重要なのは“人”の意識とリテラシー
生成AI時代のセキュリティー対策

　人が行ってきた煩雑な作業の自動化、壁打ちによるアイデア創出のサポートなど、生成AIがもたらす価値には目を見張るものがある。

　一方で、生成AIによって新たなリスクも生まれている。例えば、AIモデルの学習データに「有毒」なデータを混入させて、モデルの性能や品質に悪影響を及ぼす「データポイズニング」はその１つだ。生成内容の信用度が低下するため、利用する企業・組織の信頼失墜や法的リスク増大につながる。

　フィッシングメールを生成AIが作成するようになったことも見逃せない。違和感のない文章で仕事上のやりとりを装い、期限までに情報確認を促すなどの手口が横行。中には人が書いた文章とほぼ見分けがつかないものもあり、うっかりURLをクリックしてしまうといったリスクが高まっている。

　「DXの推進において非構造化データの分析は非常に重要です。生成AIはこれに役立ちますが、非構造化データには個人情報が含まれる場合も多く、安易に活用すればリスクが高まります。生成AI活用の拡大にあわせてデータガバナンスを徹底することが不可欠です」とKnowBe4 Japanの広瀬 努氏は話す。

　このように、ますます多様化するサイバーリスクに備えるためには、テクノロジーによる対策だけでは不十分だ。重要なのは“人”。「チャットボットに安易にデータを分析させない」「セキュアコーディングを意識する」など、権利侵害や加害者にならないためのセキュリティーに対するリテラシーや意識を向上させることが、リスクを低減するための最後の砦になる。

　KnowBe4は、そのための企業・組織の活動を強力に支援するセキュリティーベンダーである。SaaS型のセキュリティー意識向上トレーニングプラットフォームを提供することで、企業・組織の“人”に係るセキュリティー強化をサポートしている（図1）。 　プラットフォームの特徴は大きく3つある。1つ目は「科学的アプローチ」だ。同社のセキュリティーエキスパートが開発したアセスメント手法によって、セキュリティーの習熟度や組織文化の定着レベルを科学的に分析できる。

　「また、セキュリティー教育は従業員一人ひとりの特性を把握することが大切です。その人の性格や、前提となる知識・習熟度によって、求められる教育コンテンツは異なるからです」と広瀬氏。その点、同社のプラットフォームが備えるアセスメント機能を使えば、自己診断チェックシートの結果やメールアドレスの流出状況などを分析し、従業員それぞれの特性や抱えるリスクを容易に可視化することが可能だ。

　2つ目は「パーソナライズ」。1300を超えるコンテンツが用意されており、実施頻度や知識レベル、役職・職務別に合わせて最適なトレーニングコースを提供できる。

　例えばシャドーIT対策では、部門リーダー向け、一般社員向け、デザイン／開発部門向けなど役職別の教育コンテンツを用意する。リスクレポート「OWASP Top10」をベースに、安全なアプリケーション開発のポイントなどをまとめた開発者向け教育コンテンツもある。さらに、ディープフェイク対策、生成AI利用上の注意などを啓発する教育コンテンツも揃えているという。科学的アプローチによって可視化した、従業員一人ひとりに適した施策を、柔軟に実施できる環境が整っているといえるだろう。

　そして3つ目が「多言語対応」だ。提供コンテンツは34カ国語に、管理コンソールは11カ国語に対応している。また、日本を含む世界8拠点にコンテンツ制作チームを配置することで、国・地域の文化やニーズに合わせたコンテンツ提供に努めているという。

　セキュリティー習熟度については、従業員レベルの把握はもちろん、組織全体のレベルを業界ベンチマークとの比較形式で確認することもできる。これにより、誰に、あるいはどの部門に、どのレベルの訓練を行えばいいかを容易に判断できるだろう。様々なトレーニングコンテンツが用意されており、レベルに合ったトレーニングを繰り返すことで個人および組織のセキュリティー意識のレベルを高めていくことが可能だ。

　加えて、KnowBe4は2024年12月に新たなサービスの提供を開始した。それがセキュリティーエージェント「AIDA（Artificial Intelligence Defense Agents）」である。AIによる分析結果を基に、人や組織のセキュリティー習熟度に応じた教育コンテンツを自動で割り当てる。また、最新の脅威動向を学習し、リアルなフィッシングメールのテンプレートを生成することも可能だ。

　「また、AIDAの特徴的な機能がポリシークイズです。組織固有のポリシーや、業界のガイドラインなどを基にしたクイズを生成して、従業員の理解度向上を図るものです」と広瀬氏は述べる。フィッシングメールのテンプレートや、セキュリティーに関するクイズを作成する作業には多くの手間がかかる。これを自動化すれば、より高頻度にトレーニングを実施できるようになるだろう。

　KnowBe4のプラットフォームを活用することで、様々なメリットが期待できる。例えば、人に起因するセキュリティーリスクを低減し、導入済みセキュリティー製品の効果を最大化できることはその1つだ。「また、全社のセキュリティー意識が向上すれば、従業員の協力体制が強固になり、不測の事態から回復する際のレジリエンシーも高まります。リスク管理、レジリエンス管理の可視性と透明性を高められる、セキュリティー教育を組織的な活動として推進していけるのも大きなメリットです」と広瀬氏は語る。

　さらに、セキュリティー意識は一度高めて終わりではなく、組織の文化として定着させることが肝心だ。従業員一人ひとりの行動変容を促し、それを継続させていく（図2）。それには、人が楽しみながら学び続けられることが大事だと同社は考えている。 　この考え方のもと、提供しているユニークな教育コンテンツがオリジナルドラマ「The Inside Man」である。エンターテインメント性の高いクライムサスペンスで、そのクオリティは折り紙付き。「ドラマを楽しみながらサイバー攻撃のリスク、セキュリティー対策の重要性を学べます。1話7分というコンパクトさなので、空き時間で気軽に学習できます」と広瀬氏は話す。

　セキュリティー対策は、もはやIT部門だけの仕事ではない。守りを固める上でカギを握るのは、従業員一人ひとりの意識だ。KnowBe4は“人”にフォーカスしたセキュリティーソリューションを提供することで、企業・組織のビジネス継続を強力に支援している。