サイバーセキュリティニュース: CSA が安全な AI 導入のガイドを提供、デロイトはサイバーチームの生成 AI 活用が ROI 最大化をもたらすと発表

AI アプリを安全に導入するために、クラウドセキュリティアライアンスが推奨する対策をご確認ください。また、デロイトの調査によると、サイバーセキュリティチームが生成 AI を活用することで、ROI が最も高くなることが明らかになっています。さらに、NSA は各機関に対し、生成 AI を悪用したディープフェイクに対抗するため、コンテンツの来歴証明技術の導入を求めています。加えて、CISO に関する最新トレンドや、パッチ管理、データ漏洩防止に関する最新情報もご紹介します。

1 月 31 日までの 1 週間で、最も注目された 6 つのトピックについて詳しくご紹介します。

1 - CSA: 安全な AI 導入のためのベストプラクティス

AI システムを安全に導入するためのガイダンスをお探しの場合、クラウドセキュリティアライアンスの新しいホワイトペーパー「AI Organizational Responsibilities: AI Tools and Applications (AI 組織の責任: AI ツールとアプリケーション)」をご覧ください。

今週発表されたこのホワイトペーパーでは、「大規模言語モデルと生成 AI アプリケーションのセキュリティ」、「サプライチェーン管理」、「従業員による生成 AI ツールの使用など実装に関するその他の要素」という、3つの主要分野を取り上げています。 
 

これら 3 つのそれぞれの領域について、AI システムを導入するチームが負うべき 6 つの責任領域に従って分析します。

• 評価基準: AI のリスクを評価するために、企業は定量化可能な指標を必要としています。 こうした指標があれば、モデルの性能、データの質、アルゴリズムの偏り、ベンダーの信頼性といった要素を測定できるようになります。
• RACI モデル: AI に関する決定、ツールの選択、ベンダー管理に関して、誰が RACI (R (実行責任者)、A (説明責任者)、C (相談先)、I (報告先)) なのかを明確にすることが重要です。
• ハイレベルな実施戦略: チームは、AI ツールやアプリケーションを既存のワークフローに統合するプロセス、特にデータの統合やモデルの導入などの課題にどのように対処するかについて概要をまとめる必要があります。
• 継続的な監視とレポート: このホワイトペーパーでは、AI ツールのパフォーマンスやデータドリフトなどの要素を継続的に監視し、AI システムの健全性やベンダーのコンプライアンスに関するレポートを定期的に作成することを推奨しています。
• アクセス制御: アルゴリズム、データ、AI インフラを保護するためには、強力なアクセス制御メカニズムを実装することが重要です。
• AI 標準とベストプラクティスの遵守: AI の標準、規制、ガイドラインの準拠は、例えば、AI アプリケーションの保護、責任ある AI 開発の実施、サプライチェーンリスクの軽減などに役立ちます。

「AI 技術が進化し、その採用が業界全体に広がるにつれて、強力なガバナンス、セキュリティプロトコル、倫理的配慮の必要性がますます重要になっている」と、ホワイトペーパーの主執筆者である Michael Roza 氏は声明で述べています。

このホワイトペーパーの主なポイントのいくつかを以下に示します。

• AI セキュリティは、従来のサイバーセキュリティの懸念事項と AI 特有のサイバーセキュリティの懸念事項の両方に対処する必要がある
• 効果的なサードパーティ管理とサプライチェーン管理が重要である 
• 組織には、従業員の AI 利用に関する明確な方針とガイドラインが必要である
• AI ガバナンスには、明確な役割分担と専門スキルが必要である

AI セキュリティの詳細については、Tenable の以下のブログをご覧ください。

• 「Securing the AI Attack Surface: Separating the Unknown from the Well Understood (アタックサーフェスのセキュリティ対策: よく理解されているものと未知なるものを区別する」
• 「6 Best Practices for Implementing AI Securely and Ethically (AI を安全かつ倫理的に実装するための 6 つのベストプラクティス)」
• How AI Can Boost Your Cybersecurity Program (AI はサイバーセキュリティ対策をどのように強化するか)
• 「Never Trust User Inputs -- And AI Isn't an Exception: A Security-First Approach (セキュリティ第一のアプローチ: ユーザー (AI も含む) の入力を決して信用しない)」
• クラウドデータと AI リソースの保護が決め手になるクラウドセキュリティ態勢の要塞化

