アントニー クック (Antony Cook)
マイクロソフトアジア リージョナルバイスプレジデント 兼 法務顧問長
10 月は国際サイバーセキュリティ月間のため、オンラインプライバシーや安全性、信頼性の状況に新たな注目が集まっています。
オンライン攻撃はより巧妙に、そして複雑になってきており、今日ではサイバー攻撃が企業にとって最大のリスクとなっています。サイバー犯罪によって企業が負担するコストは、今後 5 年間で最大 5 兆 2000 億ドルに達する可能性があるとの調査もあります。この数字が驚異的であることはわかっていただけるでしょう。万引や組織犯罪などの物理的な盗難と比較してみましょう。このような物理的犯罪によって世界の小売業者が負担するコストは 2017 年で約 1000 億ドルです。
日々検出される一般的な脅威には、ワームやランサムウェアといったものから、産業用制御システムの侵害や、インフラのハイジャックといったものまでさまざまです。中には、2016 年にウクライナの電力網を狙った有名な攻撃もあります。
サイバー防御における従来の手法は、既知の脅威シグネチャを検知することです。この手法は、異常な行動を特定するにあたって大量のデータを調べる必要があるため、繰り返しの作業になりがちです。複雑化するサイバー犯罪に対応するには、高度な AI ツールが必要となってきています。
新たな IoT デバイスはすべて新たな攻撃の温床となります。すでに IoT デバイスの数は携帯電話の数を上回っているとの試算もあり、マイクロソフトのような企業が年間何兆回にもおよぶ潜在的攻撃を止めなくてはなりません。このように膨大な課題に立ち向かえるのは AI しかないのです。
AI の到来により、脅威を検知し、管理して対処できる非常に強力なツールが手に入りました。企業が自社システムに独自のセキュリティ対策を施すことは重要ですが、AI によって防御戦略がさらに強化されるのです。
AI は、保護対象となるユーザーやネットワークごとに独自のパターンを学習します。つまり、攻撃の兆候を示すほんのわずかな異常行動も検知できるのです。既存データを使って AI アルゴリズムを開発することで、企業は新たなサイバー脅威を特定できるようになります。
鍵となるのはお客様の保護
防御技術が進歩しても、最も重要なのはサイバーセキュリティ分野において人の部分にフォーカスし、常に信頼とプライバシーを最優先とすることです。以前もお伝えしましたが、人は組織が自分を尊重していると認識しておきたいもので、その行為についても透明性を保ってもらいたいと考えるものです。テクノロジの恩恵は、一部のエリート集団だけでなく全員が享受できるようにすることが重要です。
AI は脅威判定の一環として大量の個人データを活用するため、プライバシーに対する懸念も多々あります。
機械学習モデルは、盗難やリバースエンジニアリングに弱いものです。AI がデータ分析するのはさほど困難ではないことが調査で明らかになっており、十分な量のデータがあれば元のモデルのアウトプットを複製することも可能です。ハッカーにとって、機械学習のアルゴリズムを本質的にコピーし、回避する方法を探り出すのは比較的簡単なことなのです。
アルゴリズムを一式で利用するようお勧めしているのはそのためです。ハッカーがひとつのアルゴリズムを避けたとしても、他のアルゴリズムで保護できるからです。
消費者にとってもうひとつの懸念事項はデータの搾取です。スマートホームデバイスなど、私たちが利用する製品の中にはデータ侵害の危険にさらされるような機能を持つものが増えています。消費者は自分の機材がどれだけのデータを保有し共有しているか気づいていないことが多いため、あらゆる過程でこうしたデータを保護しなくてはならないのです。
適切なバランスを探る
テクノロジ企業として、マイクロソフトは消費者や大衆の信頼なしには存続できません。サイバー犯罪との戦いに AI を活用した新たな手法を展開するにあたり、特に個人用デバイスを安全に保つ必要がある中で、最も考慮しなくてはならないのは消費者や組織のデータをいかに守るかということです。こうした取り組みを進めることで、サイバーセキュリティが常に人を保護するという観点で構築されるようにしなくてはならないのです。
Mobile World Congress 2019 にて、マイクロソフトのCEO、サティア ナデラ (Satya Nadella) は、「マイクロソフトはプライバシーを基本的人権と捉えています。だからこそ大企業だけでなく、最もサイバー攻撃の被害を受けやすい中小企業や消費者に対しても、サイバーセキュリティを優先させているのです」と述べました。マイクロソフトが毎年データセキュリティに 10 億ドル以上投資しているのもそのためです。
現在試験段階中の新たな防御手法もあります。その中には、個人が識別できないようデータにランダム性を実装する差分プライバシーシステムや、機械学習アルゴリズムが暗号化されたままのデータを処理する準同型暗号といったものがあります。
従来のサイバー防御の手法では、複雑さを増して迫りくるサイバー攻撃には不十分です。企業が AI を採用して身を守る過程においては、消費者のプライバシーを確保するプロセスも重要となります。このバランスを保つのは難しいかもしれませんが、最終的にはそれだけの価値があることです。いまやサイバーセキュリティをコストと捉えるのではなく、組織の資産として、また関係者との信頼を構築する機会として捉える時が来ているのです。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。