ニュース
生成AIのセキュリティへの影響、「防御側にプラス」との認識が高まる~Splunkが年次調査レポート
2024年5月16日 13:15
Splunk Services Japanは5月15日、年次調査レポート「2024年 セキュリティの現状」を発表した。今年のテーマは、「生成AIがサイバーセキュリティに与える影響は拡大傾向に」としており、セキュリティ分野における生成AIの活用にフォーカスした内容となっている。
調査では、91%の企業がサイバーセキュリティ業務に生成AIを利用していることがわかったという。また、同社が8カ月前に実施した別の調査では、生成AIが防御側にメリットを及ぼすとの回答は17%に留まっていたが、今回の調査では43%にまで一気に増えており、生成AIが防御側にプラスに働くとの見方へと変化していることが浮き彫りになった。
同調査は、日本や米国などの9カ国、16業種、1650人のセキュリティリーダーを対象に実施したもので、今回で4回目。Enterprise Strategic Groupと共同で実施している。日本の企業の回答比率は10~15%になっているという。
どこまでが「AIを活用したサイバー攻撃」にあたるのか?
調査によると、93%の企業が生成AIを利用し、91%の企業がサイバーセキュリティ業務に生成AIを利用していることがわかった。セキュリティ領域でも生成AIが一般的に利用されていることが示された。だが、34%の企業では、生成AIの活用に関するポリシーが策定されておらず、65%の企業では生成AIの影響を十分に理解していないことを認めたという。リスクを抱えながら企業内で利用されている実態が明らかになったといえる。
また、サイバーセキュリティへの投資を増やすとした企業が96%を占めるなかで、44%の企業がセキュリティにおける投資で、生成AIを重視すると回答。投資対象として、これまでの調査ではトップだったクラウドセキュリティが今回は35%と2位になり、3位のセキュリティ分析の20%に対しては、生成AIへの関心が2倍以上のスコアになっている。いまやセキュリティ投資において、最も優先度が高いのがAIというわけだ。
Splunk Services Japanセキュリティ・ストラテジストの矢崎誠二氏は、「AIゴールドラッシュと言われる時代に投入するなかで、セキュリティという観点でも、生成AIへの投資が加速していることがわかった」と述べた。
企業が懸念しているサイバー攻撃として、最も回答が多かったのが、「AIを活用した攻撃」で、36%に達したことも今回の調査では特筆される内容だ。2位の「サイバー脅迫」の24%、3位の「データ侵害」の23%を大きく上回る結果になっている。また、生成AIによる攻撃が増加することで、データ漏洩リスクが高まることを憂慮している企業は77%にも達している。
だが、「経験したことがあるサイバー攻撃」という設問では、「AIを活用した攻撃」は、10位以下に留まっており、1位の「データ侵害」の52%、2位の「ビジネスメール詐欺」の49%などに比べて、半分以下の回答に留まっているとみられる。
矢崎氏は、「数字の上では、サイバー攻撃に対する不安と現実にはズレがある」と指摘する。だが、これは、矢崎氏がわざわざ「数字の上では」と前置きする点にポイントがある。
今回の調査では、「AIを活用した攻撃」として、企業側が認識したものについて集計している。たとえば、コラボレーションツールの利用時に、他人が別人の画像で会議に参加したり、音声が生成AIで偽造されたりといったように、生成AIによる攻撃が明確なものが対象になっている。
その一方で、2位に入った「ビジネスメール詐欺」などで送られてくる日本語文章が生成AIで作成されていたとしても、企業側がそれに気付かなければ「AIを活用した攻撃」には含まれない。ランサムウェア攻撃でも、生成AIでコードを作成するケースが増えているが、その多くが集計では「AIを活用した攻撃」には含まれない。
矢崎氏は、「こうした集計に出ていないものを含めれば、もしかしたら、AIを活用した攻撃は、トップ5に入っているかもしれない」と警鐘を鳴らす。
多くの企業が懸念するように、AIを活用した攻撃の実態は、かなり多いと考えたほうがよさそうだ。
生成AIのセキュリティへの影響は「防御側にプラス」との認識が高まる
もうひとつのポイントは、生成AIツールの活用が、サイバー攻撃側と防御側の、どちらにメリットをもたらすかといった見方では、意見がまっぷたつに分かれていることだ。
今回の調査では45%の回答者が「生成AIは攻撃側にプラスに働く」と回答。一方で、43%が「生成AIは防御側に多くのメリットをもたらす」と回答し、ほぼ同率となった。
防御側では、生成AIの主な用途として、リスクの特定が39%、脅威インテリジェンスの分析が39%、脅威の検出や優先付けが35%などとなっている。さらに、生成AIを使用することで初心者レベルの人材の採用を増やすことができると86%の企業が回答。初心者レベルの人材が入社したあと、SOC(Security Operation Center:企業のセキュリティを主導する専門組織)でのスキルアップに、生成AIが役立つと回答した企業は90%を占めた。また、ベテランのセキュリティ担当者にとっても、生成AIは能力や技術の強化に役立つと回答した企業が65%に達した。
一方で、攻撃側の主な用途としては、既存の攻撃の効果を高める利用が32%、攻撃の量を増やすための利用が28%、新しいタイプの攻撃を生み出すための利用が23%などとなった。実際、ダークウェブではサイバー攻撃を行うために生成AIを利用できる環境が存在し、ラムサムウェアを開発するための専用大規模言語モデルが流通していることも確認されている。