2 - レポート: 生成 AI を活用したサイバーセキュリティで ROI を最大化

企業がビジネス全体に生成 AI を導入する中で、サイバーセキュリティ対策が最も高い投資収益率 (ROI) を生み出しています。

さらに、サイバーセキュリティへの取り組みは、営業、研究開発、財務などの他部門と比べて、業務プロセスとより密接に統合されています。

これらの調査結果は、デロイトのレポート「The State of Generative AI in Enterprise: Generating a new future (企業における生成 AI の現状: 新たな未来を生成する)」によるものです。このレポートは、生成 AI を試験的に導入している、または導入済みである組織の取締役や経営幹部、約 2,770 人を対象とした調査に基づいています。

「生成 AI のその他のタイプの先進的な取り組みと比較して、サイバーセキュリティに焦点を当てた取り組みは、ROI が期待値を上回る可能性がはるかに高い」と、14 か国の回答者を対象に調査したデロイトの報告書は述べています。

具体的には、回答者のサイバーセキュリティ対策の 44% で、「期待をある程度、または大幅に上回る」ROI の実現が明らかになりました。 
 

^{(出典: Deloitte のレポート「The State of Generative AI in Enterprise: Generating a new future」、2025 年 1 月)}

この調査結果では、サイバーセキュリティ部門による生成 AI の導入について好意的な評価を示しています。しかし、一般に、企業でのこの技術の導入にはまだ以下のような課題があるとレポートは指摘しています。

• 規制の不確実性
• リスク管理
• データの不備
• 労働力の問題

具体的には、規制に関する懸念が生成 AI 導入の最大の障壁となっており、回答者の 70% 近くが、自組織が生成 AI のガバナンス戦略を完全に導入するには 1 年以上かかると見積もっています。

企業における生成 AI の導入を成功させるために、報告書で以下のように提言しています。

• 経営幹部は、IT リーダーとビジネスリーダーの連携を促進し、確保する責務を担っている。
• 生成 AI に関する取り組みでは、影響の大きいユースケースに焦点を当てる、集中管理型のガバナンスを確立する、継続的に改善を重ねるといった対策によって、測定可能な ROI を実現できるようにする。
• 最終的には、高度な自律性を備え、人間の介入をほとんど、またはまったく必要としないエージェント型 AI システムの導入を計画する。

詳しくは、レポートについての発表、レポートの全文、レポートについてのパネルディスカッションの動画をご覧ください。

サイバーセキュリティへの生成 AI の使用について詳しくは、以下をご覧ください。

• GenAI’s Impact on Cybersecurity (生成 AI がサイバーセキュリティに与える影響)(InformationWeek)
• Generative AI in Cybersecurity: Assessing impact on current and future malicious software (サイバーセキュリティにおける生成 AI: 現在および将来の悪意あるソフトウェアへの影響を評価する)(The Alan Turing Institute)
• How Can Generative AI Be Used In Cybersecurity? (生成 AI をサイバーセキュリティにどう活用できるか?)(eWeek)
• Building a Generative AI-Powered Cybersecurity Workforce (生成 AI を活用するサイバーセキュリティ人材の育成)(SANS Institute)
• GenAI use cases rising rapidly for cybersecurity — but concerns remain (サイバーセキュリティにおける 生成 AI の利用事例が急増 - ただし懸念は残る)(CSO)

3 - コンテンツの来歴証明技術で AI ディープフェイクにフラグを立てる方法

組織は、メディアファイルの出所を追跡するための重要な技術に精通し、その技術を用いて、メディアファイルが悪意を持って作成または改ざんされ、虚偽や誤った情報を広めるために使用されていないかを確認しなければなりません。

これは、オーストラリア、カナダ、英国、米国の政府が今週共同で発表した文書「Content Credentials: Strengthening Multimedia Integrity in the Generative AI Era (コンテンツクレデンシャル: 生成 AI 時代におけるマルチメディアの完全性の強化)」

この 25 ページにわたる文書では「デジタルコンテンツの簡単な作成、変更、普及を可能にする高度なツールが、かつてないほど利用しやすく、洗練されたものになっている」と述べられています。  
 

文書ではさらに「AI が生成したメディアは、なりすまし、詐欺、ブランドの失墜に利用され、組織のセキュリティを脅かしている。 したがって、透明性の回復が、これまで以上に急務となっている」と加えられています。

