迫りくるパラダイムシフトに備える
サイバーレジリエンスの要諦は

　サイバーセキュリティーを取り巻く環境が大きく変化している。どんどん複雑化・巧妙化するサイバー攻撃を完全に防ぎきることは難しい。侵害による被害をいかに少なく抑えて、ビジネスを迅速に復旧させるか。サイバーレジリエンスを強化することが、より強く求められている。

　「生成AIの登場がこの変化をさらに加速させています。攻撃者が生成AIを使うことで、ターゲット情報の取得や攻撃ツールの作成・入手が容易になります。多くの人が攻撃に加担できるようになった結果、ツールの売買や攻撃代行など、サイバー攻撃のエコシステムが形成されています」とキンドリルジャパンの小林 勝氏は語る。

　攻撃自体も進化・多様化している。例えば、フィッシング攻撃メールは生成AIの登場後に明らかに文章の質が高まった。AIを用いて特定組織を執拗に攻撃するケースも増えている。また、AIシステム自体に攻撃を加える「データポイズニング」も脅威になりつつある。多くの人が業務で使うAIシステムを攻撃し、性能劣化や誤判定を引き起こすことで、ビジネスに多大な影響を及ぼすことを狙ったものだ。

　「AIで生成した虚偽情報が世の中を惑わすケースも多発しています。生成AIを利用する側も、生成結果をうのみにせず、十分に精査することが大切です」と小林氏は言う。

　また、少し未来のテクノロジーについても今から対応を考えておく必要がある。注目されているのが、2030年頃の実用化が見込まれている「量子コンピュータ」だ。量子アルゴリズムによって異次元の超高速処理を実現する。金融、航空宇宙、エネルギー、物流分野などでのシミュレーションやプロセスの合理化を短時間で行えることから、社会に大きな恩恵をもたらすテクノロジーとして期待されている。

　「一方で、これも攻撃者が悪用すれば大きな脅威になります。例えば、現行の暗号アルゴリズムは、量子コンピュータの計算能力をもってすれば簡単に解けてしまいます。現行のスーパーコンピュータで1万年かかる暗号解読を、200秒で処理できるという報告もあるほどです」と小林氏。これが「暗号技術の2030年問題」として懸念されている。

　ほかにも、量子コンピュータを悪用した新たなサイバー攻撃手法が開発される可能性もある。このように、テクノロジーの進化は、社会に多くの利便性をもたらす半面、新たなリスクの源泉にもなってしまうのである。

　ただ、テクノロジーを過剰に怖れるべきではない。適切に使えば、脅威を防ぐための強力な武器になるからだ。

　例えば、生成AIはセキュリティー機器のログの意味を自然言語で説明したり、アラートへの対応方法を提示したりする際に役に立つ。プログラムに潜む脆弱性を検出して、コードの修正まで自動で行うことも可能だ。システムに組み込むことで、人の手を煩わせることなくインシデントの対応・復旧などを行うことができるだろう。

　「万一の際の対応速度を高めたり、経験の浅い人でも効果的な対策をスピーディに行えるようにしたりすることが可能です。脅威の特定や、ビジネスの復旧にかかる時間・工数を大きく削減し、レジリエンスを高めることができるのです。また、少ない人数で対応が可能になれば、セキュリティー領域の人材不足解決にもつなげられるでしょう」と小林氏は説明する。

　量子コンピュータも、解読不能な量子暗号の開発に期待が寄せられている。これが実現できれば、AESやRSA暗号など既存の暗号アルゴリズムとはまったく異なる仕組みで、データや通信の秘匿性を高められる。最新テクノロジーを活用することで、新たな備えを実現できるのだ。

　テクノロジーが生み出すリスクに、テクノロジーで対処する。そのための大前提となるのが脱レガシーである。「レガシーなシステム環境では、新たなテクノロジーを素早く導入したり、システムの健全性を維持したりすることが困難です。レガシーシステムをモダナイズすることは、セキュリティー強化の観点でも喫緊の課題といえるでしょう」と小林氏は言う。

　同時に、ガバナンスやポリシーを見直すことも重要だ。生成AIや量子コンピュータの登場を踏まえ、セキュリティーのパラダイムシフトを見据えたサイバー規制の強化が世界の潮流になっている。

　具体的に、2023年5月のG7広島サミットでは、AIの活用や開発、規制に関する国際的なルールづくりを推進する「広島AIプロセス」を締結した。米国ではバランスの取れたAI活用と規制を求める「AIの安全、安心、信頼できる開発と利用に関する大統領令」を発布。EUはリスクの高いAIシステムに厳格なルールを課す「AI規制法」を制定した。日本でも金融分野におけるサイバーセキュリティーに関して「金融庁ガイドライン」が公表され、対策強化を促進している。

　また量子コンピュータに対しては、米国政府が設立した「ポスト量子暗号（PQC）イニシアチブ」がある。ここでは次世代を見据えた暗号技術の開発を進めるという。同様の取り組みが各国で進んでいる。

　このような潮流の中、サイバーセキュリティーの強化とガイドライン準拠は当然のルール、すなわちビジネスの「パスポート」になりつつある。「国際的なガイドラインに準拠した社内ガイドラインを策定・実践し、新たなテクノロジーのリスクや活用法について教育を行う。このことが、企業としての説明責任を果たす上で不可欠になっています」と小林氏は説明する（図1）。

　とはいえ「何を、どこまでやるべきか」分からない企業は少なくないだろう。多岐にわたる取り組みを独力で行うのは困難だ。キンドリルはそのような企業・組織をトータルにサポートする。

　同社はIBMのインフラストラクチャー・サービス部門がスピンアウトして誕生した会社である。IBM時代を含め、ミッションクリティカルなIT環境の設計・構築・管理を30年以上にわたって手掛けてきた経験を生かし、顧客に高品質なITサービスを提供している。「レガシーなインフラやシステムのモダナイズ、セキュリティーの統合運用に向けた構想策定、設計・構築から運用までをご支援することが可能です」と小林氏は紹介する。

　セキュリティーサービスの中核を担うのが「Kyndryl Cyber Resiliency Center」だ。多様なセキュリティー機能を顧客に変わって取りまとめ、迅速なインシデントレスポンスを実現する。SOaaP（Security Operations as a Platform）の日本向けインスタンスの提供も開始した。ここでログ分析や相関分析などを実施することも可能だ（図2）。 　新たなテクノロジーを悪用したサイバー攻撃は、「いつか起こる」ではなく「いつ起こるか」という喫緊の問題といえる。キンドリルは、その豊富な経験とソリューションを生かし、顧客ビジネスのサイバーレジリエンス向上を強力にサポートする。