ジョーシス、LRM、エーアイセキュリティラボの3社は7月7日、メディア向けにAIセキュリティーに関する勉強会を開催した。AIを利用する上での、セキュリティーリスクや対策を強化するためのポイントなどを紹介した。
ジョーシスは、サイバー攻撃が高度化する中、IDやパスワードといったアイデンティティー(認証情報)が狙われることが多いと指摘した。23年3月1日~26年6月1日で、日経平均を構成する225社を対象に、ダークWeb上での認証情報の漏えい状況を調べたところ、96%にあたる217社の企業で漏えいが確認された。そのうち168社については、認証基盤やセキュリティー、顧客管理などに関する重要度の高いアプリケーションでの認証情報が漏えいしていることが分かった。
ジョーシスで執行役員を務める城戸大輝・Head of Customer Strategyは、攻撃者が漏えいしているさまざまな認証情報を購入し、攻撃をするため、企業はいつ被害に遭ってもおかしくない状況だと分析した。対策として、手動ではなくAIを活用してアイデンティティーセキュリティーを担保する必要があるとした。
ジョーシス
城戸大輝・執行役員
LRMは、企業がセキュリティー面の議論を行う前にAIエージェントを利用している実態があると分析した。AIエージェントを安全に利用するためには、組織としてAI利用のポリシー設定や、従業員に対してセキュリティーやガバナンスに関する教育、AIエージェントサービスの適切な設定などに取り組み、AIガバナンスを構築することが必要だとした。
AIエージェントの設定においては、AIエージェントに実行を完全に任せるのではなく、データの削除や決済処理といった重要アクションを行う前に、必ず人間が確認と承認を行う、ガードレール機能の実装、ログの保全の三つを原則として運用する重要性を訴えた。
エーアイセキュリティラボによると、AIエージェントによる自動化は便利である一方で、予期せぬリスクをはらんでいるという。例えば、開発でよく利用されているAIエージェント「Claude Code」について、エーアイセキュリティラボは4月に重大な脆弱性を発見し報告した。どんなに高度なAIにもこのような穴は存在することから、防御にもAIを活用し、安全な運用を支えることが不可欠とした。
3社によるパネルディスカッションも実施。「企業のAI利用は危険な状況にあるか」や「AI禁止ポリシーは現場でなぜ機能しないのか」といった観点から、自社や顧客の状況を踏まえて議論した。AI活用にはリスクがあるものの、利用を禁止することは現実的ではないため、ルール整備などを通じて安全に活用できる環境を整えることが重要との認識が示された。(大向琴音)