この技術はコンテンツクレデンシャルと呼ばれ、同文書によれば、国際的な ISO 標準 22144として認定する過程にあります。 これは、メディアファイルの作成とその後の変更を記録し、その情報を暗号化され、改ざん不可能なメタデータとして保存することで、メディアファイルの来歴を追跡するものです。

米国の 国家安全保障局、オーストラリアサイバーセキュリティセンター、カナダサイバーセキュリティセンター、および英国の 国家サイバーセキュリティセンターの共著によるこの文書では、以下の達成を目指しています。

• コンテンツクレデンシャルがメディアの来歴の透明性をどのように提供するか説明する
• コンテンツクレデンシャルの開発の進捗について周知する
• 来歴データの保存方法に関するベストプラクティスを推奨する
• コンテンツクレデンシャルを広く採用することがなぜ重要なのかを強調する

コンテンツクレデンシャルの技術仕様は、C2PA (Coalition for Content Provenance and Authenticity) によって策定と維持が行われ、CAP (Content Authority Initiative) によって実装されます。 

コンテンツクレデンシャルの詳細については、以下のリンクをご覧ください。

• The inside scoop on watermarking and content authentication (透かしとコンテンツ認証に関する内部スクープ)(MIT Technology Review)
• Best Inventions of 2024: Content Credentials (2024 年最高の発明: コンテンツクレデンシャル)(Time Magazine)
• What are Content Credentials? Here's why Adobe's new AI keeps this metadata front and center (コンテンツクレデンシャルとは何か? Adobe の新しい AI がこのメタデータを中心に置いている理由)(ZDNet)
• New technology to show why images and video are genuine launches on BBC News (BBC ニュースに画像や映像が本物である理由を表示する新たなテクノロジーを導入)(BBC)
• Not Sure if an Image Is AI? Check Its Nutrition Label, Thanks to a New Adobe App (AI 画像なのかわからない? Adobe の新しいアプリで画像の「成分表示」を確認しよう)(Cnet)

動画

Join the movement for content authenticity (コンテンツの真正性を求める運動に参加しよう) (Content Authenticity Initiative)

4 - 調査: CISO の取締役会や経営幹部との連携が非常に重要

CISO が取締役会やほかの経営幹部と緊密に連携している組織では、この連携が弱い組織よりも強力なセキュリティプログラムが実施されています。

さらに、取締役会や経営幹部と強い結びつきを持つ CISO は、仕事での幸福度が高く、収入も多い傾向があります。

これらは、IANS Researchと Artico Search が 830 人のセキュリティ担当幹部を対象に実施した調査に基づく「State of the CISO 2025 Report (2025年 CISO の現状に関するレポート)」から得られた 2 つの調査結果です。

IANS Faculty のメンバーであり、Artico Search でエグゼクティブサイバーリクルーターを務める Steve Martano 氏は声明の中で「この報告書は、セキュリティプログラムの将来と CISO のキャリアを形成する上で、取締役会の関与や経営陣とのつながりが極めて重要であることを示している」と述べています。

しかし、戦略的 CISO (Strategic CISO)」というカテゴリーに該当するのは調査回答者のわずか 28% でした。これは、経営陣との円滑なコミュニケーションと取締役会への影響力が優れていると定義されている CISO です。 

過半数の 50%は「機能的 CISO (Functional CISO)」に分類され、彼らは「大きな影響力」を持つものの、取締役会や経営幹部に継続的に見える形で関与していないとされました。

残りの 22% は主にテクノロジーに重点を置いており、経営陣や取締役会とのやり取りがほとんどないため、「戦術的 CISO (Tactical CISO)」に分類されました。 
 

^{(出典: IANS Research と Artico Search による「State of CISO 2025 Report」(2025 年 1 月)}

明らかに推奨するのは、すべての CISO が「戦略的 CISO」のカテゴリーに入ることです。セキュリティプログラムとビジネス戦略の足並みを揃えるには、取締役会や CFO を含む他の経営幹部との緊密なコミュニケーションとコラボレーションが不可欠であるためです。

CISO が取締役や経営幹部と最適なコミュニケーションをとるために、レポートでは以下のことを推奨しています。

• プロジェクトや委員会に自主的に参加し、ほかのビジネスリーダー達に、部門横断的な取り組みについてセキュリティの観点から説明する。
• CISO が戦略的な仕事に時間を割けるよう、戦術的・運用的なタスクをチームメンバーに任せる。
• CISO は技術的な問題に限定することなく、戦略的なガバナンスの問題に取り組んで、それによりほかの経営幹部のパートナーとして役割を果たす。

