Connect with us

Why Companies Remain Cautious of AI — And How to Deploy It Securely

ソートリーダー

Why Companies Remain Cautious of AI — And How to Deploy It Securely

mm
Published
Updated

AIは世界を席巻しています。いくつかの組織は最初の導入者でしたが、多くの企業はより慎重なアプローチをとっています — プライバシー、コンプライアンス、および運用上の問題に対する懸念が今尚継続しています。

私はAIを搭載したセキュリティツールを使用した数百の導入に携わってきましたが、同じパターンが繰り返し現れています。チャンピオンは最初の熱意をもたらします。パイロットは約束を示します。次に内部での議論、法的レビュー、そして最終的に分析パラリシスへの陥入として組織は動きを止めます。セキュリティ運用を変革するAIの巨大な潜在能力にもかかわらず、多くの企業はまだそれを完全に受け入れることをためらっています。

サイバーセキュリティでは、慎重さはしばしば正しい直感です。しかし、AIの導入を遅らせることは、現在増加している規模と頻度のAIを搭載した脅威を止めることはできません。実際の課題は、AIをどのようにして慎重に、そして信頼を損なうことなく採用するかです。

ここでは、私が最前線で学んだこと — およびセキュリティリーダーが自信を持って前進するために私が推奨すること — を紹介します。

1. データ信頼問題

最初の最大の障害はデータ管理です。多くの企業は、機密データが漏洩したり、悪用されたり、または — 最悪の場合 — 競合他社に利益をもたらすモデルをトレーニングするために使用されることを恐れています。高プロファイルの脆弱性と曖昧なベンダーの保証は、これらの恐怖を強化します。

これは妄想ではありません。顧客の個人情報、知的財産、または規制データを扱っている場合、第三者にそれを渡すことはコントロールを失うように感じることがあります。ベンダーがデータの分離、保有、第四者の関与、モデルトレーニングに関するポリシーを明確にするまで、採用は慎重なままです。

ここで、ガバナンスが重要になります。CISOは、NIST AIリスク管理フレームワークISO/IEC 42001などの新興フレームワークを使用してベンダーを評価する必要があります。これらのフレームワークは、AIシステムにおける信頼、透明性、説明責任に関する実用的なガイダンスを提供します。

2. 測定できないものは改善できない

別の一般的な道路封鎖は、基準となるメトリックの欠如です。多くの企業は現在のパフォーマンスを数量化できないため、AIツールのROIを証明することはほぼ不可能です。自動化前のタスクにかかった時間を誰も追跡していない場合、40%の効率性の向上を主張することはどうでしょうか?

MTTD(平均検出時間)、誤検出率、またはSOCアナリストの時間の節約など、組織は現在のワークフローを測定することから始める必要があります。このデータがないと、AIの場合は逸話的になり、実際の数値がない限り、幹部スポンサーは大規模なイニシアチブに署名しません。

次の主要KPIを今すぐ追跡し始めます:

  • 平均検出/対応時間(MTTD/MTTR)
  • 誤検出、誤検出、チケットのボリュームの削減
  • インシデントごとのアナリストの時間の節約
  • カバレッジの改善(例:スキャンおよび修復された脆弱性)
  • エスカレーションなしで解決されたインシデント

これらの基準は、AIの正当化戦略の骨子となります。

3. ツールがあまりにもうまく機能するとき

皮肉なことに、AIの採用が停滞する理由の1つは、ツールがあまりにもうまく機能し、組織が処理する準備ができていないよりも多くのリスクを暴露することです。

高度な脅威インテリジェンスプラットフォーム、ダークウェブモニタリングツール、LLMを搭載した可視性ソリューションは、盗まれた資格情報、類似のドメイン、または以前に検出されなかった脆弱性を暴露することがあります。明確性を生み出すのではなく、この圧倒的な可視性は新しい問題を生み出します: どこから始めればいいのでしょうか?

私は、高度なスキャンのボリュームが政治的または予算的な不快感を生み出したため、チームがそれらを無効にしたのを見たことがあります。優れた可視性は、優れた優先順位付けと、問題に立ち向かう意欲を必要とします。

4. レガシーコントラクトにロックされる

より優れたツールが利用可能になっている場合でも、多くの企業はレガシーベンダーとの複数年契約にロックされています。これらの契約には、途中で切り替えることが非現実的になるほど厳しい財務上の罰則が伴う場合があります。

電子メールセキュリティは、クラシックなケースです。最新のソリューションは、AIを駆使した脅威検出、行動モデリング、およびハイブリッド環境の組み込み回復性を提供します。しかし、現在のベンダーが追いついていない場合、5年間の契約に縛られている場合は、契約が終了するまで実質的に固定されています。

これは技術だけの問題ではありません。タイミング、調達、戦略的計画も関係しています。

5. シャドウAIの台頭

AIの採用は、上から下へのみで発生しているのではなく、セキュリティの知識なしにどこでも発生しています。 私たちの調査によると、85%以上の従業員がすでにChatGPT、Copilot、BardなどのAIツールを使用しています。(DeepSeekやTikTokは別です!)

