ボードルームのギャップ: CISOがディープフェイクについて話しにくい理由 — とそれを枠組みにする方法

サイバーセキュリティは、企業、政府、個人がAIを広く採用することによって推進される重要な時期を迎えています。USの企業の82%がビジネスでAIを使用または使用を検討しているため、組織は新しい効率性を解放していますが、攻撃者も同様です。イノベーションを推進する同じツールは、脅威行為者が合成コンテンツを驚くほどの容易さとリアリズムで生成できるようにもしています。この新しい現実は、合成コンテンツ（画像、オーディオ、ビデオ）と悪意のあるディープフェイク（操作されたオーディオ、ビデオ、または画像を使用して実在の人物を模倣する）を作成する能力を含む重大な課題をもたらしました。コンピューターとインターネットにアクセスできる人は、誰でも数回のクリックで画像、オーディオ、ビデオを操作し、情報エトスに不信と疑念を引き起こすことができます。

企業、政府、メディア組織がデジタルコミュニケーションに依存している時代に、ディープフェイク、合成アイデンティティ詐欺、模倣攻撃のリスクを軽視する余地はありません。これらの脅威はもはや仮説的ではありません。ディープフェイクを利用した企業詐欺による金銭的損失は、2025年第1四半期だけで200万ドルを超えました、問題の規模と緊急性を強調しています。新しい脅威の地平線には、新しいサイバーセキュリティへのアプローチが必要であり、CISOは会社が安全であることを保証するために迅速に行動する必要があります。ただし、さまざまなレベルのディープフェイクの脅威の深刻さに関する知識を持つ執行役員会に、新しい資本を要求し、会社の脅威の暴露を明確に伝えることは、難しい場合があります。ディープフェイク攻撃が進化し、形を整えるにつれて、すべてのCISOはボードルームでこの会話を先導する必要があります。

以下は、CISOと役員がボード、組織、コミュニティレベルで利害関係者との会話を促進するためのフレームワークです。

馴染みのあるフレームワークを使用する: ディープフェイクを高度なソーシャルエンジニアリングとして

ボードは、サイバーセキュリティについて、馴染みのある用語で考えるように条件付けられています。フィッシング電子メール、ランサムウェア攻撃、および会社が侵害されるかどうかの疑問です。その思考法は、脅威を優先順位付けし、セキュリティ予算を割り当てる方法を形作ります。しかし、AI生成コンテンツ、特にディープフェイクについては、組み込まれた参照ポイントはありません。ディープフェイクを独立した、新しい脅威として枠組み化すると、混乱、懐疑、または無視につながることがあります。

これに対抗するために、CISOは、ボードがすでに理解しているものに会話を錨づけます。社会工学です。ディープフェイクの脅威は、核となる部分では、新しいものではありません。業界内で何年も存在し続けてきたフィッシングの進化形で、現在も社会工学の第1の攻撃ベクトルです。ボードは、フィッシングを信頼できるリスクとして認識しており、防御するためのリソースを承認することに抵抗がないでしょう。多くの点で、ディープフェイクは、より説得力があり、よりスケーラブルで、より能力の高い社会工学の形態を表し、組織と個人を壊滅的な精度で標的としています。

このようにディープフェイクを枠組み化することで、CISOは既存の教育、予算ライン、機関の筋肉メモリを利用できます。新しいリソースを要求するのではなく、すでに承認されたセキュリティ投資の進化として要求を再構成できます。CISOがこの物語に頼るほど、リソースを付与される可能性は高くなります。

リスクを現実主義に錨づける

ボードの理解を深めるために、ディープフェイクの脅威が組織に与える影響の実世界の例を示すことは、良い方法です。ただし、CISOがボードに示す例を慎重に選択する必要があります。ボードルームでは、逆効果になる可能性があります。例えば、香港での2500万ドルのワイヤー詐欺事件のような有名な話は、素晴らしい見出しになるかもしれませんが、ボードルームでは裏目に出る可能性があります。これらの極端な例は、遠いまたは非現実的なものに感じられ、「そんなに壊滅的なことは私たちには起こり得ない」という感覚を生み出し、保護対策への投資の緊急性を取り除きます。