注目しておきたいのは、認識の変化だ。今回の調査では、生成AIがメリットを及ぼすのは、攻撃側と防御側がほぼ半々という結果だったが、同社が8カ月前に実施した別の調査では、防御側にメリットがあるとの回答は17%に留まっていた。今回の調査では、それが43%にまで一気に増えていることを考えれば、生成AIに対する意識が短期間に大きく変わっていることがわかる。
つまり、8カ月前までには、生成AIは、圧倒的ともいえるほど攻撃側にメリットを及ぼすツールだと見られていたが、その意識が大きく変わり、いまでは防御側にもメリットを及ぼすツールであるという捉え方が増えてきたのだ。
「生成AIは、セキュリティチームの相棒としての認識が広がっている」(矢崎氏)というわけだ。
さらに、矢崎氏は、「あくまでも私見」としながら、「今後は、防御側に対するメリットが大きくなるだろう。各国政府による規制が強まり、政治的な犯罪に生成AIを利用することに対する取り締まりが強化されている。一般的に公開されているLLMを悪用することは難しくなるのは間違いない。防御側が生成AIを利用する範囲も広がっていくだろう。ダークウェブでの動向は注視する必要があるが、大きな流れとしては、生成AIは、防御側に有利に立つのではないか」との見方を示した。
また、「生成AIはセキュリティチームにとって、ゲームチェンジャーになると考えている」という企業が44%に達しており、生成AIを防御のためのツールとして活用することへの期待が高まっていることがわかる。
セキュリティチームの負担減が回答に現れる
今回の調査では、「サイバーセキュリティ対策の負担が軽くなっている」という傾向も明らかになった。2022年の調査では、サイバーセキュリティ要件への対応の難易度が「難しくなった」との回答が66%を占めていたものが、今回の調査では46%にまで減少。「楽になった」との回答は17%から、41%に増加している。「楽になったという背景には問題点の発見が迅速になり、それにより修正が速くなったという点があげられる。また、91%の企業のセキュリティチームが生成AIを活用していることを考えれば、楽になった要因のひとつに生成AIの活用をあげることができる」とした。
また、93%の企業が、サイバーセキュリティプログラムの初期的段階をはるかに超えていると回答。そのうち47%の企業が、自らを「非常に先進的」と回答。46%の企業ではセキュリティプログラムが社内に確立されていると回答している。さらに、サイバーセキュリティプログラムを持つ企業では、インシデントの平均検出時間(MTTD)が21日間、平均復旧時間(MTTR)は44時間になっているという。
日本では生成AIに懐疑的で、負担増の認識が多い傾向
調査レポートでは、日本の特徴についても触れている。
調査結果からは、日本では生成AIがSOCチームにもたらすメリットに懐疑的であることが浮き彫りになったほか、「生成AIがスキル開発に役立つと見ているか」という設問に対しては、「非常にそう思う」との回答が37%となり。世界全体の43%を下回ったことも明らかになった。日本の企業は、AIに対して過度な期待を持っていないと見ることもできる。
一方、サイバーセキュリティ要件への対応が「難しくなった」と回答した日本の企業は54%となり、グローバルの46%を上回った。また、「楽になった」とする企業は27%に留まり、グローバルの41%を大きく下回っている。「かなり楽になった」もグローバルでは17%であるのに対して、日本企業はわずか5%という低さだ。
同社では、この理由を、いくつかの調査結果から明らかにしている。
1つめは、セキュリティスタックが複雑化している点だ。日本では36%の企業が複雑化していると回答。世界では26%となっている。
2つめは、セキュリティ関連データの効果を分析できていない点である。日本企業の29%が分析できていない状況にあり、世界の21%を上回る結果となっている。
3つめが攻撃対象を十分に可視化できていない点。27%の日本企業が可視化できていないと回答しており、世界で可視化できていない企業は20%という結果が出ている。
そして、セキュリティに対する予算不足も影響していると指摘する。サイバーセキュリティ予算が大幅に増額されると見込む日本の企業の割合は38%に留まっており、最新のセキュリティ対策への遅れが、サイバーセキュリティ要件への対応を難しくする要因のひとつとみている。
法務などとも連携し体制を整えたうえで、積極的な生成AIの推進を
同社では、今回の調査結果をもとに、今後のアドバイスとして、次の4つのポイントをあげた。
- 組織全体で生成AIの導入を推進し、シャドーAIへの扉を開かないようにする
- イノベーションを妨げないように、生成AIに関するポリシーを作成する
- チーム間のコラボレーションと、ツールの統合に重点を置く
- 法務部門やコンプライアンスチームと足並みを揃える
矢崎氏は、「国際情勢の緊迫化をはじめ、サイバーセキュリティにはさまざまな困難が待ち構えているが、AIを積極的に取り入れて、活用方法を果敢に開拓することは、セキュリティチームの利益につながる」と指摘した。
一方、Splunk SURGe teamのシャノン・デイビス氏(プリンシバルセキュリティストラジテスト)は、「サイバーセキュリティにおいて、生成AIを活用するには、生成AIを正しく理解し、それに基づいたポリシー策定が必要である」とし、「企業は、生成AIのリスクとメリットの考え方について、社内で教育をする必要がある。安全で効果的な利用方法を教育しなければならない」ともコメントした。
また、「生成AIは、初心者にとってのキャリアアップに活用することもできる。ここでは、初心者が間違って理解しないようにハルシネーションに注意すべきである。同時に、生成AIは経験者の業務にとっても、支援ができ、迅速化できる。人材確保と生産性向上にも貢献できる」と、幅広い層の従業員を生成AIは支援できると述べた。
SURGeは、Splunkのグローバルなセキュリティ専門家チームで、サイバーセキュリティに関する調査や、脅威に関するインサイトを企業に提供している。
