AI時代におけるサイバーセキュリティリスク対策としてのデータプライバシーツール

ゼロトラストアーキテクチャは、より強固なアイデンティティ中心のセキュリティ制御と迅速なインシデント封じ込めを実現し、データブリーチのインパクトを軽減します。 Image: Photo by Jefferson Santos on Unsplash
- 新しいテクノロジーの進化スピードにより、AIを活用したワークフローが、わずか数秒で組織の内部データをサイバー攻撃のリスクにさらす可能性があります。
- IBMとPonemon Instituteの調査によると、昨年企業はデータ漏洩インシデント1件あたり推定444万ドルの損失を被りました。
- ゼロトラストアーキテクチャは、より強固なアイデンティティ中心のセキュリティ制御と迅速なインシデント封じ込めを実現し、データブリーチのインパクトを軽減します。そして、ゼロトラストの考え方をデータそのものに拡張することで、この効果を高めることができます。
サイバーセキュリティの分野では、被害を受けた際に費やされるコストが最も説得力のある要素となることが少なくありません。
IBMとPonemon Instituteの調査によると、2025年時点で企業におけるデータブリーチに対応するためのコストの世界平均は、ブリーチ1件あたり444万ドルと推定されています。特に医療分野ではこのコストが平均742万ドルに達し、インシデントの検知と被害の封じ込めに長い時間を要しています。また、AIシステムの普及により機密データにアクセスする主体が人間だけでなくエージェントにまで広がりつつある中、データブリーチが発生する可能性も高まっています。
コストの評価は確かに重要ですが、一方、フレームワークも同様に重要です。現在の代表的なサイバーセキュリティフレームワークの一つがゼロトラストアーキテクチャ(ZTA)です。ZTAは、従来の「城と堀」(組織のネットワーク内部にいるアクターは本質的に信頼できる)という考え方を脱却し、ユーザー、デバイス、アプリケーション、ワークロードを継続的に検証するという考え方に基づいています。
また、IBMとPonemon Instituteの調査によると、ZTAの導入には多額の初期投資が必要となる場合がありますが、より強力なアイデンティティを中心としたセキュリティ制御と迅速な封じ込めにより、ブリーチに対応するコストの削減に寄与することが示されています。
この結果、ゼロトラストはクラウドおよびアイデンティティ中心のセキュリティ課題に対応するための基盤的なアーキテクチャとなりました。しかし、アイデンティティ、デバイス、ネットワーク、アプリケーションを保護するツールが守る管理範囲を超えてデータが移動した場合にはどうなるでしょうか。
これはAI時代において現実的なリスクとなっており、アクセス制御が保たれた環境を離れた後も、機密データを保護する「データ中心」の制御が必要になっています。
サイバーセキュリティリスク要因の増大
ZTAが成熟する一方で、その保護対象領域はより複雑になっています。
まず、機密情報にアクセスする主体は、人間だけにとどまらず、サービスや自律型・半自律型ソフトウェアエージェント(すなわち、AIエージェント)にも広がっています。IBMとPonemon Instituteの調査では、AIに対する監視体制の不備が企業や政府、その他の組織にとってリスク要因として高まりつつあり、AIガバナンスとのギャップがサイバー攻撃への脆弱性を高める可能性が指摘されています。
また、大規模言語モデル(LLM - 生成AIの基盤となるニューラルネットワーク)を用いたアプリケーションにおいては、「プロンプトインジェクション」や「意図しない機密情報漏洩」といったリスクが繰り返しハイライトされています。これらのリスクの特徴は、本来は正当なアクセスであっても、それが瞬時に意図せぬ情報漏洩へつながる可能性があることです。
すなわち、これはAIを活用したワークフローによって、組織の内部データが外部にさらされたり、機密情報を数秒のうちに複数のシステムへ拡散させたりする可能性があることを意味します。
この領域の複雑化が進んでいる2つ目の理由は、機密データとみなされる対象が、リッチメディアにまで広がっているためです。コンピュータビジョンが進歩するにつれて、ピクセル難読化のような技術は、これまで想定されていたほどの保護を提供できなくなる可能性があります。
近年の研究では、ぼかしが入った画像から顔を復元したり、ピクセル化された顔情報を復元したりする技術が進展していることが示されています。その結果、犯罪の被害者や目撃者、政治的なデモの参加者、あるいは機微性の高い医療現場における利用者や患者など、意図的に身元が分からないようにされた人々に対するプライバシー保護が弱まることになります。
