AIが「攻撃する側」にも使われ始めている
MIT Technology Reviewが主催するEmTech AIカンファレンスで、GC Cybersecurityの共同創設者兼CEO・CTOであるタリク・ムスタファ氏が登壇し、AI時代におけるサイバーセキュリティの現状と課題について語りました。ムスタファ氏は南カリフォルニア大学でコンピュータサイエンスの博士号を取得し、SymantecやMCI WorldComなど複数の大手企業でセキュリティ分野のリーダーを歴任してきた、20年以上のキャリアを持つ専門家です。
セッションの核心にあったのは、「AIは守る側だけでなく、攻撃する側にも使われている」という現実です。かつてのサイバー攻撃は、あらかじめ決まった手順に沿って実行される比較的予測しやすいものでした。ところがAIを使った攻撃は、状況に応じて戦略を変えながら標的に迫ることができます。これまでの「既知の攻撃パターンを遮断する」という発想では、AIが自律的に動く攻撃を防ぎきれなくなってきているのです。
「AIを後乗せする」だけでは足りない理由
多くの企業や個人が、既存のセキュリティツールにAI機能を追加するアプローチを取っています。たとえば、これまで使っていたウイルス対策ソフトにAIによる異常検知を上乗せするようなイメージです。ムスタファ氏はこのアプローチに限界があると指摘します。AIを「後から加える機能」として扱うのではなく、セキュリティの設計そのものをAIを中心に据えて作り直す必要があるという考え方です。
たとえばムスタファ氏が手がけるGC Cybersecurityでは、データ漏洩防止(DLP)やデータセキュリティ態勢管理(DSPM)と呼ばれる分野で、第4・第5世代の完全自律型プラットフォームを開発しています。これは「人が判断してから対応する」のではなく、AIが自律的にリスクを判断・処理する仕組みです。従来型の製品が「検知して通知する」ものだとすれば、このアプローチは「検知して即座に対処する」という大きな違いがあります。
フリーランスのセキュリティ意識、今どこにあるか
「セキュリティといえば大企業の話」と感じているフリーランスの方も多いかもしれません。ただ現実には、クライアントのデータを扱う、請求書のやり取りをする、クラウドツールを複数使うというフリーランスの働き方は、それ自体がリスクを内包しています。しかもフリーランスには専任のIT担当者がいません。自分でツールを選び、自分でリスクを判断しなければならない環境です。
AIを使った攻撃が高度化すると、フィッシングメールの文面が自然になったり、なりすましの精度が上がったりします。「なんか変だな」という違和感で気づくことが、今後ますます難しくなっていきます。ムスタファ氏の発言は大企業向けの提言ですが、「AIを使った攻撃が増えている」という認識はフリーランスにも直接関係する話です。
今すぐできることと、中長期で変わること
今回のカンファレンスセッションは製品発表ではなく、業界に向けた問題提起です。ただ、このトレンドから読み取れることはいくつかあります。まず、AIを活用したセキュリティツールが今後続々と登場してくることが予想されます。個人でも使いやすい価格帯の製品も出てくるでしょう。また、クライアントから「情報管理はどうしていますか?」と問われる場面が増える可能性もあります。特にデータを扱うライターや、システム開発を受注するエンジニアのフリーランスにとっては、セキュリティへの理解が信頼構築の一部になってくるかもしれません。
足元でできることとして、使っているクラウドサービスの二段階認証を改めて確認したり、パスワード管理ツールを見直したりするのはシンプルながら有効です。大がかりなツール導入が必要なわけではありませんが、「AI時代のセキュリティ」という視点を持っておくことは損ではありません。
フリーランスへの影響
今回の発表が即座に仕事の進め方を変えるものではありませんが、中長期的な視点では無視しにくいテーマです。AIを使って業務効率化を進めるフリーランスが増える一方で、攻撃する側も同じツールを使って手口を洗練させています。これはセキュリティ業界に閉じた話ではなく、AIツールを日常的に使う私たちにも関係する構造変化です。
特に機密性の高い情報を扱うフリーランス、たとえば医療・法律・金融分野の案件を受けているライターやコンサルタント、あるいはクライアントの内部システムにアクセスするエンジニアにとっては、セキュリティ意識を高めておく理由がより明確です。今すぐ何かを買い替える必要はありませんが、この分野の動向をたまに眺めておくくらいの距離感は持っておきたいところです。
コメント