「いくつかAIツールを使いたいと思っているけど、セキュリティは大丈夫?」
「セキュリティ対策にAIは使える?」
上記のことが気になっている方も多いのではないでしょうか?
わが社にもAIを、と考えた際に避けては通れないのが「セキュリティ」の問題です。
さまざまなセキュリティ脅威があるため、AIツールを導入する前に事前に把握しておくことは非常に重要です。
そこで本記事では、AIを導入する際に気を付けるべきことは何か、どのような対策があるのかについて詳しく解説します。
最期まで読んでいただき、AI導入時の参考にしてみてください。
世の中にはどのようなセキュリティの脅威が存在する?
スマートフォンやタブレットの普及に伴い、インターネットが身近なものとなりしばらく経ちました。その中で、セキュリティの脅威は多岐にわたります。
IPAの公開している情報セキュリティ10大脅威 2023によると、組織に対するセキュリティのリスクとして、以下のようなセキュリティの脅威があるとされています。
| 順位 | セキュリティ脅威 | 前年順位 |
|---|---|---|
| 1位 | ランサムウェアによる被害 | 1位 |
| 2位 | サプライチェーンの弱点を悪用した攻撃 | 3位 |
| 3位 | 標的型攻撃による機密情報の窃取 | 2位 |
| 4位 | 内部不正による情報漏えい | 5位 |
| 5位 | テレワーク等のニューノーマルな働き方を狙った攻撃 | 4位 |
| 6位 | 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) | 7位 |
| 7位 | ビジネスメール詐欺による金銭被害 | 8位 |
| 8位 | 脆弱性対策の公開に伴う悪用増加 | 6位 |
| 9位 | 不注意による情報漏えい等の被害 | 10位 |
| 10位 | 犯罪のビジネス化(アンダーグラウンドサービス) | 圏外 |
2022年に引き続き1位に挙げられている「ランサムウェアによる被害」は、不特定多数の企業・個人を標的としたセキュリティ脅威といえるでしょう。
しかしながら、2位にランクインしている「サプライチェーンの弱点を悪用した攻撃」や、3位の「標的型攻撃による機密情報の窃取」、そして7位の「ビジネスメール詐欺による金銭被害」については、特定の企業を狙った攻撃です。
顧客情報はもちろんのこと、技術的な情報や開発中の企画書など、その企業にしかない「価値のある機密情報」は多く存在します。
そのような「価値の高い情報」を特定し、その情報をもつ企業へ攻撃を仕掛けることが急増しているのです。
近年では、流出した個人情報などを取引する「アンダーグラウンドサービス」も新たな脅威として10位にランクインしています。
このことからも、企業から盗み出した情報がビジネスとして使われていることがわかります。
自社から情報が流出したとなると、金銭面での直接的な損失だけではなく、社会的な地位を失うきっかけとなりかねません。
自社を守るためにも、セキュリティの対策は必須といえるでしょう。
セキュリティの観点からみたAI活用のリスク
AIを活用しようと考えた際に、どのようなセキュリティリスクを考える必要があるのでしょうか。
AIに限らない一般的なリスクと、AIに特化したリスクに分けてそれぞれ解説します。
AIに限らないセキュリティリスク
AIだから心配しなければいけない・AI特有のリスクはもちろん存在しますが、それ以上にAIに関わらない対策の方が非常に重要です。
まずは、AIに限らず対策が必要なセキュリティリスクから解説します。
データの改ざん
データの改ざんは、情報の信頼性を損なう重大な問題です。
不正な手段でデータを変更されると、誤った判断を招く可能性があります。
データが改ざんされてしまうことで、個人のプライバシーにおいても深刻な影響を及ぼす可能性があります。
不正ユーザー
不正ユーザーによるアクセスは、機密情報の漏えいやシステムの破壊につながることがあります。
これにより企業の信用失墜や法的な問題が発生することもあります。
マルウェアの感染
マルウェアの感染は、システムの正常な動作を妨げ、データを盗み出すリスクがあります。
