生成AIで変わるサイバーセキュリティ　NECとIDCが語る「AI×セキュリティ」の要点

　サイバー攻撃の巧妙化・多様化により、企業にとってセキュリティ対策は「守りのコスト」ではなく、「事業継続と企業価値を左右する戦略的テーマ」へと進化している。生成AIの急速な普及によって、サイバーセキュリティの仕組みそのものも大きく変わり始めているのだ。

【その他の画像】

　生成AIは、これまで人手では対応しきれなかった複雑な脅威への迅速な対応を可能にする一方で、AI自体が新たな攻撃対象になるという“二面性”を持つ。AIがどのような情報を学習しているのかを探る「モデル偵察」や学習に用いた個人情報や機密データが外部から推測される「プライバシーアタック」などAI特有のリスクも現実味を帯びる中、企業には技術面だけでなく、組織・運用・判断力の再構築が求められている。

　こうした状況を踏まえ、NECとIDC Japanは3月、メディア向けのセキュリティ勉強会を開催。生成AIを活用したNECの実践事例と、IDC Japanによる市場動向の分析をもとに、セキュリティ運用の今とこれからを多角的に語った。NEC Corporate Executive CISOの淵上真一氏と、IDC Japan リサーチマネージャーの赤間健一氏による講演の内容から、AI時代のセキュリティ戦略の最前線を読み解く。

●生成AIで拡張する脅威　注目集まる「セキュリティ分析」

　IDC Japanの赤間健一氏は、日本国内のIT投資の中でもサイバーセキュリティ分野が最優先領域となっていると指摘し、同社が実施した調査では、全体の4割近くの企業がサイバーセキュリティへの投資にあてていることが分かっている。

　さらに赤間氏は、同社の2024年から2028年のセキュリティソフトウェアの市場予測のデータに触れ、「市場の年平均成長率（CAGR）で全体が9.5％のなかで、セキュリティ分析に関わる市場が13.6％となっており、非常に大きな成長を予測しています」と語る。

　セキュリティ分析には、サイバー攻撃に関する情報を収集・分析し、組織のセキュリティ対策に活用する「スレットインテリジェンス」、社内システムのログを一元管理し、異常を検知するSIEM、複数のセキュリティツールを連携させ、対応を自動化するSOAR、脆弱性管理などが含まれる。

●企業が投資を計画しているセキュリティ強化策とは

　赤間氏は、IDC Japanが実施したユーザー企業調査をもとに、今後、企業が強化を計画しているセキュリティ分野として、最も多くの回答を集めたのが組織内のPCやサーバなどの端末（エンドポイント）の不審な挙動を検知し、迅速に対応するEDRだと指摘した。全体の23.9％の企業が投資対象として挙げているという。

　業種別では、通信・メディア、製造業、官公庁・自治体などでEDRへの投資意向が特に高くなっているという。これらの分野で、セキュリティの高度化が急務になっている背景がある。また、ネットワーク全体の脅威検知を担うNDRや、クラウド環境における設定ミスや脆弱性を可視化・修正するCSPMといったセキュリティソリューションへの投資も、特に通信業を中心に導入が進んでいるという。

　一方、SIEMやSOARといったセキュリティ分析系の高度なシステムについては、中小企業では導入が進んでいない現状も示された。これらの領域は高度な専門知識と人的・財政的リソースを要するため、投資対効果の見極めが難しく、導入へのハードルが依然として高いと見られる。

　こうした傾向から、まずはEDRやNDRなど実用性の高い対策を優先し、段階的により高度なセキュリティ分析・自動化領域へと展開していくという企業の進化プロセスが浮かび上がる。セキュリティ対策は一足飛びにはいかず、現場の実情に即した段階的導入と運用体制の成熟が今後の鍵となりそうだ。

●生成AIの普及がもたらす新たなセキュリティリスク

　AIシステムの活用範囲が広がるほど、それに伴うセキュリティリスクもAI領域へと拡張されている。赤間氏は「データの漏洩（ろうえい）や外部サービスとデータをやり取りするAPIの侵害、サービスの停止を狙うDOS攻撃、サプライチェーンの脆弱性を狙った攻撃、権限の侵害など、これまで脅威とされてきたセキュリティリスクがAIの領域にも広がっていきます」と警鐘を鳴らす。

　さらに生成AI特有のリスクとして、AIがどのような情報を学習しているのかを探る「モデル偵察」、学習に用いた個人情報や機密データが外部から推測される「プライバシーアタック」、AIに誤った判断をさせるため、学習データに意図的に偏った情報を混入させる「ポイズンアタック」、さらには、AIに意図しない動作を引き起こさせるため、不正な入力を与える「プロンプトインジェクション」などが、新たな脅威として顕在化しているという。

