AIの進化スピード
今朝の報道番組にソフトバンクグループの会長兼社長の孫正義氏が出演されていました。
ここで、面白いことを言われていたのでその話を引用し、その話を聞いていて筆者は情報セキュリティへの対策へと思いがつながりましたので、今回のコラムとして書きたいと思います。
孫氏は、新幹線のスピード(時速300㎞にしましょう)は自転車のスピード(時速15㎞にしましょう)の約20倍だが、20倍違えば、全く別の乗り物になるということを仰っていました。確かに、スピードの差自体は285㎞ですが、何倍かということでは20倍です。
同じように、AIの進化のスピードは4年で1000倍(10³)になるようです。オリンピックごとに1000倍になるということなので、今年のパリオリンピックを起点にして、その3回後に開催されるオリンピックでは(2036年)10億倍(10⁹)進歩していることになります。
乗り物の20倍でも圧倒的な違いですが、これは恐るべき進化です。
AIは日々進化していると言っても過言ではありませんね。今時点で最高水準の一つの対話型AIであるChatGpt 4oを筆者も時々使っていますが、少し前のChatGpt 3と比較しても随分回答精度が良くなったと感じています。
AIの進化に対する「人」の強化
このようにAIの進化に伴って、当然ですがサイバー攻撃も進化します。そのため経営者はこれに対応したシステム面の強化も必要だと考えていると思いますが、ずっと毎年継続してシステムへ投資してもサイバー攻撃の進化に追いつくことはできません。その場その場での最良の対策を行っているに過ぎないのです。
そこで何より大切なのが、筆者がいつも口にしている「人」の強化です。
つまり、「全ての情報セキュリティリスクの根源は人にある」ということです。
この根本原因に対処することが一番の最適解であり、重要でかつ必要なことですが、多くの経営者は気付いていません。システムを入れれば何とかなると考え、毎年多額のシステム投資をしていますが、大企業であってもサイバー攻撃から自分自身を守ることができません。最近ではKADOKAWAやJAXAがサイバー攻撃を受け大きな被害を受けたと報道されています。両社とも非常に進んだシステム面の対策を行っていたと思われますが、攻撃者側がシステムの脆弱性を突いて侵入に成功しています。KADOKAWAの件もそうですが、最近よく目にするのはVPN機器の脆弱性を突いた攻撃です。脆弱性ですから、おそらくメーカーから既にパッチが提供されていたと推測しますが、適切にパッチを当てていなかった(あるいは適用が遅れた?)ことが要因の一つと考えられます。では、その対策としてどうすれば良かったのでしょうか?
解決策の一つとして、構成管理や資産管理ツールなどを導入し、社内LANに接続している全ての機器と、そこに導入されているソフトウェアの一覧を管理し、最新のバージョンで無いものについては適宜パッチを当てるということを繰り返すことになります。
そのためには当然構成管理や資産管理ツールの導入が必要ですが、それを日々監視し異常を認識し見逃し無く対処する人の育成がもっと必要になります。
身近なにある情報セキュリティ事故
もっと身近な例でお話しますと、標的型メール攻撃やばらまき型メール攻撃、Webサイトの閲覧によるウィルス感染など、人の不注意に起因した事象も多く発生していますが、これらへの対策として毎年繰り返し人の教育を行うことで、ある程度の削減は可能です。ただし、攻撃側も毎年、手を変え品を変え、しかも上で書いたようにAIを駆使するなど高度化しているので、それに伴い教育内容も年々高度化していく必要があります。
ここまではサイバー攻撃に関する話題でしたが、実は会社からの情報漏えいの件数では、従業員の不正・過失による件数がサイバー攻撃による情報漏えいの件数の約10倍発生していると言われています。
経営者は被害の影響度や報道などからサイバー攻撃に目がいきがちになっています。確かにサイバー攻撃の発生頻度は低いですが、一度発生するとその影響度は計り知れません。一方、従業員の不正や過失は、例えば退職する従業員が会社から(お土産として)重要情報を持ち出し転職先で活用する(ソフトバンクから楽天モバイルに重要情報を持ち出し逮捕された事例がありました)事例や、メールの送信時に宛先や添付ファイルの中身をしっかり確認しないで送信して情報漏えいになってしまったという事例はどこの会社でも発生しています。うちの会社ではメール誤送信は1件も報告を受けていないという経営者の方がおられたら、本当にゼロなのか、疑ってかかった方が良いと思います。人はどんなに注意していてもミスをすることがありますし、情報の持ち出しについても不正の3要素が揃うことで発生してしまいます。特にメール誤送信については、会社によってはメール誤送信防止ソフトというものを導入しているところも結構あるかと思いますが、それでもゼロにはなりません。このようなソフトウェアを導入していない会社はさらに多いでしょう。
上で書いたメール誤送信ゼロと思われている経営者の会社では、会社の中に情報セキュリティ事故が発生したらすぐに報告するような仕組みが整備され、適切に運用されているのでしょうか?適切に運用されていなければどうなるでしょうか?メール誤送信した従業員は、どうせ報告したら叱られるに決まっている、報告しないで自分一人で対処して済ませようと考え、誤送信先と結託して誤送信自体をもみ消すこともあるかと思います。
このようなことを放置し続けるとどうどうなるでしょう。比較的軽微な情報セキュリティ事故対策を都度取っておかないと、そのうちに大きな情報セキュリティ事故が発生し、会社としては取り返しがつかない事態になることも考えられます(ハインリッヒの法則というものがあります)。
経営者に求められる「人」の教育
このようないろいろな対処をするに際し、一番重要なことは「人」の教育です。
例えば、各種情報の管理方法、情報機器の取り扱い方法、アカウントやパスワードの管理、メールの送信時の注意事項、Webサイトを閲覧するときの注意事項、仮に情報セキュリティ事故を起こした時の連絡体制など、このような基本的なルールを策定し、それを繰り返し従業員に周知して徹底させ、一度情報セキュリティ事故が発生したら会社にどのようなインパクトがあるのか説明し理解してもらう事こそが、経営者がまず第一にやらなければならないトッププライオリティの事項だと考えます。
弊社の支援について
弊社では、このような経営者がまず取り組まなければならない対策について、一緒に対策を考え対応を図っていくご支援をいたします。
コンタクト - Keni総合コンサルティング(Keni Integrated Consulting) (keni-consulting.com)