以上のような動きを受けて、プライバシー強化技術が注目を集めています。大まかに言えば、これらの技術は、分析、共有、または共同作業の過程で、プライバシー情報や機密データが、「あるべきではないアクセスにさらされる」ことを抑えることを目的としています。この技術を使うことによって、顧客データ、医療データ、金融データなどについて、そのすべてが開示されるのではなく、プライバシーや機密的な情報が含まれる部位は守られる形になるので、結果的にデータの流通自体は促進され、より広くデータを分析に使えるようになります。
ただし、現行のプライバシー強化技術の多くは、管理された環境下での計算処理やデータ共有におけるプライバシー情報保護に重点を置いており、データが、データアクセス管理システムの外側に出た場合には、プライバシーや機密情報の保護が行えないのが実情です。
異なる種類のサイバーセキュリティ対策
プライバシーや機密情報を含んだデータが、潜在的にあるべきではないアクセスにさらされる可能性があることは、補完的な防御層、すなわち、暗号化によるデータ中心のアクセス制御の必要性を示しています。ほとんどのゼロトラスト型の制御は、システムの境界内で機能します。これに対し、データ中心の暗号化は、その制御の対象をデータそのものへと移します。つまり、暗号化されたデータにアクセスポリシーが組み込まれ、復号する権利がそのデータとともに移動するという考え方です。
アクセス制御ポリシーを暗号自体に組み込むことを可能とした仕組みの一つに、属性ベース暗号(Attribute-Based Encryption: ABE)があります。ABEを使ってデータを暗号化することで、元のデータが、コピー・保存・再共有された場合でも、プライバシーや機密的な情報が含まれる部位に対して、アクセスルールを適用することができます。ABEを使うことにより、管理されたシステムの境界を超えて移動・コピーされたデータ(例えば、機密文書、医療記録、監視映像)についても、プライバシーや機密情報を含んだ部位へにアクセスは許可された利用者に限られることになります。
過去20年余りにわたる研究活動の結果、データ中心の暗号化は技術としては確立してきましたが、主流のサイバーセキュリティの議論においては、他の多くのプライバシー技術やセキュリティ技術ほどには注目されてきませんでした。
しかしAIエージェントが広く使われようとしている今こそ、こうした技術をゼロトラストのフレームワークにどのように統合できるのかを、より明確に示す時期ではないかと考えます。
データ層の暗号化を効果的に導入するには、適切な設計と運用管理が欠かせません。2023年のNISTによるABEベースのアクセス制御に関する分析では、鍵管理、権限設計、ポリシー設定の誤りといった問題点が指摘されています。実際のところ、高度なサイバーセキュリティとは単一の製品を選べば済むものではなく、継続的な運用モデルと捉えるべきものです。
データプライバシーツールへのポートフォリオアプローチ
ゼロトラストは、もはやネットワークとアイデンティティだけの話として捉えることはできません。
AIによって形づくられる経済において、サイバーセキュリティのリーダーは、非人間のアイデンティティ、自律的なワークフロー、そしてますます機微性を増すデータを考慮に入れた、ポートフォリオ的な発想を持つ必要があります。一部のプライバシー強化技術は、安全な共同作業や分析を支えることができます。一方で、データ中心の暗号学的な制御は、データが本来の管理範囲を超えて移動した場合でも、情報漏洩の影響を抑え込む助けとなります。
最善のプライバシー技術が一つだけ存在するわけではありません。そうではなく、複数の層が連携して機能することで、侵害対策コストを最小限に抑えることができます。AI主導の環境では、データは従来の制御が想定していた以上に、速く、遠くまで移動します。このような新しいパラダイムにおいては、データそのもののレベルでセキュリティを適用するという考え方は、真剣に検討されるべきです。
このトピックに関する最新情報をお見逃しなく
無料アカウントを作成し、パーソナライズされたコンテンツコレクション(最新の出版物や分析が掲載)にアクセスしてください。
ライセンスと転載
世界経済フォーラムの記事は、Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International Public Licenseに基づき、利用規約に従って転載することができます。
この記事は著者の意見を反映したものであり、世界経済フォーラムの主張によるものではありません。
最新の情報をお届けします:
サイバーセキュリティ
「フォーラム・ストーリー」ニュースレター ウィークリー
世界の課題を読み解くインサイトと分析を、毎週配信。







