AIが脅威にも武器にもなる時代、攻めと守りの間で悩むCISO

企業が警戒しなければならないサイバーリスクは、脆弱性管理やデータ損失防止、サードパーティー経由のものなど幅広い。その中でAIリスクはどの程度優先度が高いのだろうか。

» 2025年08月23日 07時00分公開

[Eric Geller，Cybersecurity Dive]

　AIを用いたサイバー攻撃が大きな話題となる中、その影響範囲についてはまだ十分に知られていない。最新の調査結果によれば、想像以上に多くの企業がAIを使ったサイバー脅威にさらされている可能性があるという。

急増する「AIサイバー攻撃」　CISOが警戒する2大リスクとは

　サイバーセキュリティ事業への投資や立ち上げ支援で知られるTeam8が2025年7月17日（現地時間、以下同）に発表した報告書「CISO Village Survey」によると（注1、注2）、過去1年間に、CISO（最高情報セキュリティ責任者）4人に1人が自社ネットワーク上でAIを利用したサイバー攻撃を経験しており、そのリスクは現在、最優先課題として位置付けられている。

　報告書の中で、Team8は「AIを活用した攻撃の標的となった企業の実数は、報告されている数を上回る可能性がある。なぜなら、AIによる脅威の大半は人間の活動を模倣しており、侵害までの時間や攻撃の速度といった高度な指標を使わなければ検知が難しいためだ」と述べた。

　報告書によると、AIリスクは脆弱（ぜいじゃく）性管理やデータ損失防止、サードパーティーリスクといった課題よりもCISOにとって優先度が高い。報告書では大手企業のセキュリティ責任者110人以上へのインタビューに基づいてこのように結論付けた。

　AIの登場と急速な進化により、CISOはサイバーセキュリティにおいて、高度化する攻撃手法や新たな脆弱性を抱える技術プラットフォームなど、さまざまな課題に直面している。

　セキュリティ責任者の回答割合が特に高く、CISOが最も重視している課題は次の2つだ。

・AIエージェントに関する安全性の確保（37％）
・従業員によるAIツールの利用が自社のセキュリティおよびプライバシーポリシーに準拠しているかどうかの確認（36％）

社内からのAIリスクもある

　報告書によると、AIを悪用したフィッシングやマルウェアの開発だけでなく、自社でAIを導入することによって生じる予期せぬセキュリティリスクについても、経営幹部は懸念を抱いている。

　「経営陣は企業全体におけるAIの導入を強く推進しており、セキュリティ担当者には移行を妨げるのではなく、後押しすることが求められている。その結果、CISOは非常に厳しい立場に置かれている。十分に理解されておらず、急速に進化し、成熟した管理手法も整っていないAIという技術領域において、リスクを軽減する責任を負わされているためだ」（Team8）

　半数近くの企業はAIを使用する際、あらかじめ従業員に許可を求めている。だが、許可制はAI活用を推進したい非セキュリティ部門の幹部との間に摩擦を生む可能性があるとTeam8は指摘した。「シャドーAIの利用や企業全体でのガバナンス体制の不在に直面する中、セキュリティチームの間では、デフォルトで許可を与える仕組みに対して、より効果的に管理する手段を求める声が高まっている」

AIはCISOの片腕になるという回答

　このような懸念がある反面、CISOは自らの業務にAIを積極的に取り入れたいとも考えている。Team8の調査において、CISOの約8割が「最初にAIに代替されるのはセキュリティオペレーションセンター（SOC）の役割になるだろう」と答えた（注3）。さらに、そのうちの約半数は「AIによるSOC導入を試みている主な理由は人員削減だ」と述べた。CISOはAIが人間に代わる業務として次のものを挙げた。

・ペネトレーションテスト（27％）
・サードパーティーリスク評価（27％）
・ユーザーアクセス要求に関するレビュー（26％）
・脅威モデリング（22％）

　Team8によると、ペネトレーションテストや脅威モデリングといった高度なスキルや知識が求められ、人材不足が深刻な分野において、AIエージェントはより広範な領域にわたって専門家レベルの能力を発揮できる可能性があるという。

　Team8の報告書によると、すでに67％の企業がAIエージェントを導入しており、さらに23％の企業が2026年内の導入を計画している。合計すると約9割の企業がAIエージェントを利用することになる。

　興味深いのは、AIエージェントのベンダーが数多く存在しているにもかかわらず、AIエージェントを使用または試験運用している企業の67％が「社内で独自に開発している」と答えた点だ。

　なお、ベンダー製品を選ぶと回答したCISOは59％に上る。これらの回答からは社内開発とベンダー製品の両輪で導入を進める企業の存在が浮かび上がる。

出典：AI-powered attacks rise as CISOs prioritize AI security risks（Cybersecurity Dive）
注1：Key Findings from Team8's 2025 CISO Village Survey（Team8）
注2：AI, Risk, and the Road Ahead: Key Findings from the 2025 CISO Village Survey（Team8）
注3：How AI agents could revolutionize the SOC - with human help（Cybersecurity Dive）

原文へのリンク

生成AIを使った自動サイバー攻撃　どのような攻撃が増えているのか
生成AIを使ったサイバー攻撃の効率化や迅速化が目立ってきた。どのような攻撃が増えていて、実害はどの程度なのだろうか。Gartnerなどの見解を紹介する。
AIのフェイクだけじゃない　攻撃者が経営幹部に接近する新ルートが見つかる
セキュリティの専門家によると、サイバー攻撃者はディープフェイクや音声クローンだけでなく、別のルートを使って企業の経営幹部やその家族を標的にしているという。
生成AIの自動サイバー攻撃　成功率9割の脅威
イリノイ大学の研究チームは生成AI（GPT-4）を利用したサイバー攻撃の実験結果を公開した。攻撃の成功率を高める方法も分かった。
シャドーAIがセキュリティの課題に　禁止ではなく把握とアクセス制御で対応せよ
シャドーITならぬ「シャドーIT」が問題になり始めた。個人情報や企業の重要情報を入力してしまう論外だ。だが、管理下にない生成AIを利用していると、そのような行動を検出できない。
AI投資進むも"AIセキュリティ投資"進まず　企業の期待と不安交錯
企業はAIエージェントを競争優位や生産性向上のための手段として捉えている。だがAIエージェントは新規の技術で、完全には信頼できない。こうした状況の中、セキュリティ対策の面で企業の行動には矛盾があるようだ。