グローバルCISOポッドキャストシリーズへようこそ
新しいポッドキャスト シリーズ「The Global CISO」をご紹介できることを嬉しく思います。 ディフェンダーによる、ディフェンダーのための。 私は 20 年以上 CISO を務めており、現在は F5 でフィールド CISO を務めています。 経験は最高の教師ですが、授業料は高額になる可能性があります。 そのため、私はこのポッドキャスト シリーズを立ち上げ、CISO と CIO がどのようにして世界の驚異的な技術変化のペースにうまく対応し、将来の情報セキュリティの課題に備えることができるかについて議論します。
F5は、世界最大手の銀行、自動車メーカー、通信事業者を含む、170か国以上の23,000を超える企業顧客を支えています。 私は昨年、世界で最も複雑な組織と関わりながら約30万マイルを移動しました。その経験から、本ポッドキャストシリーズでは現在最も重要な情報セキュリティ、コンプライアンス、リスク管理の動向を詳しく解説していきます。 効果的なこととそうでないことを明らかにしながら、CISOとCIOがAI革命の力をどう活用して、変化の速い時代で成功するかをお伝えします。
今すぐお聴きください
- エピソード1: 「APIの制御、AIセキュリティ、ポスト量子暗号」
- エピソード2: 「まず自動化: API、可観測性、ベンダー責任のためのCTOによる実践ガイド」
私の最初のエピソードから得た主なポイントをご紹介します。
国家AIモデルに潜む思想に注意を払う
AIにおける世界的なリーダーシップに関しては、米国と中国が世界中での優位性と南半球での影響力を競い合っている。 しかし、両国とも AI スタックにイデオロギー的な制約を組み込んでいます。 米国 AIアクションプランは、米国を推進するモデルを推進する地政学的なテーマを持っています。 米国国立標準技術研究所 (NIST) は、気候変動、DEI、誤情報などの主題を NIST リスク管理フレームワークから削除します。 オープンソース(実際にはオープンウェイト)として販売され、南半球で容易に利用できる中国の公式 AI スタックは、社会主義の原則への忠実性を維持するように構築されています。
これらのAIモデルとそれらが推進するスタックに含まれるイデオロギー要素は、採用の妨げになる可能性があります。 例えば、保険業界の保険数理士が米国の 気候変動に関するデータを反映しない財産損害評価や予測のAIモデルを信頼するでしょうか? 中国のAIモデルを金融市場分析に使う場合、社会主義の原則を守ることにどんな価値があるのでしょうか? 多くのグローバル組織はイデオロギーの偏重に基づくAIモデルを避けたいと考えるでしょう。
米国と中国によるAIのイデオロギー対立で利益を得る意外な存在として、EUに注目してください。 EUは世界トップのAIイノベーターではないかもしれませんが、欧州のテック企業は優れた成果を出しており、フランスには世界でも指折りの数学者がいます。 EUのAI戦略はイデオロギーに左右されず、リスク管理とリスク受容を重視し、無責任なAI運用には厳しい罰則を科します。 だから、EUを軽んじてはいけません。
重要なポイント: テックリーダーは、採用するAIモデルや技術スタックを慎重に選び抜かなければなりません。初期の判断が将来にわたり大きな影響を与え、撤退コストが高くなる可能性があるからです。 それでも、オープンモデルの導入は今後も加速すると見込まれます。
不正の急増が見込まれます
OpenAIのCEO、サム・アルトマン氏が最近、AIシステムによる詐欺の急増について講演しました。 これはF5での私たちの経験とも合致しています。 私たちは、ほとんどの自動化されたチューリングテストやCAPTCHAクイズが長い間役に立たず、特に高度なボットには効果が薄いと述べてきました。 しかし、ChatGPTエージェントがいとも簡単にCAPTCHAの制限を突破する様子を見て、防御側は不意を突かれたと言えるでしょう。
私たちは、AIエージェントが自然な現地のアクセントを使い、まるで隣に住んでいるかのように聞こえる音声詐欺も増加しているのを目の当たりにしています。 ボイスメールやSMSフィッシング、ソーシャルエンジニアリング、ディープフェイク、さらに人の心理を巧みに突く精巧なスパムメールを使ったAIの詐欺行為が約2,400%も増加しています。
AIを利用した詐欺が今後急増することを覚悟してください。 金銭が集中する場所こそ、犯罪者たちが狙う先です。
重要なポイント: AIが詐欺を加速させ、CAPTCHAなどの従来の防御は通用しなくなっています。 CISOは、音声やテキスト、ソーシャルメディアの各チャネルで巧妙化するAI詐欺に対抗するため、従業員教育と適応型AIセキュリティ戦略を最優先してください。
