AI攻撃の高度化が叫ばれる昨今、経営者がまず取り組むべきは、自社の弱点の把握と強化である。世界のセキュリティ専門家が脆弱性データから導いた「OWASP Top 10」は、自社の弱点を映す見取り図として有用であり、技術部門だけでなく経営層にも理解が求められる。
AI攻撃の議論の前に見直すべき基本
先進的なAIがシステムの脆弱性を自律的に発見し、攻撃コードを生成する脅威が話題となっている。しかし、直近1年に国内で表面化したサイバー被害の多くは、AIが見つける未知の脆弱性ではなく、弱いパスワードの放置、廃止すべきシステムの残置、認証を例外的に外していたメンテナンス委託先アカウント、公開範囲設定ミスなど、従来から繰り返し警告されてきた基本的な問題が原因である。
これらの弱点は「とっくに承知済みであるべき」ものであり、AI攻撃の高度化を騒ぐ前に、まず自社の基本的なセキュリティ対策を徹底することが重要だと、アスタリスク・リサーチ代表取締役の岡田良太郎氏は指摘する。
OWASP Top 10は経営者のための地図
OWASP Top 10は、ソフトウェアの脆弱性に関する世界的なガイドラインであり、経営者が自社のセキュリティ上の弱点を理解するための見取り図となる。技術者だけでなく、経営者がこれを知ることで、セキュリティ投資の優先順位を適切に判断できるようになる。
経営者が向き合うべき3つのポイントとして、第一に自社の資産とリスクの可視化、第二に基本的なセキュリティ対策の徹底、第三に技術者との共通言語の獲得が挙げられる。
経営者とエンジニアで同じ地図を広げる
サイバーセキュリティ対策の成否は、経営者と技術者の連携にかかっている。OWASP Top 10を共通の地図として活用することで、両者が同じ視点で脆弱性に対処し、効果的な対策を講じることができる。岡田氏は「経営者が技術者のバイブルを知らないと、適切な判断ができず、結果的に企業のリスクが高まる」と警鐘を鳴らす。
AI攻撃の高度化に怯える前に、まずは自社の弱点を直視し、基本的なセキュリティ対策を徹底することが、サイバー被害を防ぐ近道である。