とくに、機密情報やアプリケーションが動作するサーバーだけが守られていればよい、というわけではないことを忘れないようにしましょう。
マルウェアは、同じネットワーク内の他のPCへ感染を拡大させることもあります。
サーバーに管理者がアクセスするために使用するPCを経由して感染することがありますので、全社としてしっかりと対策を実施することが重要です。
AI特有のセキュリティリスク
次に、AI特有のセキュリティリスクを2つ紹介します。
AI特有のセキュリティリスクとして挙げられる問題は、AIそのものの信頼性を損ねる攻撃です。AIはいかに目的に応じたデータを学習するかが重要なので、信頼性が損なわれることは大きな損害になりえます。
AIファジング
AIファジングは、AIモデルを混乱させる攻撃手法で、通常想定されていない「不正データ」「予期せぬデータ」「ランダムなデータ」をAIに与えることで、誤った出力を引き起こすことを狙った攻撃手法です。比較的短期的に被害に気付きやすいですが、復旧には多大な労力が必要になります。
機械学習ポイズニング
機械学習ポイズニングは、学習データに意図的なノイズ(毒)を加えることで、モデルの性能を低下させる攻撃手法です。
このポイズニングにより、AIが誤った判断をすることを引き起こす場合がありますが、AIファジングに比べ被害に気付くのが遅くなりがちで、当然復旧にもより労力がかかることになります。
AI自体が犯罪に利用される可能性も
AIは便利ということは周知の事実とも言える状況ですが、一方で、そのAIが悪用されないとは限らない、ということも忘れてはいけません。
AIの高度な技術が悪用されることで、より巧妙なサイバー攻撃が可能になる恐れがあります。
たとえば、AIが作成したより巧妙なフィッシングメールが届いたり、実在する人物に成りすましたりするようなことが容易に実現できてしまうのです。
そのため、これからの未来では、従来のセキュリティ対策では対応が困難になる可能性が高いといえます。
セキュリティ対策にもAIを活用できる
セキュリティの世界は「いたちごっこ」ともいわれています。
というのも、セキュリティホールや脆弱性は日々見つかっており、「セキュリティが完璧であり今後破られることはないシステム」というものは存在しません。
毎日のように新しい脆弱性が発見されては、その対策を行うことを繰り返す必要があるのです。
そのうえ、前述のとおりAIを活用した犯罪も多くなることが予想されます。
その対策として活用が期待されているのが、やはり「AI」です。
「目には目を、AIにはAIを」
というように、AIによって巧妙化した攻撃を、AIを使って防ぐことが期待されています。
これまでは人間の手によって24時間体制で監視していたようなことも、AIを活用することで自動化でき、より高度な対策が可能となるのです。
以降は、AIを使ったセキュリティの対策について解説していきます。
セキュリティ対策にAIを活用するメリット
実際に、セキュリティ対策としてAIを活用することで得られるメリットを2つ紹介します。
過去のデータを用いた分析
AIは、過去の攻撃データや脅威情報を基に、将来的な攻撃の可能性や、どのような攻撃をされるかを予測できます。
攻撃が予測できるということは、その攻撃に対して事前に対策を講じることが可能であり、結果として被害の未然防止や事前のリスク回避が期待できます。
コスト削減
AIを活用することで、セキュリティの監視や対応作業を自動化できます。
これにより、24時間365日の監視体制を人の手に頼らずに実現することが可能となり、人的リソースの削減や作業の効率化が図られます。
AIを活用するセキュリティ対策でできること
セキュリティ対策にAIを活用することで、どのようなことが可能となるのでしょうか。
今回は、AIを導入することで期待できる効果を3つ紹介します。
AIによる異常検知
既知の攻撃パターンを登録しておき、それと合致したら攻撃と検知する手法を「シグネチャベースの検知」と呼びます。従来の主なセキュリティ対策といえばこのシグネチャベースでした。
AIがネットワークやシステムの通常の動作パターンを学習することで、異常な動作やアクセスをリアルタイムで検知できるようになります。
AIを活用した検知はシグネチャベースとは異なり、未知の攻撃やゼロデイ攻撃(※)に対しても効果的に対応することが可能です。
