記事
新しい技術は新たな脅威をもたらすため、CISO や CIO は対応策を見直し、最新の対策を講じる必要があります。
スポンサー:NUTANIX
先日開催された、Nutanix マスタークラスには、米州各地から 100 名以上の最高情報セキュリティ責任者(CISO)、最高情報責任者(CIO)、その他の経営幹部が集い、高まるサイバー脅威と AI がサイバーセキュリティにもたらす変革的な影響について意見を交わしました。招待制フォーラムである Nutanix マスタークラスは、グローバルなソートリーダーシップの育成とエグゼクティブ向けの教育の提供を目的としています。
マスタークラスには、業界リーダー、成功を収めている経営層、シニア IT エグゼクティブ、著名な研究者、ベストセラー作家らが一堂に会し、テクノロジーやビジネスにおける喫緊の課題に対する最も効果的な解決策を協同で探ります。
今回のマスタークラスは、Ardagh グループで CISO を務める Robert Duncan 氏とノースイースタン大学技術マネージメント・デジタルリーダーシップセンターでディレクターを務める Art Langer 博士がセッションを担当し、Nutanix の CIO である Rami Mazid 氏も参加しました。セッションの重要なポイントを以下にまとめました。
人工知能(AI)が、サイバーセキュリティの脅威環境を大きく変容しています。その結果、CISO、CIO、経営幹部は組織、顧客、データ、サプライチェーンを保護すべく戦略の刷新を迫られています。
国際的な製造企業 Ardah グループで CISO を務める Robert Duncan 氏は、知識量の増加スピードがこれまで以上に加速していると指摘しています。Duncan 氏によれば、1900 年までは 100 年ごとに倍増していた知識は、第二次世界大戦後には 25 年ごと、現在は毎年倍増しています。CISO にとって、この状況は刺激的である一方、大きな課題でもあります。さらに、生成 AI の登場により、情報へのアクセスと操作の範囲が飛躍的に拡大し、サイバー脅威の多様化と高度化を一段と加速させています。Duncan 氏は、自社を守ることは極めて困難になっていると述べています。
ノースイースタン大学の Art Langer 博士は、AI にとどまらず、5G や今後の 6G ネットワークの展開により接続性とセンサーの利用は拡大し、従来の運用モデルやアプリケーションにさらなる課題をもたらすと付け加えています。こうした接続性の急増は、CISO が管理すべきサイバーセキュリティ脅威の範囲を必然的に広げます。
従来型のシステムと時代遅れのプラクティス
Duncan 氏は、新たな技術だけでなく、既存の古い技術も大きなリスクをもたらす要因になると指摘しています。産業現場で依然として広く利用されている MS-DOS や Windows XP のようなシステムは、パッチの適用や置き換えが困難で、モダンシステムと連携することで脆弱性が高まります。さらに Duncan 氏は、Kill Chain や MITRE Att&ck のような古いセキュリティフレームワークが最新の技術的な脅威に追随できていないと批判しています。
サプライチェーンの脆弱性
2023 年の MOVEit を起因とした情報漏えいは、サプライチェーン攻撃の相互依存性とその潜在的な影響力を示し、6000 万人に影響を及ばしました。Duncan 氏は、影響は避けられないため、CISO は自社にとどまらず広い視野を持つ必要があると述べ、セキュリティ戦略においてサプライチェーン全体を視野に入れる重要性を強調しました。
サイバーセキュリティ侵害による経済への影響
Nutanix で CIO を務める Rami Mazid 氏は、サイバーインシデントが財務面に与える影響について、1 件のインシデントが 24 時間以内に企業価値を 20% 下落させる可能性があると指摘しています。また、Duncan 氏は Ardagh グループの場合は、数日の業務停止により 4000 万~5000 万ドルの損失が発生すると試算しています。さらに、NotPetya ランサムウェア攻撃を例に挙げ、間接的な攻撃でも広範な損害をもたらすことを説明しました。
サイバーセキュリティ戦略のシフト
セッションでは、サイバーセキュリティ戦略の適応の必要性についても意見交換が行われました。
予算:Mazid 氏は現在の IT 予算におけるサイバーセキュリティ対策の割合は、過去の水準から大幅に増加し、20~25% に達していると述べています。一方で、Langer 博士は予算を増やすだけでは不十分であり、リソース配分の適応性が重要であると指摘しています。
組織構造:Duncan 氏は、サイバーセキュリティ対策の予算を IT 部門の下に置く従来の体制を批判し、セキュリティは IT 部門に限定せず、組織全体で考慮すべきでだと提案しています。
サイバーセキュリティのレジリエンスを構築
こうした課題に対応するため、組織はサイバーセキュリティのレジリエンスを高める取り組みを強化しています。
取締役会の認識の変化:Duncan 氏は、取締役会のサイバーセキュリティに対する理解が進み、セキュリティの脆弱性が発見された際にも非難ではなく支援の姿勢を示すようになったことを指摘しています。
プロアクティブなセキュリティ:従来の受け身の「一方的な拒絶」型のセキュリティ対策から、事業リスクの許容度に沿ったセキュリティ運用へと移行し、市場のニーズに応じて柔軟性を持たせる方向に変化しています。
技術の進歩:セグメンテーション、ゼロトラスト、AI などのテクノロジーはセキュリティ強化の重要な要素となります。Duncan 氏は AI の能力を高く評価しており、人間が数時間かけて行う作業を AI は数秒で終えると述べています。
結論:サイバーセキュリティ戦略プレイブック
Duncan 氏は、サイバーインシデントを避けることは困難であることを強調し、経営陣全体で活用できる包括的な「サイバーセキュリティ戦略のプレイブック」の必要性を提唱しています。このプレイブックでは、サイバーリスクを数値で把握できるようにし、リスクを統計データに基づいてモデル化することが必要です。これにより、セキュリティ対策と収益の両面を考慮し、サイバーセキュリティへの投資と事業の優先事項のバランスをとることができます。
最後に:
AI や他の新たな技術が台頭するなか、CISO や経営陣は、組織の防御にとどまらず、こうした新たな技術を理解し、活用を先導することで組織のレジリエンスと成長を牽引する役割を担っています。
©2025 Nutanix, Inc.All rights reserved.本文書に記載された、Nutanix、Nutanix のロゴ、および Nutanix のその他全ての製品とサービス名は、米国およびその他の国において Nutanix, Inc. の登録商標または商標となります。Kubernetes は、米国およびその他の国におけるThe Linux Foundationの登録商標です。本文書に記載された、その他のブランド名は、識別目的のみに使用されており、それぞれの所有者の商標となります。本コンテンツに含まれる一部の情報は、調査、発行物、アンケート、および第三者の情報源および当社が独自に行った社内の予測・研究におけるその他のデータに関連するか、これに基づいています。こうした第三者による調査、発行物、アンケ―ト、およびその他のデータは本紙の投稿時点で信頼性があるものの、明示的に記載されていない限り独自には検証されておらず、当社は第三者の情報源から取得した情報の適性、正確性、または完全性に関して一切の表明を行いません。