　生成AIの導入は、単なる技術導入では済まされず、AIを前提としたセキュリティリスクへの備えとして、企業のセキュリティポリシーや運用体制そのものを抜本的に再構築する契機となっている。

●NECが実践　生成AIによるセキュリティ運用の全体像

　NECでは、生成AIをセキュリティ領域に本格的に取り入れるにあたり、外部からの攻撃に備える診断・演習と、組織を守るための検知・防御の両面からアプローチを進めている。淵上氏は、「セキュリティ領域でAIを活用するときに、攻撃視点（Red Team）と防御視点（Blue Team）という2つの観点に整理をして利用しています」と語り、AI活用が社内で戦略的に体系化されていることを明かした。

　NECでは、AIの導入により脆弱性診断や従業員訓練といった攻撃側のシミュレーションが効率化されている。特に力を入れているのが、システムやネットワークに実際に侵入を試み、その脆弱性を確認する「ペネトレーションテストの自動化」だ。

　従来は専門知識を持つ技術者が手作業で実施していた脆弱性診断をAIツールにより自動化することにより、海外拠点やM&Aで拡大したグループ企業への定期診断をより低コストかつ高頻度で実施できる体制の構築を推進している。淵上氏は、「セキュリティに関する知識が豊富でない人でも、AIを使ったツールによって一定の診断ができるようになる」環境づくりを進めていて、専門性に依存しない運用の実現を目指しているという。

　さらに、外部の脅威情報を収集するオープンソースインテリジェンス（OSINT）において情報取得の効率化や従業員のセキュリティリテラシー向上を目的としたフィッシングメールに対する訓練でも、NEC開発の生成AI「cotomi」を用いて自動作成・送信を実施している。

　防御側の取り組みにおいては、システムやネットワークがサイバー攻撃や不正アクセスを受けた可能性を示す証拠や手がかりとなる攻撃の兆候（IoC）に対し、AIを活用して、EDRやNDRに自動で即時反映させることに取り組む。

　淵上氏が「人間の可読性があるデータを、EDRやNDRに投入できるよう自動的に変換していく」と語るように、異なるセキュリティツール間のフォーマット変換をAIが担い、アラート対応の即応性が向上している。

　cotomiをNDRに組み込んだ異常検知の実装も進めているという。AIの実装により、どの程度検知の精度が上がるのか、分析効率が良くなるのかを試し、既存のオープンソースベースの検知システムとの連携を進めている。

　AIにどのようなセキュリティ実装すべきものなのか、リスク分析の結果からセキュリティの対策を立案させるなど、実装支援や対策立案のAI自動化も検証・改善していく段階に入っていて、さらなる効率化への展開も期待されている。

●監査業務でAI活用　報告書作成70％削減の実績

　NECでは、グループ全体で毎年実施しているセキュリティ監査業務でも、生成AIを活用。業務効率を大幅に改善させている。淵上氏は「国内、海外で毎年実施している内部監査に非常に時間を要していました。人により、監査報告書を作成する時間やスキルの差によって生じる監査品質にばらつきがありました」と、従来の課題を指摘した。

　そこで同社では、AIに内部監査報告書を生成させ、人はプロンプトの作成と確認をすることで、圧倒的な時間削減を実現したという。報告書の作成時間では70％削減、人の作業工数も76％削減し、定量的にも顕著な成果が出ていることが示された（標準的な対応におけるNEC独自調べ）。

　淵上氏は「国内17拠点の監査に実際に使用し、将来的にはサービスとして提供していくことも検討している」と展望も述べた。

●AIの台頭であらためて考える「人が果たすこと」

　生成AIの活用が広がり、セキュリティ業務においても効率化と自動化が進む中、問われるのが「人間の役割」だ。AIの進化を前提としながらも、人が担う領域について赤間氏と淵上氏は、次のように語った。

　「やはり最終的な判断において、時には合理的ではない判断をするケースも必要な状況があると思います。非合理的な判断も含めたジャッジというのは、人間に委ねられるところなのかなと思います」(赤間氏)

　「例えばAIが判断したことの評価とか検証とかっていうのは、やはり人間がやらなければいけない。戦略的にどのようにするかという判断は、まだ人間が担っていくべき部分」(淵上氏)

　AIが担う領域が広がる一方で、人間の判断力、戦略性、そして組織内外との関係をつなぐ力は、引き続き求められていくと考えられる。両氏の言葉からは、AIを生かしながらも、人間がどのように関与し、補完していくかが問われる時代に入っていることがうかがえる。

（フリーライター佐藤匡倫）