サイバーセキュリティの未来を築く鍵は、技術ではなく人にあり

長年にわたり、サイバーセキュリティの物語は機械の言語で語られてきました。ファイアウォール、アンチウイルスソフトウェア、侵入検知システム、そして現在では量子コンピューティングやAIなど、新たなツールが、次なる攻撃者の波を凌駕することを約束してきました。

こうした革新にもかかわらず、侵害は依然として毎日発生しており、そのほとんどは最先端の攻撃手法ではなく、人的要因によって引き起こされています。例えば2024年には、データ侵害の95%が人的ミスに起因していました。

高度な防御システムが機能不全に陥る原因は、従業員がそれらを正しく運用するためのサイバーセキュリティ訓練を受けていないことにあります。したがって、デジタル・レジリエンスを目標とするならば、技術への投資と同等の規模で人材への投資を行う必要があるでしょう。

技術革新が進み、従来のカリキュラムが時代遅れになる中で、サイバー分野に携わる人材の育成方法は長年にわたり変わっていません。学位取得は依然として重要ですが、サイバーセキュリティを身に付ける他の方法もなければなりません。

資格認定は、より迅速かつ適応性のあるものにする必要があります。各国政府、産業界、大学が連携して短期コースを開発し、学生や中途採用者に最新のスキルを提供することができるでしょう。生成AIツールは、コースの内容を常に最新の状態に保つのに役立ちますが、当然ながら、人間の教育者やセキュリティ専門家との連携のもとで使用されるべきです。その連携がなければ、訓練は常に脅威の後塵を拝することになるからです。

同様に重要なのは、訓練がIT部門だけで終わってはならないということです。工場の現場従業員から最高経営責任者（CEO）に至るまで、すべての従業員が不審な活動を察知し、責任を持って対応できる十分なサイバーセキュリティ意識を持つ必要があります。目標とすべきは、全員をサイバーセキュリティの専門家にすることではなく、専門家たちと組織の他のメンバーとの間の格差を解消することです。

サイバーセキュリティ人材は、世界的に不足しています。世界経済フォーラムの調査によれば、熟練した専門家に対する需要は供給を上回り続けています。ただし、育成して専門家を増やすだけでは課題は解決しません。

セキュリティを日常的な組織文化の一部にする必要があります。従業員がフィッシング攻撃や偽造動画を識別することができるようになれば、システム全体が強固になるでしょう。敵対的思考やAIリテラシーといった概念は、もはや専門家だけの専売特許であってはなりません。セキュリティは、ごく一部の部門が意識するものではなく、従業員全体に浸透させなければならないのです。

現在の状況を特徴付けているのは、AIの役割が急速に拡大している点です。AIシステムは単なるツールではなく、人々の行動そのものを形作る存在となっています。技術的な手順のみを習得した従業員は、業務で使用する技術が生み出す倫理的影響について疑問を抱くことができなかった場合に、まったくの無力になってしまいます。

だからこそ、サイバーセキュリティ教育に倫理観と批判的思考を組み込むことはもはや選択肢ではありません。論文「Bad machines corrupt good morals（悪しき機械は善き道徳を腐敗させる）」が示すように、AIは本来責任ある人々を有害な行動へと導き、意思決定に影響を与える可能性があります。したがって、サイバーセキュリティに関する訓練では、個人が出力結果に疑問を呈し、操作を認識し、微妙な強制に抵抗できるよう準備する必要があるのです。

攻撃者は常に人的ミスを標的にしてきました。フィッシングメールはその典型例です。新たな点は、欺瞞の手口が高度化したことであり、ディープフェイク音声は今や経営幹部の声を模倣することが可能です。また、AI生成メッセージは疑念を回避するよう巧妙に作られています。真実と虚偽を見分けることが、日々困難になっているのです。

同時に、AIは攻撃者の参入障壁を低下させています。かつては高度な技術的熟練を必要としたスキルが、今ではキーボードを持つ者なら誰でも利用可能になりました。わずかなプロンプトで悪意のあるコードや説得力のあるサイバー詐欺を生成することができるのです。サイバー犯罪に手を染めることなど想像もしていなかった人々が、突然悪事が手の届く範囲にあると感じるようになるかもしれません。

もう一つの見過ごされがちなリスクは、アカウンタビリティの浸食です。従来のハッキングでは、命令が発出されたり犯罪が実行されたりするため、意図は明示的でした。AIシステムでは、意図が曖昧になります。漠然とした指示も自律的に解釈、実行されるため、利用者は責任を免れることが可能となるのです。

この責任の所在の不明確さは、深刻な結果を招きます。裁判所や規制当局は意図の立証に苦慮し、個人は機械の陰に隠れようとするでしょう。これに対抗するため、従業員には「権限委譲が責任を消滅させない」ことを理解させる教育が必要です。新たなガバナンスの枠組みが求められる一方、組織は「倫理的責任の外部委託はできない」という意識を継続的に浸透させなければなりません。近年の研究が示す通り、この「暗黙の意図」というグレーゾーンは、法と実務における最も喫緊の課題の一つです。

サイバーセキュリティは、企業や各国政府の間の私的競争の範囲には留まりません。公共財であり、経済的信頼と社会的安定の基盤だからです。あらゆる公共財と同様に、協力が不可欠なのです。

それは教育への投資と継続的なリスキリング、知識を隠すのではなく共有するパートナーシップを意味します。さらに、グローバルな脅威の現実を反映した解決策を実現するため、多様性の優先が求められるでしょう。視野の狭さは脆弱な防御につながります。

グローバルなサイバーセキュリティの複雑化が進む中、単独の国や主体が単独で対応することは不可能であり、有効な対応策は共同行動以外にありません。また、技術のみで解決する課題でもありません。ファイアウォールや暗号化技術は重要ですが、それ以上に重要なのは人間の要素です。サイバーセキュリティが機能し続けるためには、日常生活の一部として定着させる必要があります。そして、これは特定の専門家集団だけの責任ではなく、市民としての義務として捉え、教室や役員会議室、地域社会などあらゆる場で議論されるべきです。サイバーセキュリティは、社会全体で共有すべき責任であり、日常生活の習慣として組み込まれなければならないのです。

世界経済フォーラムのグローバル・フューチャー・カウンシルズは、安全、包摂的かつ自由なデジタル環境の構築を構想。その未来は実現可能ですが、そのためには今日行動を起こす必要があります。遅延はリスクを増大させますが、協力することで新たな可能性が開かれるでしょう。

誰もがサイバーセキュリティへの取り組みにおいて役割を果たす必要があります。脆弱性と強固な人的防御壁、あなたはどちらになろうとするでしょうか。