** 本記事は、Beyond the hype: The business reality of AI for cybersecurity の翻訳です。最新の情報は英語記事をご覧ください。**
AI は着実にサイバーセキュリティに組み込まれつつあります。サイバーセキュリティのカンファレンスやイベント、展示会では、必ずと言っていいほど AI が最大の注目を集めています。さまざまなサイバーセキュリティプロバイダーが、自社の製品やサービスで AI が活用されていることを謳っています。サイバーセキュリティ業界は、効果的なサイバー防御に AI は欠かせない要素であるという明確なメッセージを発信しているのです。AI の普及を考えると、AI は常に正しく、優れた成果をサイバーセキュリティにもたらすと信じてしまいがちです。しかし、現実はそれほど単純ではありません。本レポートでは、特に生成 AI を中心として、サイバーセキュリティにおける AI の活用方法について解説します。本レポートは、中堅・中小企業 (従業員数 50~3,000 人) に勤務する IT およびサイバーセキュリティのリーダー 400 人を対象に独立した調査会社が実施した調査結果に基づき、AI の導入、期待されるメリット、リスクへの意識に関する知見を提供します。また、調査によって、サイバー防衛における AI の活用に大きな盲点があることも明らかになっています。この調査結果は、組織がサイバー防御戦略を評価および改善する際に役立つ、実際的で有用な基準を提供します。また、組織が安全かつ確実に AI を活用し、サイバーセキュリティ体制を強化できるよう、AI に関連する現在のリスクについての注意点についても述べます。
AI 用語
AI は、サイバーセキュリティを多方面で支援し、加速させることができる多様な機能を包含しています。サイバーセキュリティでは、ディープラーニングモデルと生成 AI の 2 つのアプローチが一般的に使用されます。
- ディープラーニング (DL) モデルは、学習した内容を応用してタスクを実行するものです。例えば、適切に訓練された DL モデルであれば、初めて見るファイルであっても、瞬時に悪意あるファイルか良性のファイルかを識別できます。
- 生成 AI モデルは、入力を取り込んで、それをもとに新しいコンテンツを創出 (生成) します。例えば、セキュリティオペレーションの効率化のために、生成 AI は過去の脅威活動を自然言語で要約し、アナリストがとるべき次のステップを提案します。
AIは万能ではなく、モデルの規模も多岐にわたります。
- Microsoft Copilot や Google Gemini のような大規模モデルは、非常に広範なデータセットで訓練された大規模言語モデル (LLM) であり、幅広いタスクを実行できます。
- 対照的に、小規模なモデルは通常、非常に特定されたデータセットで訓練され、悪意のある URL や実行ファイルの検出などの単一のタスクを実行するように設計されています。
サイバーセキュリティへの AI の導入
調査によると、AI は既に多くの組織のサイバーセキュリティインフラに広く組み込まれており、98% の組織が何らかの形で AI を利用していると回答しています。
近い将来、ほぼすべての組織が AI を導入する可能性が高く、現在、サイバーセキュリティプラットフォームを選定する際に 99% (四捨五入) 以上の組織が AI 機能を要件として挙げています。
このような導入状況と今後の利用も拡大することを踏まえ、サイバーセキュリティにおける AI のリスクとそれに伴う対策を理解することは、あらゆる規模や業種の組織にとって優先事項となっています。
生成 AI への期待
サイバーセキュリティに限らず、ビジネスや個人生活の全般においても、生成 AI に関する情報が溢れており、このテクノロジーがサイバーセキュリティの成果を向上させる効果への期待も高まっています。調査結果から、組織がサイバーセキュリティツールにおける生成 AI の機能に期待する最大の利点が明らかになりました。これらの期待を以下に示します。
さまざまな回答が寄せられており、サイバーセキュリティにおける生成 AI の利用に期待している利点は 1 つではないことが明らかになりました。同時に、多くの回答者がサイバー保護の強化や財務面および業務面におけるビジネスパフォーマンスの向上に関連した成果を期待しています。また、今回の調査データは、サイバーセキュリティソリューションに生成 AI 機能を組み込むことで、最新の保護機能に追いついているという安心感と自信をもたらすことを示しています。従業員の燃え尽き症候群の軽減がランキングの最下位に位置していることは、生成 AI がユーザーを支援できる可能性について、組織が十分に認識していない、またはそれほど懸念していないことを示しています。サイバーセキュリティの人材不足が慢性化する中で、離職への対策は重要な課題となっていますが、AI はこの分野の支援が可能です。
組織の規模によって変化する生成 AI の利点
サイバーセキュリティツールの生成 AI に最も期待する利点は、組織の規模によって変化しています。これは、各規模の組織が抱えている課題が異なっていることを反映していると考えられます。
