取締役会のギャップ：CISOがディープフェイクについて話すことに苦労する理由とその対処法

企業、政府、そして個人によるAIの普及により、サイバーセキュリティは極めて重要な局面を迎えています。 82% 米国では、AIを業務に活用または検討している企業の数が増加しており、組織は新たな効率性を実現していますが、攻撃者も同様です。イノベーションを推進するツールは、脅威アクターが驚くほど容易かつリアルに合成コンテンツを生成することも可能にしています。この新たな現実は、合成コンテンツ（画像、音声、動画）や悪意のあるディープフェイク（実在の人物になりすますために操作された音声、動画、画像）を前例のないスピードと巧妙さで作成する能力など、重大な課題をもたらしています。コンピューターとインターネットにアクセスできる人なら誰でも、わずか数回のクリックで画像、音声、動画を操作でき、情報倫理に不信感と疑念を抱かせています。 

企業、政府、メディア組織がデジタルコミュニケーションに生計を依存する時代において、ディープフェイク、合成ID詐欺、なりすまし攻撃がもたらすリスクを過小評価することは許されません。これらの脅威はもはや仮説ではなく、ディープフェイクを利用した企業詐欺による経済的損失は、 200年第1四半期だけで2025億ドルこの問題の規模と緊急性を浮き彫りにしています。新たな脅威の状況には、サイバーセキュリティへの新たなアプローチが必要であり、CISOは企業のセキュリティを確保するために迅速な行動をとる必要があります。しかし、ディープフェイクの脅威の深刻さに関する知識レベルが異なる経営陣に対し、新たな資金を要請し、組織の脅威へのエクスポージャーを明確に伝えることは、容易ではありません。ディープフェイク攻撃が進化し、具体化していく中で、すべてのCISOは、この問題を取締役会に持ち込む最前線に立つ必要があります。 

以下は、CISO と経営幹部が取締役会、組織、コミュニティ レベルで関係者との会話を促進するためのフレームワークです。 

使い慣れたフレームワークを活用する：高度なソーシャルエンジニアリングとしてのディープフェイク

取締役会は、フィッシングメール、ランサムウェア攻撃、そして自社が侵害されるかもしれないという切迫した懸念といった、サイバーセキュリティについて、馴染みのある言葉で考えるように慣らされてきました。こうした考え方が、脅威の優先順位付けやセキュリティ予算の配分に影響を与えています。しかし、AI生成コンテンツ、特にディープフェイクに関しては、組み込みの基準点が存在しません。ディープフェイクを独立した新たな脅威として捉えることは、しばしば混乱、懐疑心、あるいは行動の停滞につながります。

これに対抗するために、CISOは取締役会が既に理解しているソーシャルエンジニアリングという概念に焦点を絞って議論を進めるべきです。ディープフェイクの脅威は本質的に全く新しいものではありません。これは、業界で長年存在し、今もなお最も脅威となっている、進化した、より危険なフィッシング手法です。 攻撃ベクトル ソーシャルエンジニアリングの脅威です。取締役会は既にフィッシングを確かなリスクとして認識しており、フィッシング対策のためのリソースを承認することに抵抗がありません。多くの点で、ディープフェイクはより説得力があり、拡張性が高く、より強力なソーシャルエンジニアリングの形態であり、組織と個人の両方を壊滅的な精度で標的とします。 

骨組み ディープフェイク これにより、CISOは既存の教育、予算、そして組織内のマッスルメモリーを活用することができます。新たなリソースを求めるのではなく、既に承認されているセキュリティ投資の進化形として、その要求を再考することができます。CISOがこの考え方に共感すればするほど、より大規模で差し迫った問題に対処するためのリソースが付与される可能性が高まります。 

センセーショナリズムではなく、現実主義にリスクを固定する

実例を挙げることは、ディープフェイクの脅威が組織に及ぼす影響について取締役会の理解を深める上で非常に効果的です。しかし、CISOが取締役会に提示する事例は、逆効果になる可能性があるため、慎重に検討することが重要です。例えば、 香港での25万ドルの電信詐欺事件 見出しとしては素晴らしいものですが、取締役会では逆効果になることがあります。こうした極端な例は往々にして現実離れした、あるいは非現実的なものに感じられ、「そんな壊滅的なことは私たちには絶対に起こりえない」という感覚を植え付けてしまいます。このバイアスはたちまち作用し、保護への投資に対する切迫感を失わせてしまいます。 

