本サイトの記事や画像は、AIが公的資料や複数の報道を基に事実関係を整理・再構成し制作したものです。[続きを表示]特定の報道内容や表現を再利用・要約することを目的としたものではありません。ただし、誤りや不確定な情報が含まれる可能性がありますので、参考の一助としてご覧いただき、実際の判断は公的資料や各出典元の原文をご確認ください。[私たちの取り組み]
米国、英国、カナダ、オーストラリア、ニュージーランドの機密情報共有枠組み「ファイブ・アイズ」のサイバーセキュリティ当局トップは6月22日、最先端AIによってサイバー攻撃能力が急速に高まり得るとして、政府機関や企業に備えの加速を促す声明を出した。焦点は、攻撃の高度化だけではない。AIによって攻撃の速度が上がり、費用が下がり、専門性の低い攻撃者でも参入しやすくなる点にある。
攻撃側に広がる高性能AIの利用前提
英国の国家サイバーセキュリティーセンター(NCSC)は3月に公表した評価文書で、防御側は少なくとも一部の攻撃者が既に高性能AIツールにアクセスしている前提で備えるべきだと示した。AIは偵察、脆弱性の探索、攻撃手順の作成、標的の選別など、サイバー攻撃の各工程を速める可能性がある。
NCSCが紹介した英国AI安全保障研究所(AISI)の評価では、企業ネットワークへの32段階の攻撃シナリオについて、最良の試行で22段階まで進んだ。18カ月でAIの攻撃能力は急速に伸び、同じ模擬攻撃の試行コストはおよそ65ポンド規模まで低下した。同じ手法を低コストで繰り返せるようになれば、防御側は従来より短い時間で多くの攻撃に対応しなければならなくなる。
一方で、NCSCは2026年3月より前に公開されたモデルについて、複雑な攻撃シナリオを端から端まで完全にやり切る段階にはまだ至っていないとしている。つまり、AIが単独であらゆる攻撃を自動実行できるという話ではない。問題は、既存の攻撃を速く、安く、大規模にし、攻撃者の裾野を広げる実務上の変化である。
経営トップに求められる即応
英国政府は4月の公開書簡で、AI駆動型のサイバー脅威に備えるには、組織の最上層でサイバーリスクを扱う必要があると企業側に求めた。サイバー対策は情報システム部門だけの課題ではなく、事業継続や顧客情報保護、取引先への影響を含む経営リスクになっている。
オーストラリアのサイバー当局も5月、悪意ある主体がAIを使い、攻撃の開発と大規模展開を加速させていると説明した。AIによって脆弱性の発見から悪用までの時間が短くなれば、防御側が警戒し、修正し、被害拡大を止めるための猶予は縮む。
5カ国声明が促しているのは、不要な外部接続の削減、迅速なパッチ適用、レガシーシステムへの対応、ID・アクセス管理の強化、事前のインシデント対応訓練といった基本対策の徹底である。英国政府書簡はこれに加え、NCSCの助言や早期警戒サービスの活用も求めている。あわせて、組織内でのAI利用を管理し、誰がどのデータをどのAIに使わせるのかを明確にするガバナンスも重要になる。AI時代のサイバー防衛は、技術対策と経営判断を切り離せない段階に入っている。