代わりに、CISOは、内部でこのリスクがどのように発生するかを示すために、より関連性の高いシナリオを使用する必要があります。例えば、役員の模倣や面接詐欺です。

ある場合、北朝鮮の脅威行為者は、AI生成された役員を特集した偽のZoomコールを作成し、暗号化された会社情報へのアクセスを意図して、暗号化マルウェアをダウンロードするように暗号化従業員を欺きました。最終的には、ハッカーはアクセスを獲得できませんでしたが、これらの攻撃が企業のブランドの完全性に与える脅威は、企業内のボードに警鐘を鳴らすべきです。

別の増加する戦術には、偽の求職者が含まれます。AI生成されたIDとディープフェイクの資格情報を使用して、企業組織に潜入しようとしています。これらの個人たちは、米国の宿敵であるロシア、北朝鮮、または中国のために行動し、機密システムとデータへのアクセスを求めています。この傾向は、内部リソースを枯渇させ、組織を国家安全保障リスクと金銭的搾取にさらします。

しばしば、これらの脅威はレーダー下を飛んでいます。ニュースにある例のために、数十の未報告のものがあり、脅威の規模を完全に理解することは困難です。攻撃がよりありふれてきたほど、より不安を与え、関連性があります。CISOがこれらの例 — 現実的で、関連性があり、より身近なもの — を共有することで、ディープフェイクの会話を日常的なビジネス運用に根付かせ、ボードレベルでこの進化する脅威に真剣に取り組む必要性を強調できます。

ディープフェイク防御を既存の回復力メトリックに結び付ける

CISOは、ボードから同じ質問を繰り返し聞かれます。侵害される可能性は？どこが最も脆弱？リスクをどのように軽減する？フィッシング、ランサムウェア、データ漏洩が続く一方で、脆弱性の中で何が変わったかを、そしてそれがどのように従来の攻撃面を超えて拡大したかを示すことが重要です。従来、サイバーセキュリティの最前線と見なされていなかった人事、財務、調達チームは、合成の模倣の頻繁な標的です。平均的な人間がこれらの脅威を検出する能力は非常に低いです。実際、1000人に1人しか、AI生成コンテンツを正確に検出できないという調査結果があります。CISOは、組織全体で高度な社会工学教育とサイバー回復力の需要に応える任務を負っています。すべての従業員が訓練され、テストされ、緩和に協力する必要があります。

ディープフェイク防御は、企業全体の回復力の延長となり、フィッシングシミュレーション、認識トレーニング、レッドチーム演習と同様に、継続的な教育を必要とします。CISOは、トレーニングとシミュレーションからのメトリクスを使用して、ボードが理解できるメトリクスで問題を枠組み化する必要があります。ボードがすでに回復力を戦略的優先事項として組織に買っている場合、ディープフェイクは自然な次のフロンティアとなります。

AI生成された脅威はまだ来ていないのではなく、すでに存在しています。ボードルームが聞き、リーダーシップをとる準備ができていることを確認する時です。AIの採用により、ディープフェイクやアイデンティティベースの攻撃の規模と頻度が変化し、脅威の地平線は予測不可能で常に変化するものとなりました。

しかし、ボードはディープフェイクやボイスクローニングの入門書は必要ありません。彼らは、会社への脅威についての明確なビジネス文脈と理解が必要です。CISOは、リスク、コスト、事業の継続性に基づいて会話を根付かせる必要があります。ディープフェイクの物語を、フィッシング、社会工学、回復力などの馴染みのあるパラダイムに合わせることで、ボードは行動を取るための枠組みと文脈を与え、ただ反応するのではなく、行動できるようになります。