米Tenable（テナブル）は11月5日、AIにより拡大するサイバーリスクについて記者説明会を開き、日本企業に対してプロアクティブなセキュリティー対策への転換を促した。スティーブ・ヴィンツ・共同CEOは、「AIの悪用で、攻撃者がこれまでにない速度と規模、巧妙さで攻撃している。侵害を検知してから対応する従来の対策では、もはや十分ではない」と指摘した。
 
　ヴィンツ共同CEOは、日本企業で発生した深刻なデータ侵害の平均コストが約5億5000万円に上ると紹介。2024年にはランサムウェア攻撃が200件以上報告されたが、25年は上半期だけで116件に達しており、今後も急増が見込まれるという。背景には、攻撃者が既知の脆弱性を利用しやすい状況がある。

　AIの急速な普及もリスクを高めている。同社が、日本を含む複数地域で1000人以上のIT・セキュリティー専門家を対象に行った調査では、55％が業務にAIを活用する一方、3分の1以上がAI関連の侵害を経験していた。AIに関するリスクとしてはAIモデルの改ざんを懸念する声が挙がっているが、実際にはソフトウェア脆弱性の悪用（21％）、内部不正（18％）、設定ミス（16％）など従来型の問題が中心となっている。

　対策として重要なのは、悪用リスクの高い脆弱性を特定し、迅速に対応することだとした。ヴィンツ氏は「公表されている30万件超の脆弱性のうち、実際に悪用される懸念が高いのは2％程度」と説明。脆弱性の深刻度を示すCVSSスコアだけでなく、過去の悪用事例などの脅威データに基づいて優先順位をつけ、対策することが最善策であると強調した。
 
　ギャビン・ミラード・バイスプレジデントは、「事後対応に比べ、事前対応のコストは100分の1で済む」との見解を示した。続けて、組織のデジタル資産全体に存在する未解決の弱点やリスクを、攻撃者の視点から総合的に評価する「エクスポージャー」管理が重要であるとした。これについて同社では、AIを活用し、国内で標的となっている特定の脆弱性や、攻撃者が利用する可能性のある攻撃パスを特定することが可能だとアピールした。（南雲亮平）