適切な監視なしで、従業員は機密データをパブリックツールに入力したり、妄想された出力に頼ったり、または会社のポリシーに違反したりする可能性があります。これは、コンプライアンスとデータ保護の悪夢であり、問題がないと主張することは問題を解決しません。

セキュリティリーダーは、次の措置を講じて積極的な姿勢をとる必要があります:

  • 受け入れ可能な使用ポリシーの確立
  • 必要に応じて承認されていないAIアプリをブロックし、承認されたツールにユーザーをリダイレクトする
  • 承認された、セキュアなAIプラットフォームを内部使用のために展開する
  • 従業員にAIの責任ある使用方法を教育する

フィールドノート: AI使用ポリシーは使用を変えません。知らないことを強制することはできません。使用を数量化することが最初のステップです。次に、強制を実行します。

6. アウトソーシングは独自のリスクをもたらす

大規模なモデルを社内で構築およびホストするインフラストラクチャを持たない企業はほとんどありません。つまり、アウトソーシングは、CISOがよく知っているサードパーティおよびサプライチェーンのリスクを伴う唯一の実行可能なパスです。

SolarWinds、Kaseya、最近のSnowflakeへの侵害などの事件は、透明性のない外部パートナーを信頼することで重大な漏洩につながる可能性があることを強調しています。AIインフラストラクチャをアウトソーシングする場合、ベンダーのセキュリティポストゥア — 良い場合も悪い場合も — を継承します。

ブランドを信頼するだけでは十分ではありません。次の点について明確性を要求します:

  • モデルのライフサイクルと更新頻度
  • インシデント対応プロトコル
  • ベンダーのセキュリティコントロールとコンプライアンス履歴
  • データの分離とテナントコントロール

7. AIの攻撃対象領域の拡大

組織がAIを採用するにつれて、AI固有の脅威ベクトルにも対処する必要があります。攻撃者はすでに次のものを試しています:

  • モデルポイズニング(トレーニングデータの微妙な変更)
  • プロンプトインジェクション(LLMの動作の操作)
  • アドバーサリアル入力(検出の回避)
  • 妄想の悪用(ユーザーを誤った出力に信頼させる)

これらは理論的なものではありません。実際的で、拡大しています。防御者がAIを採用するにつれて、赤チーム作戦、監視、および対応戦略をこの新しいユニークな攻撃対象領域に合わせて適応させる必要があります。

8. 人とプロセスが実際のボトルネックになる

最も見落とされる課題の1つは、組織の準備度です。AIツールは、ワークフロー、スキルセット、およびマインドセットの変更を必要とすることがあります。

アナリストは、AIを信頼するタイミング、AIに挑戦するタイミング、および効果的にエスカレーションする方法を理解する必要があります。リーダーは、リスクを盲目的に自動化することなく、AIを意思決定プロセスに統合する必要があります。

トレーニング、プレイブック、およびチェンジマネジメントは、技術とともに進化する必要があります。AIの採用は、技術イニシアチブではありません。人間の変革イニシアチブです。

どうしたらいいのでしょうか?

課題があるにもかかわらず、セキュリティにおけるAIの利点はリスクを上回ると強く信じています — ただし、正しく行う必要があります。以下は、私が組織に進むようにアドバイスする方法です:

  • 小さく始めて徹底的にテストする
  • 測定可能な影響を持つスコープ付きのユースケースを選択します。制御されたパイロットを実行します。パフォーマンスを検証します。データで信頼を構築します — ハイプではありません。
  • 法務、リスク、セキュリティを初期段階から関与させる
  • 契約段階まで待たないで、法務とコンプライアンスを関与させて、データの取り扱い条件、規制上のリスク、およびサプライチェーンの影響について事前に検討します。

すべてを測定する

実装の前後を追跡するためのKPIを記録します。セキュリティとビジネス用語で話すダッシュボードを作成します。メトリックはAIの資金調達を成功させるか、または失敗させるかです。

実際のプロジェクトの成功事例を持つパートナーを選択する

デモを超えてみてください。リファレンスを要求します。販売後のサポート、展開の複雑さ、およびあなたの環境での成果について尋ねます。

次に何が起こるのでしょうか? 注目すべき新しいユースケース

セキュリティにおけるAIの旅の初期段階にあります。先見の明あるCISOはすでに以下のものを探索しています:

  • ファイアウォール管理、GRC、コンプライアンス自動化のためのAIコパイロット
  • ゼロデイ脅威対応と精度の向上を加速するAI強化脅威フィードの活用
  • 生成されたレッドテーミングと攻撃シミュレーション
  • 自己回復マルチベンダーインフラストラクチャ
  • 行動AIによって推進されるリスクベースのIDコントロール

これらのユースケースは、イノベーションラボから本格的な生産へと移行しています。現在力を蓄える組織は、将来に備えてはるかに良い準備が整っています。

最終的な考え: 遅延は防御ではありません

AIはここにあり、AIを搭載した攻撃者もいます。待つほどに、失う地盤が増えるだけです。しかし、これは盲目的に突進することを意味しません。

慎重な計画、透明なガバナンス、適切なパートナーとともに、組織はAIを安全に採用できます — 制御を損なうことなく能力を高めることができます。

セキュリティの未来は拡張されています。唯一の疑問は、リーダーとして先導するか、後れを取るかです。

mm

Pete Nicolettiは、Check Point Software Technologiesのアメリカ担当CISOを務めており、以前はCybraics Defense、Hertz Global、Virtustreamでリーダーシップを担った役割を持っています。