DIGITAL Foresight 2024 Summer 2nd Season

INDEX
  • ランサムウエア対策|KnowBe4 Japan

生成AI時代のサイバー脅威から守る
セキュリティー教育と文化づくりを支援

生成AIの登場で、サイバー攻撃の巧妙化が一気に進んでいる。最新技術により攻撃されるのは、デジタルシステムや物理的な設備だけでなく、生身の人間にまで及んでいる。米フロリダ州に本社を置き、セキュリティー教育や訓練、効果測定などのソリューションを提供するサーバーセキュリティーベンダーのKnowBe4は、従業員教育や企業のセキュリティー文化づくりを通じて、最新のサイバー脅威への対策を支援する。(聞き手:日経BP 総合研究所 上席研究員 菊池 隆裕)

生成AI時代のディープフェイクで
人間が騙されるリスクが急増

KnowBe4 Japan合同会社
エバンジェリスト
広瀬 努 氏

菊池 最新のサイバー脅威の攻撃パターンについて教えてください。

広瀬 ディープフェイクを使ったソーシャルエンジニアリングの例を紹介します。香港の企業で実際に発生したビジネス電子メール詐欺(BEC)の事例です。この企業の会計担当者にCFO(最高財務責任者)から日本円で38億円という巨額の振込指示のメールがありました。もちろん担当者は詐欺を疑いました。ところが、メールの最後に、ビデオ会議で振込の背景を説明するという連絡がありました。ビデオ会議に入ると、CFOや同僚が振込の背景や必要性を説明したのです。その結果、会計担当者は警戒心を解いて振り込んでしまったのです。しかし、ビデオ会議の動画は生成AIによるディープフェイクで偽物の映像だったのです。

菊池 電子メールだけなら引っかからないでしょうが、ビデオ会議で会話をしたら信頼してしまいそうです。

広瀬 知っている相手の映像があることで、すっかり信頼してしまってだまされた例です。このように、生成AIを使った脅威が高まっています。

菊池 今回、広瀬さんにはチェックすべきキーワードを4つ用意してもらいました。

広瀬 「ソーシャルエンジニアリング」「ディスインフォメーション」「プリバンク」「ナッジ」の4つです。セキュリティーとの関連を紹介します。

人間の心理を突いた攻撃への守りが
生成AI時代に改めて必要に

広瀬 まず、ソーシャルエンジニアリングです。これは古くからある概念で、攻撃対象のコンピュータやシステムを制御したり侵入したりするため、相手を心理的に操作するなどして情報を盗み出すだましのテクニックのことです。最近では生成AIの登場で、相手をだます手法がより巧妙になってきました。

菊池 いきなりシステムなどに攻撃が始まるのではなくて、攻撃前にシナリオがあるのですね。

広瀬 こうしたソーシャルエンジニアリングの規模を壮大なレベルに拡張したものが「ディスインフォメーション」です。2023年に中東で紛争が発生し、SNSを通じてディープフェイクを使った偽のニュースが世の中に一気にあふれました。敵対する組織同士が相手側を弱体化させたり信頼を失墜させたりするために、大規模にソーシャルエンジニアリングの手法を使っているのです。

菊池 そうした状況の中で、対策として「プリバンク」の重要性が増しているのですね。

広瀬 はい。プリバンク(Prebunking)は、日本語に適切な訳がないのですが、誤情報やフェイクニュースなどを「事前に暴く、ネタをバラす」といった意味合いです。手品でも、ネタが分かっていれば、どのようにミスリードを誘っているかに目を向けることができます。サイバーセキュリティーでも同様で、ディープフェイクの作り方やだまし方などを事前に学習しておくことで、だまされにくくなります。だまされる前に実施する「フェイクの予防注射」と考えるといいでしょう。

菊池 最後のキーワードが「ナッジ」です。

広瀬 「ナッジ」とは、そっと後押しをするといった意味で、罰則を設けたり、褒賞を与えたりせずとも、自然に正しい判断をできるように促すことを指します。ある顧客企業では、全社員にフィッシング訓練メールを送りました。多くの従業員は訓練だと思っていたのですが、中に「怪しいメールなので開かないでください」と全社員に注意を促す従業員がいました。一般的にはサイバーセキュリティーはIT部門や専門家の仕事と思われていますが、この従業員は自分で他の従業員を守る行動を起こしたのです。この従業員のように1人ひとりの従業員が、当事者意識を持ってお互いを思いやるセキュリティーの行動が増えることで、ナッジのように、自然と良質な行動規範が広がると考えます。

※講演の一部をOn-Demand形式で視聴いただけます。

SaaSのソリューションと
人的な支援を組み合わせて価値を提供

菊池 ではここでKnewBe4のセキュリティーソリューションについて教えてください。

広瀬 セキュリティーの教育、攻撃メール訓練、テスト、効果測定により従業員一人ひとりのセキュリティー意識を向上させるプラットフォームをSaaSで提供していいます。セキュリティー教育や、攻撃メール訓練をすることで、プリバンクとなり、全ての従業員が相手の心理を突く攻撃を見破りやすくなります。教育や訓練の結果から効果測定をして、自分たちの実力を判断できるほか、全世界6万5000社のお客様の結果の平均値と比較して自社の同業種や同規模企業の中でのレベルも分かります。この効果測定からメリハリの聞いたトレーニング運用ができるわけです。

菊池 ベンチマークに対する自社の位置付けが分かるのですね。

広瀬 自分たちの現状と、目指すべきところについての判断がしやすくなります。さらに製品を提供するだけでなく、カスタマーサクセスマネージャーや当社のパートナーがお客様のセキュリティー意識向上のサポートをします。KnowBe4ではセキュリティー意識向上の結果として「セキュリティー文化を形成してもらう」ことを最終目的にしています。新入社員から経営者まで、全従業員が当事者意識を持ってセキュリティーに取り組み重要なデータを守り事業継続性を高める支援をしていきます。

[画像のクリックで拡大表示]
知識と教養で形作られるセキュリティー文化
従業員一人ひとりのセキュリティーに対する当事者意識の上に成り立つセキュリティー文化の形成を支援

KnowBe4 Japan合同会社

https://www.knowbe4.jp/

INDEXページ


PAGE
TOP