企業間連携が苦手な日系企業 AI活用に向けてすべき対策は……
規制が厳しすぎればAIの進展は遅れるが、活用を急げばセキュリティは脅かされる。この難局において「AIの恩恵を受けるためのセキュリティ対策をする」というのが、KnowBe4の考えだ。
日本では昨今特にAIエージェントが盛り上がりを見せている。今は比較的AI活用にポジティブなフェーズといえるだろう。この流れを後押しするためにも、一般社員がセキュリティに関するリスクを知る必要はある。実際にグライムス氏は「来年末までにほぼすべてのソーシャルエンジニアリング、ハッキングがAI化する」と警告する。
具体的な例の一つが「プロンプトインジェクション」だ。これはハッカーがAIエージェントに悪意のあるプロンプトを投げかけ、機密情報の漏洩や不正なタスク実行などAIに意図しない動作を引き起こさせるサイバー攻撃の一種である。KnowBe4は、こうした現象をプロンプトレベルで監視・検知し、悪意ある行動をその場で阻止する製品を開発しているという。
多くの企業がAIガバナンスの構築に苦慮しているが「特に日本では企業間の連携不足が課題として顕著だ」とグライムス氏は指摘する。この課題に対して同氏が提案するのが、AIの脅威モデリングと、企業間でのサイバーセキュリティ関連の情報共有だ。AI活用における潜在的なリスクを特定し、全社的な対策を計画した上で、サイバー攻撃の兆候や防御策に関する知見を業界全体で共有する。これにより、集団で防御を強化する考え方だ。
「世界中の多くの企業は、意外にもAIに対する脅威モデルや対策を構築していない。しかし『どうAIを使うか?』の共通認識をもつことで、セキュリティに対する影響を全員で考えられるようになる」
悪気のない「内からの情報漏洩」 どうモニタリングする?
外からの攻撃に加え、内側から進行する「シャドーAI」による情報漏洩も見逃せない。
「多くの企業で、気づかないうちに重要な情報が外に流れている。従業員が無意識のうちに機密データをAIに渡している可能性がある」
グライムス氏は自身の経験からこのリスクを語る。自身のライター業においてAIエージェントで文法訂正をしていた際、気づかないうちにAIがクラウド上に原稿をアップロードしていたというのだ。同様に「AIの行動を知らなかった」といった状況は、個人だけでなく企業で起こる可能性も高い。さらに、最近発覚したというセキュリティインシデントが脅威の深刻さを示す。
「AIエージェントがメールを読んで返信をサポートする機能は広く使われている。この機能において、ハッカーがメール本文にプロンプトインジェクションの手口を仕掛け、PCを悪用できることが判明した」
こうしたリスクをできる限り抑えるために、企業は全従業員に教育を行う必要がある。その上で「AIに関連する情報を一元的に管理するAIポータルサイトの構築」をグライムス氏は提案する。
「従業員には、企業独自のセキュリティ層となるAIポータルサイトを経由してAIを利用することが、情報漏洩を防ぐルートだと認識してもらう。企業側は、シャドーAIのリスクを回避するため、全社員がAIポータルサイトを使っていることを利用ログの取得などにより定期的にモニタリングする。万が一、未承認の外部AIサービスを使っている者がいた場合は、該当者にデータ漏洩の危険性や適切な利用方法に関する研修を実施する管理体制が必要だ」