代わりに、CISO は、幹部のなりすましや面接詐欺など、より関連性のあるシナリオを使用して、このリスクが社内でどのように発生する可能性があるかを示す必要があります。

ある場合には 北朝鮮の脅威アクター AIが生成した幹部を登場させた偽のZoom通話を作成し、暗号通貨関連の従業員を騙してマルウェアをダウンロードさせ、機密性の高い企業情報にアクセスさせ、暗号通貨を盗み出そうとした。最終的にハッカーはアクセスを阻止できたものの、こうした攻撃がブランドの信頼性に及ぼす脅威は、企業の取締役会にとって警鐘となるべきものだ。 

もう一つ増えている戦術は 偽の求職者 AI生成のIDやディープフェイクの認証情報を用いて企業組織に侵入する。こうした人物は、ロシア、北朝鮮、中国といった米国の敵対国を名乗って行動することが多く、機密性の高いシステムやデータへのアクセスを狙っている。こうした傾向は社内リソースを枯渇させ、組織を国家安全保障上のリスクや金銭的搾取にさらすことになる。 

こうした脅威はしばしば見過ごされがちです。ニュースで取り上げられる事例の一つに対し、報道されない事例が数十件もあり、この脅威の規模を包括的に理解することが困難になっています。 攻撃が日常的なものであればあるほど、不安が増し、共感も深まる。 このような現実的で、共感でき、身近な事例を共有することで、CISO はディープフェイクに関する会話を日常の業務に根付かせ、進化するこの脅威がなぜ取締役会レベルで真剣な対応を必要とするのかを強調することができます。

ディープフェイク防御を既存のレジリエンス指標に結び付ける

CISOは取締役会から常に同じ質問を受けています。「侵害を受ける可能性はどれくらいですか？ 最も脆弱なのはどこでしょうか？ リスクをどのように軽減すればよいでしょうか？」フィッシング、ランサムウェア、データ侵害は依然として存在していますが、これらの脆弱性に生じた根本的な変化と、それが従来の攻撃対象領域をはるかに超えて広がっていることを示すことが重要です。 

人事、財務、調達といった従来は最前線の防御役とはみなされていなかった部門が、今や合成偽装の標的となりやすく、平均的な人間がこうした脅威を検知する能力は極めて低い。実際、 1人に1,000人だけ AI生成コンテンツを正確に検出できます。CISOは、組織全体の高度なソーシャルエンジニアリング教育とサイバーレジリエンスの向上という需要に応えるという任務を負っています。組織内の全員が、リスク軽減を支援するためにトレーニング、テスト、そして意識向上を受ける必要があるからです。 

ディープフェイク対策は、企業全体のレジリエンス（回復力）の延長線上にある必要があり、フィッシングシミュレーション、意識向上トレーニング、レッドチーム演習といったチームトレーニングと同様に、継続的な教育が必要です。CISOは、トレーニングやシミュレーションから得られた指標を活用し、取締役会が理解できる指標で問題を明確にする必要があります。取締役会が既にレジリエンスを組織の戦略的優先事項として認識している場合、ディープフェイク対策は自然な流れで次の課題となります。

AIが生み出す脅威はこれから来るのではなく、すでにそこに存在しています。今こそ、経営陣が耳を傾け、リーダーシップを発揮する態勢を整えるべき時です。AIの導入により、ディープフェイクやIDベースの攻撃の規模と頻度が増加し、脅威の状況は予測不可能で常に進化する状況へと変化しました。 

しかし、取締役会にディープフェイクや音声クローンに関する入門書は必要ありません。必要なのは、明確なビジネスコンテキストと、それらが組織にもたらす脅威へのより深い理解です。CISOは、リスク、コスト、そして事業継続性という観点から議論を進めるべきです。フィッシング、ソーシャルエンジニアリング、レジリエンスといった馴染みのあるパラダイムにディープフェイクに関する説明を合わせることで、取締役会は単に反応するだけでなく、行動を起こすための枠組みと文脈を得ることができます。