの時間」「システムを隔離するまでの時間」が取締役会レベルの指標になってくるだろう。
つまり経営陣は、これまでの「止めないIT(システムの可用性優先)」「メンテナンス時間最少化 」を捨てる必要がある。
「止めないIT」は、業務継続を重視する上では合理的な考え方だった。しかしAI時代では、その前提そのものが崩れ始めている。
場合によっては、
- 即時ネットワーク隔離
- AIによる自動封じ込め
- 強制停止
- 一時業務停止
を許容する経営判断が必要になる。また守るべき資産が多すぎると、対応も間に合わない。優先順位をつけてインターネットに接するシステムと、インターネットから分離するシステムも取捨選択する必要がある。