従業員の燃え尽き症候群の軽減は、全体では最下位でしたが、従業員数 50~99 人の中小企業では、最も期待されている利点になっています。これは、従業員の欠勤の影響が、比較的小規模な企業にとっては特に大きな影響を与えるからかもしれません。なぜなら、代わりに業務を引き継げるスタッフが少ない傾向にあるためです。逆に、100~249 人の従業員の組織は、サイバーセキュリティへの投資対効果の向上を優先しており、セキュリティ予算に対する厳しい管理が求められていることを示しています。従業員数 1,000~3,000 人の大企業が最も重視している利点は、サイバー脅威からの保護を強化することです。
AI がもたらすリスクの認識
AI は多くの利点をもたらしますが、いくつかのリスクもあります。調査から、このような潜在的なリスクに対する認識の度合いがさまざまであることが明らかになりました。
防御に関するリスク:品質の低い AI、実装が不十分な AI
生成AIに期待されるメリットのトップに脅威からの保護強化があげられています。これは、サイバーセキュリティリスクの低減が、AIを活用した防御ソリューション導入の大きな要因であることを示しています。しかし、質の低い AI モデルや不適切に実装された AI モデルは、自らサイバーセキュリティリスクとなる可能性があり、まさに「ダメなデータからはダメな結果しか生まれない」という慣用句を体現しています。サイバーセキュリティのための効果的な AI モデルを構築するには、脅威と AI の 2 つの分野についての広範な理解が求められます。多くの組織は、適切な開発や導入がなされていないAIが、サイバーセキュリティソリューションに及ぼすリスクを警戒しています。調査対象となった IT およびサイバーセキュリティプロフェッショナルの大多数 (89%) は、サイバーセキュリティツールの生成 AI 機能に欠陥がある場合、組織に悪影響を及ぼす可能性があることを懸念していると回答しており、その内訳は、「非常に懸念している」が 43%、「やや懸念している」が 46% でした。
この調査結果から、99% (四捨五入) の企業が、サイバーセキュリティソリューションの生成 AI 機能を評価するときに、その開発に使用されるサイバーセキュリティプロセスや管理体制の品質を重視しているのも納得できます。73% がサイバーセキュリティのプロセスと管理レベルを詳細に評価していると回答し、27% がサイバーセキュリティプロセスと管理レベルの一部を評価していると回答しています。
評価することを検討したが、実施しなかった、部分的な評価を実施している、完全な評価を実施している (回答者数=390)
詳細な評価を実施しているとする割合が高くなっています。一見これはよい計億に思えるかもしれませんが、実際には多くの組織がこの評価において、重大な盲点を抱えています。生成 AI の能力を開発するために使用されるプロセスと管理レベルを評価するには、ベンダーには透明性が、評価者には AI に関する相応の知識が求められます。しかし、残念ながらどちらも不足しているのが現状です。ソリューションプロバイダーが生成 AI 開発のすべてのプロセスを公開することはほとんどなく、ほとんどのケースで、IT チームは AI 開発のベストプラクティスについて限定された知見しか持っていません。多くの組織が、見逃しているリスクや問題に気づいていない可能性があるのです。
財務に関するリスク:費用対効果が低い
先に説明したように、サイバーセキュリティの費用に対する投資対効果投資対効果 (ROI) の改善も、生成 AI がもたらす成果として期待している利点の上位に挙げられています。サイバーセキュリティソリューションに高品質な生成 AI 機能を組み入れようとする場合、開発と維持に多額の費用がかかります。あらゆる規模の組織の IT とサイバーセキュリティ部門のリーダーは、このような開発への支出に警戒しており、80% の回答者が生成 AI はサイバーセキュリティ製品のコストを大幅に増加させると述べています。コスト上昇が予想されているにもかかわらず、多くの組織が生成 AI によってサイバーセキュリティ全体の支出を削減できると考えています。回答者の 87% は、サイバーセキュリティツールの生成 AI のコストは、AI がもたらす費用削減効果によって完全に相殺されると確信していました。さらに、投資対効果 (ROI) の向上に対する自信は年間売上高に比例して高まり、最も大規模な組織 (売上高 5 億ドル以上)で は、最も小規模な組織 (売上高 1000 万ドル未満) に比べて、サイバーセキュリティツールの生成 AI のコストが、AI による節約効果によって完全に相殺されるという意見に対して「そう思う」または「強くそう思う」と回答する割合が 48% 高くなっています。
