デジタルトラスト 12-04-2024

人工知能はいかにしてデジタルトラストを変革しているか

Lakshmi Hanspal
When Trust Breaks Blog Image

サイバーセキュリティの世界を一歩出ると、「信頼」は気持ちの話になります。何かまたは誰かに対して抱く感情であり、測りがたいものです。

一方、デジタルの世界でいう信頼(トラスト)はまったく別のものです。それはむしろ建築物の一部にたとえる方が的確で、いわば高層ビルの土台、あるいは二つの岸を結ぶ堅固な橋のようなものです。

ここでは橋にもたとえてみましたが、その橋が崩れたら、損害は事故発生現場だけにとどまりません。サイバーセキュリティにおけるトラストが損なわれれば、その影響は外部にまで波及し、組織のあらゆる部分に及び、場合によっては崩壊の危機さえ招きます。

私たちのテクノロジー依存は強まり続けています。その一方では人工知能(AI)が生活に深く浸透しつつあり、トラストの境界線が今ほど試練を迎えた時代はありません。サイバーセキュリティの世界で、AI は敵にも味方にもなります。そして、30 年近い業界経験で私が学んだことをひとつあげるなら、それはデジタルトラストの未来が人間の専門知識か AI の機能かという二者択一にではなく、双方のシナジーを作り出すことにあるということです。

サイバーセキュリティにおける AI の役割

AI は、かつてないほどのペースでサイバーセキュリティを変革しつつあり、強力なソリューションと複雑な課題の両方をもたらしています。まさに、進歩に伴うパラドックスです。AI の問題解決能力が同時に新たな問題も生み出しているため、将来性と危険性とのバランスをとるためには適応し続ける必要があります。

AI によって強化されるセキュリティ

AI はサイバーセキュリティに多くのメリットをもたらしています。組織はリアルタイムで異常を検出し、インシデント対応を自動化できるようになりました。脆弱性を予測して、あらかじめリスクに対処することもできます。

こうした進歩の影響は、効率の向上にとどまりません。セキュリティ専門家を、事後対応を行う消防士から戦略家へと変えるという面もあります。AI は反復的なタスクが得意なので、かつてそうした業務に追われていた人間が、今ではイノベーションやモデルのトレーニング、そしてビジネスの発展に貢献する俯瞰的な意思決定に、時間と精神的なエネルギーを集中的に費やせるようになりました。

AI 駆動型の脅威の増大

防御の強化につながる同じツールが、攻撃者の武器にもなっています。悪意のある攻撃者は今や、個別性と拡張性が高く検出の困難な攻撃をしかけるべく AI を活用するようになりました。たとえば、巧みなフィッシングメールを作成する、ディープフェイク技術を使って虚偽情報を拡散する、従来のセキュリティ対策を回避する方法を学習する順応力の高い脅威を作り出すといった傾向が見られます。

こうしたサイバー脅威が特に危険な理由は、ひとえにそのスピードと性能です。これまでのサイバー攻撃は予測可能なパターンを備えていましたが、AI を用いた攻撃はリアルタイムで調整可能であるため、静的な防御では追いつけません。

AI とトラストとの関係

AI とデジタルトラストには、切っても切れない関係があります。セキュリティ対策の強化を通じてトラストを補強できるその同じテクノロジーが、ひとたび武器として使われれば、同じくらい容易にセキュリティを損ねるのです。こうした矛盾から生じる変化に伴って、組織は注意深く、責任と予測をふまえて AI の二面性に対応しなければなりません。

AI が動かす世界でトラストを確立し維持していくには、3 つの理念に力を注ぐ必要があります。それが透明性、説明責任、適応性です。

透明性: トラストを築く AI

AI でトラストを強化するには、AI が理解可能なものでなければなりません。組織が AI ツールを導入する際、従業員、顧客、規制当局などの関係者はそのシステムの仕組みを知っている必要があります。AI がブラックボックスで、明確な説明もなく決定を下すようでは、トラストを構築するどころか損ないかねません。

その意味で必要なのが、説明可能な AI(XAI)です。AI のシステムとモデルの透明性を確保すれば、意思決定を下す経緯を明らかにできるので、説明責任が保証され、目に見えない欠陥やバイアス、不正な改ざんへの懸念を減らすことができます。