詳しい内容については、以下をご覧ください。

• ブログ 「Build CISO Strategic Impact and Visibility (CISO の戦略的な影響力と認知度の構築)」
• 「State of the CISO 2025 Report (2025年 CISO の現状に関するレポート)」
• 発表「IANS Research and Artico Search Unveil The State of the CISO, 2025 Report (ANS Research と Artico Search が「2025年 CISO の現状に関するレポート」を発表)」

5 - Tenable: パッチ管理について、どのような課題を抱えているのか

Tenable の先日のウェビナー 「From Reactive to Proactive: Expert Guide to Effective Remediation Automation (事後対応から事前対応へ: 効果的な修正の自動化のための専門家のガイド)」では、パッチ管理で苦労していることについて、参加者にアンケートをとりました。 回答を確認してみましょう。 
 

^{(124 人のウェビナー参加者、2025 年 1 月 Tenable 調査)}

オンデマンドのウェビナーで、修正を合理化し、パッチの適用効率を高め、リスクを軽減するための実行可能な戦略と実証済みのアプローチについてご確認ください。

パッチ管理と脆弱性管理の詳細については、Tenable の以下のリソースをご覧ください。

• 脆弱性修正成熟度の向上(ホワイトペーパー)
• 「 エクスポージャーは関連情報に照らし合わせてとらえることが最も重要です」(ブログ)
• 脆弱性管理の状況(ホワイトペーパー)
• パッチ管理とは何か (記事)

動画

効果的なエクスポージャー対応の重要な要素

6 - データ漏洩に関するレポート: 多くのインシデントは標準的なサイバーセキュリティプロセスで防げる

昨年米国で発生した 200 件近くのデータ漏洩は、最も大規模なものも含め、よく知られたサイバーセキュリティ手法を使用することで防げたはずのものです。

これは、Identity Theft Resource Center (ITRC) が今週発表した「2024 Data Breach Report (2024 年データ漏洩レポート)」の調査結果の 1 つであり、基礎的なサイバーセキュリティツールと手法を採用することの重要性を再認識させるものです。

ITRC の James E. Lee 代表はレポートの冒頭で「かなりの数のデータ漏洩は、基本的なサイバーセキュリティで回避できたはずだ」と述べています。

具体的には、2024 年の「大規模侵害」のうち 4 件では合計で12 億 4,000 件の被害者通知が発行され、これらはサイバーセキュリティのプロセスと手法によって防止可能であったとみなされました。

• 多要素認証 (MFA) またはパスキー
• 安全なソフトウェア開発
• 脆弱性へのパッチ適用
• セキュリティ意識についてのトレーニング

レポートのその他の重要な調査結果は以下のとおりです。

• 2024 年に記録された米国のデータ漏洩は 3,158 件で、2023 年と比較して 1% 減少した。 インシデントの大半 (90%) はデータ漏洩に分類された。
• データ漏洩の大部分 (80%) を引き起こしたのはサイバー攻撃である。 それ以外の原因は、システムエラーや人為的なミス、物理的な攻撃、サプライチェーン攻撃など。
• 2024 年に発生した 6 件の「大規模侵害」によって、被害通知件数は 312% 急増して 17 億 2,000 万件に達した。各件で少なくとも 1 億件の通知が発生。
• 最も打撃を受けたのは金融サービス業で、次いで医療サービス業、専門サービス業が続く。

詳細については、レポートについての ITRC の発表とレポートの全文をご覧ください。

データセキュリティについてのさらなる情報は、以下でご覧いただけます。

• クラウド環境を保護し、データ侵害を阻止する方法(Tenable)
• Protecting Sensitive and Personal Information from Ransomware-Caused Data Breaches (ランサムウェアによるデータ漏洩から機密情報や個人情報を守る(CISA)
• 「Know Your Exposure: AI 時代のクラウドデータ保護 (Tenable)
• Preventing data breaches (データ漏洩の防止) (オーストラリアサイバーセキュリティセンター)
• Why data breaches have become ‘normalized’ and 6 things CISOs can do to prevent them (データ漏洩が「常態化」した理由と、それを防ぐために CISO ができる 6 つのこと) (VentureBeat)