これにより、攻撃の早期発見と迅速な対応が可能になります。
(※)ゼロデイ攻撃とは、ソフトウェアなどのプログラム上セキュリティが不十分な部分の補強パッチが公表される前にサイバー攻撃を受けること。
AIを活用したサイバー攻撃予測
過去の攻撃データや脅威情報、ネットワークの動作データなどを分析し、将来的な攻撃の可能性やその内容を予測します。
これにより、予測された攻撃に対して事前に対策を講じることができ、被害の未然防止が期待されます。
AIによる自動対応
AIによる自動対応は、セキュリティの脅威を検知した際に、人間の介入なく自動的に対応措置を実施する手法です。たとえば、不正アクセスを検知した際に自動的に接続を遮断したり、マルウェア感染を検知した際に隔離処理を行ったりするなどが可能です。これにより、迅速な対応が可能となり、人間の監視体制に依存しないセキュリティ強化が実現します。
これらの手法は、それぞれ異なる側面からセキュリティ対策を強化するもので、組み合わせることでより効果的な対策が可能です。最新の技術動向に合わせて適切に活用することで、企業や個人の情報資産を守る強固なセキュリティ体制の構築が期待できます。
セキュリティを守るためのAI製品
ここからは、実際にセキュリティを守るためのAI製品を3つ紹介します。
AIによるサイバー攻撃対策
株式会社サイバーフォートレスの提供するSPiDER TM AI Editionは、AIを活用してサイバー攻撃をリアルタイムで検知する統合セキュリティ管理ソリューションです。
社内のネットワークをはじめとし、社内のさまざまな情報を総合的に監視し、企業に対する驚異をいち早く検出し対応することが可能となります。
既知の脅威の検出はもちろんのこと、過去に発生した脅威を分析することで、これまでにない未知の脅威も検出することが可能となりました。
参考:SPIDER TM AI EDITION セキュリティに特化したAI – Cyberfortress,Inc.
AIを活用したアンチウイルス
エムオーテックス株式会社では、AIを活用したアンチウイルスソフトであるLANSCOPE Cyber Protectionを提供しています。
同サービスは、AIを活用することで未知のマルウェアも検出できる「予測防御」を実現しました。これにより、高いマルウェア検知率を実現しています。
また、「AIを使っているから導入が難しい」ということもなく、従来のアンチウイルスと同様に導入や運用が可能であることから、高いセキュリティ水準を求められる金融やインフラ業といった企業に採用されています。
参考:業界最高峰のAIアンチウイルス| LANSCOPE サイバープロテクション
Webアプリケーション脆弱性診断
株式会社エーアイセキュリティラボの提供するAeyeScanは、AIを活用したアプリケーションの脆弱性診断ツールです。
本製品は、インターネットを介したサービスを提供する企業向けのサービスで、開発している自社サービスに脆弱性がないかを診断し、外部から攻撃されるリスクを検知します。
冒頭に説明したとおり、インターネット上には多くの脅威が存在するため、サービスを提供する上で脆弱性の診断とその対策は必須といえるでしょう。
AeyeScanの最大の特徴は、AIを利用した診断の自動化です。
脆弱性診断のサービスは多く存在しますが、多くの手間と時間が必要とされています。AeyeScanは、対象となるサービスの分析にAIを活用することで、診断を手軽に実施できるようになります。
自社でサービスを開発・展開するような場合には、このような脆弱性診断の導入も考えてはいかがでしょうか。
リスクを最小限に抑えて最大限のメリットを
AIはうまく使うことで便利になる一方で、利用するにはさまざまなセキュリティリスクをクリアする必要があります。
そして、AIが悪用されることでより危険な状態になったともいえるでしょう。
「AIを使うことでセキュリティリスクが高まる」という考え方もできますが、今回紹介したセキュリティリスクは、インターネットを介したサービスを利用する際には避けては通れない道です。
「AIを活用するためにAIを活用する」ということも念頭に置くことで、新たなAI活用の道が拓けるのではないでしょうか。