説明責任: 結果を引き受ける

AI システムの精度は、構築に用いるデータとロジックに左右されます。したがって、組織は AI の出した結果について、それがポジティブなものであってもネガティブなものであっても責任をとらなくてはなりません。説明責任を重視する企業ほど、一貫してトラストを提供しているものです。

そうするためには、AI の結論が倫理上の理念に合致していること、データプライバシーを尊重していること、公正を保っていることを保証する必要があります。誤りがあった場合にはそれをただちに認め、明確に伝達したうえで、速やかな是正措置をとることも必要です。

説明責任が適用されるのは AI 自体だけではありません。AI を取り巻く人とプロセスにもそれが問われます。明瞭なガバナンスのフレームワーク、規制監査、確実なフェールセーフ対策が、関係者の信頼を維持するうえで欠かせません。

適応性: 変化する環境で成功する

AI に速いペースでイノベーションが起きているように、脅威も常に進化し続けています。トラストの構築に成功するのは、俊敏性を保ち続ける組織です。つまり、絶えず学習して適応し、潜在的な脅威に対する備えを改善し続ける組織こそトラストを築くことができます。

AI は、攻撃者の先手を取る有効な手段ですが、だからといって最新のテクノロジーを導入するだけで済むわけではありません。成功を収めるには、広範なレジリエンスの文化に AI を取り込み、各チームメンバーが組織とその関係者を保護する際の役割を理解することです。

フェニックス効果: トラストの失墜から立ち直るには

防御が万全でも、インシデントは起こるものです。そして、インシデントが起こればトラストは急落します。しかし、トラストが脆弱になっても、回復する手がないわけではありません。

侵害が発生した直後というのは、一貫したインシデント対応によって、セキュリティに意欲的に取り組んでいることを証明するチャンスです。以下の 3 つの手順に専念することで、失墜から立ち上がり、以前より堅固になった企業の例を私も見たことがあります。

  1. 率直に認める: トラストの再構築の基盤となるのは、誠実なコミュニケーションです。関係者に対しては、直接かつ明瞭な言葉でインシデントを報告する必要があります。報告内容を取り繕ったり、報告が遅れたりしてはいけません。
  2. 是正措置を明確に伝える: 失敗の原因は何だったか、是正すべくどう対策したか、今後のリスクをどう軽減するかを説明します。あいまいな対応では、納得は得られません。トラストを回復するには、具体性が求められます。
  3. 長期的な改善に取り組む: 迅速な対処も、それだけで十分ではありません。組織が学習と改善に真剣であることを示すには、持続的な取り組みが必要になります。これまでにないセキュリティ対策を実施する、定期的な見直しを行うといったことです。

このアプローチの先にあるものを、私は「フェニックス効果」と呼んでいます。組織的な危機を、有意義な変化の触媒へと転換できるのです。

セキュリティとトラストのエコシステムを構築する

トラストを確立して維持していくには、組織のセキュリティ意識を根本から変えなければなりません。セキュリティは必要条件を満たして終わる一時的な投資ではなく、文化としての礎石なのです。

セキュリティを自社の DNA に取り込んでいる組織ほど、AI がもたらす可能性と課題のどちらにも対応する態勢が整っています。つまり、警戒、協力、説明責任というマインドセットを、経営陣から最前線のチームまでどんなレベルでも育んでいるということです。

トラストとテクノロジーが深く絡み合っている世界では、セキュリティを全員の責任として受け止めなければなりません。

長期的な視点で勝負する

トラストとは静的なものではありません。絶えず配慮と注意を必要とする動的で継続的なプロセスです。AI の進化に伴って、サイバーセキュリティに対する課題と可能性も変わっていきます。

AI をツールとしても課題としても受け止め、透明性と説明責任に取り組みながら、レジリエンスの文化を育んでいけば、組織はただ生き残るだけでなく、成功することができます。

結局のところ、信頼(トラスト)とは感情の枠にはとどまらないものであり、建物の土台や橋さえ超えるものです。不確定性を乗り越え、強固なつながりを築いて、何事も変わりゆくということだけが唯一の真実である世界で成功するための、いわば設計図なのです。

デジタルトラストに関する最新情報

デジタルトラスト人工知能サイバーセキュリティなどのトピックについて詳しくお知りになりたい場合、記事を見逃さないようにデジサートのブログを参照してください。