職務内容に「推論の安全性確保」を加えましょう
CISOはすでに多くの責任を担っています。 私たちはデータ、メール、アプリケーション、境界、エッジ、ネットワーク、デバイスを守り安全に保つために活動しており、さらに推論セキュリティも担う必要があります。
なぜなら、推論が新たな攻撃対象だからです。 推論は今や、ビジネス、財務、コンプライアンス、評判に影響を与える重要な意思決定と直結しており、攻撃者はプロンプトインジェクションやモデル操作などを用いて推論エンジンを狙っています。 CISOはAIを支えるインフラだけでなく、AIの意思決定そのものも守らなければなりません。推論は新たな攻撃ルートかつ、ビジネスに不可欠な機能だからです。
推論を操作する新たな手法の一つに、「エコーチェンバー」攻撃があります。 これはプロンプトインジェクションの一種で、不正な生成を直接要求することなく、不正な応答を少しずつ誘導するプロンプトを複数作成します。 これは、複数回にわたるプロンプトの小さな示唆で大規模言語モデル(LLM)を操作し、モデル自身に制御を解除させたりバイパスさせたりするよう仕向ける行為に似ています。
これらのエコーチェンバー攻撃は約80%から90%の効果を発揮しています。 では、推論の保護を担うのは今やCISOの役割でしょうか? そうでないなら、組織内の誰がその責任を負うことになるでしょうか?
重要なポイント: 推論は新たな重要な攻撃対象として浮上しており、CISOはAIの意思決定自体のセキュリティも必ず守る責任があります。 肩書きに「チーフ」や「セキュリティ」が入っているなら、今日それが認識されていなくても、あなたの問題になるはずです。 すぐに取り組みましょう。
中国はAIのエッジ領域でリードしていますか?
私は彼らが実際にAIで優位に立っていると思いますが、それは何を基準に評価するか次第です。 私はアジアで多くの時間を過ごし、そこで生活し働く多くの人々と話をしてきました。 実際にAIを意味ある形で活用する点では、中国が早くから優位に立っていると感じます。 最大規模のモデルを持っているわけではないかもしれませんが、中国のモデルは実際に使われており、サプライチェーンの課題解決や輸送経路の変更など、実務的な役割を果たしています。
もしあなたが望むなら、200京パラメータの最強モデルを作るのは構いません。 ただ今の米国や欧州では、ドラッグレースに例えるなら、巨大なパワーを生み出す力と、その力を成果に結びつける力の間に大きな差があると感じています。
米国は エネルギー開発やAIファクトリー、AIデータセンターの構築を最優先しています。 投資家はこの分野に大量の資金を投じていますが、実際の価値が届けられているとは言えません。 AI導入の現状においてビジネス価値を生み出しているプログラムの少なさを示した、最近話題の調査結果を参考にしてください。これは新技術導入における幻滅の谷の段階へと自然に移行していることを示しています。
アメリカが最大かつ最強のAIモデルを持っているからといって、それを使って実質的なビジネス成果を生み出しているとは限りません。AI分野での競争上の優位性はほとんどありません。最大のモデルを所有していることは、一時的な競争上の優位性に過ぎず、永遠には続かないのです。
重要なポイント: 中国は、最大のモデルを作るのではなく、現実の問題に迅速にAIを適用することで優位に立っています。一方で、米国や欧州は実用性よりも規模に注力するあまり、遅れを取るリスクがあります。 また、中国は米国よりもはるかに大きな電力容量を持っており、米国がすぐに解決できる問題ではありません。 掘り続けるしかなく、それが持続可能でないことは皆が認識していますが、これが世界的な競争の現実の論理なのです。
巧妙化した脅威を先取りする確実な情報源
私たちは、The Global CISO が、業界と将来を形作る脅威とトレンドを先取りするための頼りになる情報源となることを望んでいます。 したがって、私が取り上げるべきだと思うトピックがある場合は、私にメモを送るか、 LinkedInで私とつながってください。
今すぐ購読して「The Global CISO」のすべてのエピソードを見逃さないようにしましょう。 ディフェンダーがディフェンダーのために作ったポッドキャストを、お使いのプラットフォームでお聴きください。そしてぜひ、チームや同僚、ネットワークにも共有してください。
初回エピソード「APIの制御、AIセキュリティ、そしてPQC」をぜひご覧ください。
また、ぜひ私の第2話「まず自動化する: API、可観測性、ベンダーの責任を明確にするCTOの実践ガイド」もお聞きください。