AIの導入が本格化した年、そしてセキュリティチームに対する影響
2025年、生成AIおよび初期のエージェント型システムが、限られたパイロットプロジェクトでの運用からより広範な採用へと拡大していきました。さまざまな生成AIツールが、私たちが日々使用する業務ワークフローやSaaS製品に埋め込まれ、AIエージェントがより多くのデータやシステムにアクセスするようになりました。また、脅威アクターが商用AIモデルを操作して攻撃に利用する様子も垣間見ました。
AIが私たちの働き方を変えていくなかで、サイバーセキュリティリーダーは急速に拡大するアタックサーフェスを保護し、これまでに見られたことのないリスクを管理するという課題を突き付けられています。多くの人にとって、問題はAIを保護するべきかどうかではなく、「AIを保護する」ということが具体的に何を意味するか、ということです。モデルを保護することでしょうか?データを管理することでしょうか?出力を監視すること、あるいはAIエージェントの行動をコントロールすることでしょうか?
AIシステムは複雑であり動的に変化します。複数の業務領域に渡って同時に動作し、機密性の高いデータを取り込むまたは生成する、自律的にアクションを取る、大規模にロジックを実行する能力を持っています。AIを保護することは、どこにAIが存在するか、AIがどのように振る舞うか、何を実行することを許可されているか、そしてAIが行う決定が組織全体にどのように影響するか、を理解することを意味します。これには新しい機能、強化されたガバナンスフレームワーク、そして斬新な思考が必要です。
さまざまな産業分野および規模の企業の1,500名以上のITセキュリティリーダーに対し、AIがサイバーセキュリティにもたらす問題とチャンスについての視点を当社が調査するのは今年で3年目となります。回答者は5大陸14か国からこの調査に参加しましたが、彼らはすべて急激に変化する環境への対応に責任を持つ人たちです。昨年来、一部の領域においては成熟に向けた著しい進化が見られました。一方で、停滞している側面もあります。