AI 依存、ソフトウェア依存の世界に対する信頼の構築
本ブログの原文は、こちらからご覧いただけます。
7 月 13 日に発表されたホワイトハウスの国家サイバーセキュリティ戦略実施計画は、AI に依存し、ソフトウェアで制御される現代社会において信頼を構築するための大胆な一歩です。米国民は、安全なデジタルの未来がもたらす恩恵と可能性を最大限に享受する資格があります。この可能性を実現するために重要なのは、バイデン政権の行動のように、国家のインフラに存在する脆弱性に対処する具体的な実施計画を伴った公共政策です。
私たちは、実質的に生活のすべての面においてソフトウェアと人工知能に依存しており、この傾向は深まる一方だと思われます。これらのテクノロジーは生産性の向上と一層の繁栄をもたらしましたが、デジタル化された生活にはシステム的な脆弱性が生まれるのではないかという懸念も多くあります。
サイバーセキュリティ脅威の理解と軽減
世界経済フォーラムのグローバルリスク報告書 2023 年版によれば、デジタルエコシステムに広く存在するサイバー犯罪の脅威と脆弱性は、企業、政府、国民が直面する非常に深刻なリスクです。また、先週の NATO サミットに参加した各国の首脳は、サイバー空間で最新技術や破壊的技術が悪用されれば、NATO によりワシントン条約第 5 条が発動され、NATO の集団的対応を招く可能性がある、と警告を発しました。
さらに、最近の KPMG の調査レポートによると、AI がもたらす潜在的なリスクに関して人々が最も懸念しているのは、サイバーセキュリティのリスクだといいます。銀行取引からウェブ検索、交通案内、スマートフォンのセキュリティに至るまで、私たちが日々行っている取引や意思決定の多くに AI が関与している一方で、KPMG の同じ調査では、「AI を信頼している」と回答した米国民は 24% に過ぎませんでした。
BlackBerry が世界の IT 企業の意思決定者に行った最近の調査でも、信頼に関する同様の食い違いがありました。調査対象となった IT 企業幹部の大部分は、ChatGPT のような生成 AI アプリケーションを利用したサイバー攻撃が年内に成功すると考えていました。生成 AI アプリケーションで悪意のあるコードを作成できることは、すでに研究者によって実証されています。最近の別のレポートでは、昨年中にフィッシングキャンペーンが 50% 急増したことに AI が寄与していることがわかっています。
この傾向に対して、バイデン政権は積極的な措置をとりました。ホワイトハウスが 2021 年 5 月に発表したExecutive Order on Improving the Nation’s Cybersecurity (国家のサイバーセキュリティ強化に関する大統領令)により、ソフトウェアサプライチェーンのセキュリティを強化し、ゼロトラストサイバーセキュリティソリューションを推進し、連邦政府と重要インフラ事業体を対象とするサイバーセキュリティ基準を厳格化するという取り組みが始まりました。今年の 1 月に発表された NIST の AI Risk Management Framework (AI リスク管理フレームワーク)では、産業界と政府が AI 製品、AI サービス、AI システムの設計、開発、使用、評価に信頼性を組み込む方法を改善することに焦点が当てられています。
4 月には、CISA (アメリカ合衆国サイバーセキュリティ・社会基盤安全保障庁)が「セキュリティバイデザイン」原則を発表し、製品のライフサイクル全体でセキュリティの脅威や脆弱性への対応を検討するようソフトウェアメーカーに促すための指針を示しました。また直近では、ホワイトハウスの国家サイバーセキュリティ戦略実施計画において、「重要インフラの所有者や運営者がサイバーインシデントの影響を防止および軽減するための予防的対策に投資することを奨励する」ことの重要性が強調されています。
変化を続ける脅威環境の先を行く
しかしながら、米国に対するサイバー攻撃の範囲と規模は拡大を続けており、それらを数量化することは困難です。、そのため、変化し続ける脅威環境に先んじるためには、やるべきことが常にあります。より強靭で安全なデジタルエコシステムを構築するため、政策立案者と産業界が今すぐ起こせるアクションとして、以下のものがあります。
— 予測 AI をサイバーセキュリティにおける有効な対抗策として活用する。サイバーセキュリティ脅威の攻撃対象領域がかつてない速度で広がっている中、今期の議会では、AI とその利用方法について功罪を問わず理解するために、両陣営の議員らによるAI に関する公聴会が急増しています。脅威アクターは、AI アプリケーションを使用して悪意のあるコードを作成したり、より効果的にペイロードを隠蔽したりしながら、1 日に数万の悪意のあるサンプル(重複を除く)を展開しています。予測 AI ツールを使用すれば、リスクの軽減と早期の検知を自動化することが可能です。複数の領域にまたがって大量の情報と挙動を解析することで、脅威から被害を受ける前に守りを固めることができます。
— 米国政府のソフトウェアセキュリティを改善することで、ソフトウェアサプライチェーンのセキュリティを向上させる。米国政府のセキュリティと、政府が保有している国民に関する情報は、国家の安全にとって最重要なものです。連邦政府のサイバーセキュリティ調達に関する決定では、最低価格での落札を前提とせず、製品の品質、セキュリティ、レジリエンスを考慮しなければなりません。連邦政府機関のセキュリティはコモディティ化できません。バイデン政権は、 2023 年 6 月に発表した 25 会計年度予算におけるサイバー関連優先事項において、クラス最高のサイバーセキュリティの必要性を明示し、ホワイトハウスは連邦政府機関に対して「セキュリティを考慮して設計された永続性のある長期的なソリューション」に投資するよう指示しました。
— サイバーセキュリティに関する官民の協力体制を強化する。今年初めの議会での証言で、CISA の長官が「我が国の重要インフラのセキュリティを確保することは、政府全体だけでなく、国家全体のアプローチを必要とする共同責任である」と述べました。多くの点で、官民で視点が共有されていないことが、官民共有の脆弱性につながっています。CISA の Joint Cyber Defense Collaborative (共同サイバー防衛連携)(JCDC)が戦略的かつ最大限に活用されれば、このギャップの解消に貢献するでしょう。その良い例が、脆弱性のある数百万台ものマシンを遠隔制御する能力をハッカーに与えた Log4j の脆弱性です。CISA は JCDC の官民の機関を活用して協力的に行動し、この脆弱性を封じました。重要なサプライチェーンの共同セキュリティリスク評価や、大規模なサイバー攻撃が発生した際の合同プレイブックなど、より多くの官民協力をより頻繁に行うことが極めて重要です。
未来を守る
このように、新しい国家サイバーセキュリティ実施計画や、度重なる AI 教育に関する超党派の議会公聴会のような行動指向のサイバーセキュリティ政策によって、政府は正しい方向に進んでいます。いずれの施策も称賛すべきものです。米国が悪意のあるサイバーアクターから国家を守る最強の立場にある、という事実をさらに確実なものにするためには、予測 AI の力を利用し、ソフトウェア調達においてクラス最高のセキュリティを優先し、脅威インテリジェンスにおける官民協力を強化する必要があります。
関連記事
- 製品のお問い合わせ:https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
- 攻撃や感染した事故対応はこちらまで サイバーセキュリティチームによるコンサルティングサービス: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
- AIを使ったランサムウェア対策: https://www.blackberry.com/ja/jp/solutions/malware
- BlackBerry Japan:https://www.blackberry.com/ja/jp
- Facebook(日本語): https://www.facebook.com/watch/BlackBerryJPsec/
- Twitter(日本語): https://twitter.com/BlackBerryJPsec
- LinkedIn: https://www.linkedin.com/company/blackberry/
- YouTube(日本語): https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos