生成AIで高度化するサイバー攻撃に備える防御とガバナンスの優先順位

生成AIが攻撃を「日常業務化」させる背景

国際的な枠組みで、AIを悪用したサイバー攻撃への対応強化が示されました。脅威が自動化・高速化し、企業の前提が変わりつつあります。

生成AIは標的調査や偽装文面の作成、手順の補助を通じて攻撃コストを下げます。結果として、巧妙さだけでなく量の面でも圧力が増します。

政策や声明は、規制や調達要件、業界基準に波及しやすい点が重要です。IT部門だけでなく経営層も、統制の再設計を迫られます。

AIを用いた攻撃シナリオと企業で起きやすい事例

典型例はフィッシングやBEC（ビジネスメール詐欺）の精度向上です。自然な文面と多言語対応により、業務メールやチャットに紛れ込みます。

次に、ディープフェイクによる音声・映像のなりすましが現実的になりました。送金や機密開示を「緊急」「内密」で迫り、例外処理を誘います。

脆弱性悪用も加速します。AIがゼロデイを生むというより、公開情報の整理や手順最適化で武器化を早め、パッチ遅延の致命度が上がります。

さらに、個別最適化した標的型攻撃を同時多発させやすくなります。守る側は例外対応ではなく、日常的に起きる前提で監視と運用を整える必要があります。

優先すべき対策：アイデンティティ、運用速度、AI統制

第一に、アイデンティティ中心の防御を強化します。多要素認証（MFA）、特権IDの分離、条件付きアクセス、端末健全性確認を組み合わせて実装します。

第二に、コミュニケーション起点の攻撃へ備えます。メールだけでなくチャットや会議も対象とし、送金・重要情報共有は二経路確認をルール化します。

第三に、脆弱性管理を時間軸で再設計します。収集から影響判定、優先度付け、適用、例外管理までをプロセス化し、外部公開資産や認証基盤を優先します。

加えて、監視と初動の実効性が鍵です。ログの横断分析と封じ込め手順の整備を進め、バックアップと復旧訓練も含めて被害最小化の設計に更新します。

AI利用のガバナンスも欠かせません。入力データの区分、DLPやCASBによる制御、シャドーAI把握に加え、プロンプトインジェクション対策として権限分離と監査を徹底します。

まとめ

ネットワークベンダーとして、PSIでは、AI時代は「単点の対策」ではなく多層防御で全体最適を図る考え方が重要だと捉えています。

具体的には、ゼロトラストの前提に立ち、アイデンティティ起点でアクセスを絞り、セグメンテーションで侵害範囲を限定できる構造を推奨します。

あわせて、脆弱性管理と監視運用のスピードを高め、AI利用の統制を含むガバナンスを整備することが、継続的に被害を抑える実務の要点になります。

会社概要

社名：株式会社ピーエスアイ（PSI）
所在地：〒160-0022 東京都新宿区新宿5丁目5-3 建成新宿ビル4階
設立：1994年
TEL：03-3357-9980
FAX：03-5360-4488
URL：https://www.psi.co.jp
事業内容：サイバーセキュリティ製品の販売および導入支援、運用サポート、ITコンサルティング

報道関係者様からのお問合せ先

株式会社ピーエスアイ
広報担当：内藤
電話番号：（03）3357-9980
Eメールアドレス：psi-press@psi.co.jp