日本企業の6割が「AIエージェントに関する情報漏えい対策をどこから始めればいいか分からない」　ガートナー調査：AI時代のセキュリティ戦略、3つの論点とは？

　1つ目は「AI（人工知能）時代のガバナンス」だ。AI技術の急速な進化や地政学リスク、サードパーティー／サプライチェーンに起因する脅威などによって、SRMは複雑性を増している。Gartnerの調査によれば、世界のCEOの85％がサイバーセキュリティを「企業成長の不可欠な要素」と認識し、財務指標だけでなくデジタルリスク対応力も企業評価の基準となりつつあるという。

　この変化に伴い、レジリエンス（回復力）を軸にした生存戦略の重要性が高まっている。同社の礒田優一氏（バイスプレジデント　アナリスト）は「AIができることが今後急速に増えていく中で、セキュリティ人材の在り方も今後3年で大きく変化し、AI時代に即した新しいセキュリティ人材像の定義と育成方法への転換が求められている」と指摘している。

「マシンID」でAIエージェントのリスクを管理

　2つ目は「AIエージェントのリスク管理」だ。AIエージェントの台頭によって、ビジネスの現場では情報漏えいの懸念が拡大している。だが、日本国内のセキュリティリーダーを対象に実施した調査では59.3％が「（AIエージェントに関する）情報漏えい対策をどこから始めればいいのか分からない」と回答している。

　ガートナージャパンの矢野 薫氏（シニアディレクター　アナリスト）によると、AIエージェントに過剰なアクセス権が付与されないようにするにはIDで管理する必要があると指摘。このAIエージェントに付与されるIDを「マシンID」と呼び、「マシンIDの挙動やアクセス権を定めていくために、従業員はマシンIDの『オーナー』として新しいセキュリティの役割と責任を果たさなくてはならない。企業はそのための新しいプロセスの確立と浸透を、従業員と共に進める必要がある」と述べている。

「マシンID」も管理する必要がある（提供：ガートナージャパン）

　AIエージェントによる影響は他にもある。企業内でこれまで曖昧だった「データ管理者」と「データ利用者」の関係性がより鮮明になると矢野氏は語る。「管理者はデータを守りたい理由を、利用者はデータ活用の目的を相互に明確にし合うという、新たな関係性と責任が生まれるだろう」

セキュリティオペレーションの進化

　3つ目は「セキュリティオペレーションの進化」だ。生成AIによってサイバー攻撃が巧妙化しているが、一方で防御側もAIを活用して検知能力や脅威分析、インシデント対応の効率化を図っている。

　ガートナージャパンの鈴木弘之氏（ディレクター　アナリスト）は「セキュリティオペレーションを担うリーダーは、AIを『攻撃分析』『検知強化』『脅威インテリジェンス』『運用課題解決』の4つの観点で整理し、自社にどのような影響を及ぼすかを分析する必要がある」と指摘している。

　ただ、脅威インテリジェンスには運用面での課題がある。鈴木氏は「脅威インテリジェンスツールはできることがたくさんあるが、どこまで、どのようにやるかまでは決まっていない組織が多い」と分析している。

　Gartnerはそれぞれの脅威エクスポージャに対して、どのように、どこまで対処するか、CTEM（継続的な脅威エクスポージャ管理）のフレームワークを使って判断することを推奨している。AIは、そうした情報の収集や分析に活用できるため「今まで手動でやってきた面倒なタスクはAIに任せて、人は判断する、決断する、組織を動かして改善することに集中すべきだ」と鈴木氏は指摘している。