AI攻撃の高度化と経営者の盲点
AIを活用したサイバー攻撃が高度化する昨今、多くの経営者は「より強力な防御策」に目を向けがちだ。しかし、アスタリスク・リサーチ代表取締役の岡田良太郎氏は、その前に企業が向き合うべき根本的な課題があると指摘する。
岡田氏は、平原の牧場に例えて説明する。「ある牧場では、かつて羊を狙う狼は、ありあわせの柵と一丁の鉄砲でしのげた。ところが最近、隣村では狼が群れで来るという。慌てた牧場主の多くは、もっと鉄砲を買わねば、と言い出す。」AI攻撃の高度化は、この「狼が群れになったらしい」状態だ。脅威の量も速さも確かに上がるが、先に見るべきは羊と柵の状態ではないか。壊れかけた囲いを直し、小屋を強化するという対応が後回しになっている。
「何を守るか」の明確化が最優先
岡田氏は、「自分の羊が何頭、どこにいて、どれがいちばん失えないか――まずそれを解像度高く言えるか」と問いかける。セキュリティ問題も同様で、たいていの組織で最初に見過ごされているのは、「何を守るか」だ。攻撃手法ばかりに注目する前に、自社の重要な資産(データやシステム)を特定し、保護の優先順位を決める必要がある。
では、自社システムの深刻な弱点を探すのに、どう手をつければよいのか。その答えの一つが「OWASP Top 10」である。
OWASP Top 10とは何か
「OWASP Top 10」は、2001年にアメリカで始まったOWASP(Open Worldwide Application Security Project)という、世界のソフトウェアセキュリティ専門家が集う非営利の国際コミュニティーによるガイドブックだ。「企業システムがどう破られているか」を10のカテゴリーに整理した見取り図であり、特に2025年版では、「設定の不備」や「ソフトウェアサプライチェーン」がより深刻な課題として順位を繰り上げ、「アラート」「例外の処理」など運用機能面の弱点が明確になった。攻撃対策の焦点が変化していることを垣間見ることができる。
最新のサイバー被害事例とOWASP Top 10の対応
この有効性を考えるため、目線を「足元で実際に企業を襲っている被害」へ移してみよう。最近起きたサイバー被害(アサヒグループHD、損保ジャパン、アスクルなど)を類型化し、その原因が10のカテゴリーのどれに該当するかをまとめた分析がある。これにより、多くの被害が「設定の不備」や「ソフトウェアサプライチェーン」に起因していることが浮き彫りになった。
経営者が取り組むべき2つの方向性
岡田氏は、経営者が取り組むべき方向性として、まず「守るべき資産の明確化」、次に「OWASP Top 10を活用した弱点の洗い出し」を挙げる。技術者だけに任せるのではなく、経営者自身がこの「バイブル」を理解し、セキュリティ投資の優先順位を適切に判断することが求められる。AI攻撃が高度化する今こそ、基本に立ち返った対策が重要だ。