同時に、組織はこれらのコストを定量化することが課題であることを認識しています。生成 AI の費用は通常、サイバーセキュリティ製品およびサービスの全体的な価格に組み込まれているため、サイバーセキュリティの生成 AI にどれだけ費用をかけているのかを特定することは困難です。十分にコストが可視化されていないことから、75% の回答者がこれらのコストを査定することは難しいと考えています (39% が「強く同意する」と回答し、36% が「やや同意する」と回答)。一般的に、コストの定量化という課題は、組織の収益に比例して増加しています。年間売上高 5 億ドル以上の組織は、売上高 1000 万ドル未満の組織に比べて、コストを定量化するのが難しいと感じている割合が 40% 高くなっています。この差異は、大規模な組織が複雑で広範な IT およびサイバーセキュリティインフラを使用している傾向にあることが要因の 1 つと考えられます。
投資の成果や進捗を明確かつ正確に伝える報告書やデータがなければ、組織はサイバーセキュリティの AI への投資によって期待されるリターンを確認できない可能性があり、さらに、AI よりも他の分野に投資したほうがより優れた効果が得られる可能性も把握できないままとなります。
運用に関するリスク:AI への過度の依存
AI が広く普及したことで、安易に AI に依存し、AIを過信し、AI は当然人間よりも優れた仕事をすると考える傾向が高まっています。多くの組織が AI への過度の依存がサイバーセキュリティに及ぼす影響を認識し、懸念していることは良い傾向であると言えるでしょう。
- 84% が、サイバーセキュリティプロフェッショナルの人員削減を迫られることを懸念している (42% が「非常に懸念している」、41% が「やや懸念している」と回答)
- 87% が、サイバーセキュリティの責任の所在が明確でないことを懸念している (37% 「非常に懸念している」、50% が「やや懸念している」と回答)
幅広い層がこの懸念は感じており、あらゆる規模や業界において、回答者から一貫して高い割合が報告されています。
ソフォスの提言
AIにはリスクも伴いますが、慎重に活用すれば、リスクを回避し、安全かつ確実にAIを活用したサイバー防御の強化と、ビジネス全体の成果を向上させることができます。このレポートで説明したリスクを軽減する取り組みの出発点として、ソフォスは以下を提言しています。
ベンダーに AI 能力の開発方法を確認する
- 訓練データ。モデルの訓練に使用するデータの品質、量、ソースは何か?優れた入力が優れた出力につながります。
- 開発チーム。モデルを背後で支援しているチームについて理解してください。そのチームがどの程度の AI の専門知識を有しているのか、脅威、攻撃者の行動、セキュリティ運用についてどれだけの知識があるのかを確認しましょう。
- 製品エンジニアリングとロールアウトプロセス。ベンダーは自社のソリューション向けの AI 機能を開発して導入する際に、どのようなステップを踏んでいるのかを理解してください。どのような検証と管理が行われているかを確認しましょう。
AI 投資でも、ビジネスの観点から慎重かつ厳密な分析や評価を行う
- 目標を設定する。AI に求める成果を、明確に、具体的に、詳細に説明できるようにします。
- 利点を定量化する。AI 投資によってどれほどの違いがもたらされるのかを理解します。
- 投資先の優先順位を決定する。AI はさまざまな形で組織を支援できますが、投資の効果がより高い分野もあります。自社にとって重要な指標 (財務的な節約、従業員の離職率の低下、リスクの軽減など) を特定し、さまざまな選択肢を比較して、優先順位を決定してください。
- 影響を測定する。実際のパフォーマンスが元々の期待を満たしているかを確認することが重要です。得られた洞察を活用して、必要な調整を行ってください。
AI を人間中心の視点で見る
- 客観性を維持する。AI はサイバー防御に利用できるツールキットの 1 つに過ぎません。もちろん利用すべきですが、サイバーセキュリティの説明の所在は、最終的には人間にあることを明確にしておくことが重要です。
- AI は人材を減らすためのものではなく、人の能力を強化するもの。AI が従業員を支援する方法に焦点を当て、AI は簡単で反復的なセキュリティ運用タスクの多くを引き受け、実用的な知見を提供します。
調査について
ソフォスは、独立したリサーチ専門の企業である Vanson Bourne 社に依頼し、2024 年 11 月に従業員数 50 人から 3,000 人の組織の IT およびセキュリティの意思決定者 400 人を対象に調査を実施しました。すべての回答者は民間企業または慈善・非営利業界で働いており、現在、19 社の異なるベンダーと 14 社の MDR プロバイダーから提供されるエンドポイントセキュリティソリューションを使用しています。
Sophos の AI を活用したサイバー防御
ソフォスは過去 10年間にわたり、AI を活用したサイバーセキュリティ分野で、従来の限界を超える技術革新を続けてきました。AI テクノロジーと人間の専門知識が連携し、あらゆる場所で発生する脅威を効果的に阻止することを可能にしています。ディープラーニングや生成 AI 機能がソフォス製品やサービス全体に活かされ、業界最大級の AI ネイティブセキュリティプラットフォームを通じて提供されています。ソフォスの AI 主導のサイバー防御についての詳細は、www.sophos.com/ai をご覧ください。
