AI時代におけるサイバーセキュリティの盲点
Osaka Wayne Studios Creative/Getty Images
サマリー:AIの急速な普及に伴い、ユーザーの操作なしで機密データを自動で抜き取られる「エコーリーク」のような新種の脆弱性が顕在化している。しかし多くの企業は、従来のソフトウェアを前提とした旧来の防御モデルに依存しており、AI特有のインフラ層のリスクを看過している。真の安全確保には、アプリケーション層の対策を越え、GPUやサプライチェーンまで含めた基盤の強化が不可欠である。本稿では、AI時代のサイバーセキュリティの盲点と、組織が講ずべき4つの要件を紹介する。

AIを悪用したサイバー攻撃「エコーリーク」の脅威

 2025年6月、セキュリティ企業エイム・セキュリティの研究者は、マイクロソフト365コパイロットに、ユーザーの操作なしで機密データが流出する脆弱性があることを発見した。「エコーリーク」として知られるこのエクスプロイト(ソフトウェアの脆弱性やセキュリティ上の欠陥を利用した攻撃)は、従来のフィッシングやユーザーのエラーによる侵害とは違って、人間の行動を完全に迂回し、コパイロットとユーザーのデータ間のやり取りを操作することで、機密情報をひそかに抜き取る。

 このインシデントは、厳しい現実を浮き彫りにした。現行のセキュリティモデルは、予測可能なソフトウェアシステムやアプリケーション層の防御を前提に設計されているため、動的で相互接続されたAIインフラの性質には、十分に対応できないということだ。

 AIは、実験的なパイロットプロジェクトの段階からミッションクリティカルなインフラを担う存在へと急速に変化した。どの業界でも、AIはこれまでにない規模で生産性を向上させ、競争優位を根本から形づくっている。だが、エコーリークがはっきりと示すように、このAI統合こそが、企業を新しい高度な脆弱性にさらしている。それは、ユーザーの操作なしに機密データを侵害するゼロクリック型のAIエクスプロイトだ。

 こうした状況は、前提と実態の根本的なずれから生じている。大半の企業は、あらかじめ決められた動作をする、決定論的なソフトウェアを前提に設計された従来のサイバーセキュリティの枠組みでAIシステムを守ろうとしているが、AIは決定論的なものとは程遠い。AIシステムは膨大な外部データストリームからたえず学習し、やり取りをする。そのため、従来の防御手段が通用しない領域に死角が生まれているのだ。

 こうしたことから、セキュリティ上のギャップが広がっている。リーダーはこのAI特有のリスクを過小評価し、その一方で、攻撃者は新たな攻撃の経路を見つけ出している。そして、企業はAIの特徴的な脅威プロファイルに見合う保護を講じないまま、AI導入を拡大し続けている。このギャップを埋める最初の重要なステップは、なぜ現行のアプローチでは不十分なのかを理解することだ。

調査と方法、そして結果

 新しいAIとサイバーセキュリティのギャップを埋める方法を理解するために、筆者の所属するカノニカル、グーグル、IDCは共同で、世界各地の金融・医療・製造・テクノロジー各部門の企業幹部500人を対象に調査を行った。回答者にはCIO(最高IT責任者)、CISO(最高情報セキュリティ責任者)、CTO(最高技術責任者)、AI責任者が含まれる。本調査では、サイバーセキュリティの枠組み、シャドーAI(会社で承認されていないAI)、深刻な人材不足について、現在の慣行や死角となっている領域、認識されているリスクを探った。

 また調査データを補完するために、CIO、CISO、AIリーダーと直接、話をした。そうした会話から、現実世界でAIセキュリティに関する意思決定に影響を与える、組織のダイナミクスや概念のギャップ、日常の制約が明らかになった。最後に、私たちは統制された環境下で、企業のAI導入を再現した。データポイズニング、敵対的プロンプト、ドライバーへの侵害、脆弱なアクセラレーターなどのシナリオでテストを行い、脆弱性をじかに観察しながら、経験的証拠に基づく分析を行った。

 こうした複雑な分析を実際の対策につながる知見に転換するため、私たちはNISTのAIリスクマネジメント・フレームワーク(AI RMF)によって調査結果を構造化した。この枠組みには4つのガイド機能(統制、把握、測定、管理)があり、それらを総合すると、AIリスク管理の実用的なプレーブックができる。調査結果とこのモデルを整合することによって、何がリスクなのかだけではなく、どうすればリスクを体系的に軽減できるのかを、企業幹部に示すことができた。

 調査ではシステムの3つの層を分析したが、どの層でもある結論が目を引いた。AIセキュリティは基本的にアプリケーションの問題ではなく、インフラとサプライチェーンの問題だということである。もちろんアプリケーションのセーフガードは必要だが、それだけでは不十分だ。真の脆弱性(次項で説明するデータポイズニング、敵対的操作、アクセラレーターへの侵入、システムレベルのエクスプロイト)はAIスタックの基盤に存在するからだ。企業幹部にとって、それが何を示唆するかは明白である。AIを保護するためには、表面的なパッチ対応から、AIを稼働させる基盤アーキテクチャーや管理プロセスの強化へと抜本的に重点を移す必要があるのだ。