[インタビュー]

2025年12月25日(木)森 英信（アンジー 代表取締役）

リスト

AIの急激な進化がもたらした功罪

　KnowBe4（ノウビフォー）は、2010年に設立された米国のセキュリティ教育サービスベンダーだ。同社 CISOアドバイザーのロジャー・グライムス（Roger Grimes）氏（写真1）は、サイバーセキュリティ業界で40年近くの経験を持つ。これまでに15冊の著書と1500本以上の記事を執筆してきたセキュリティ業界の第一人者で、20年間にわたってペネトレーションテスター、いわゆる「ホワイトハッカー」として、さまざまな企業・組織のセキュリティ/ネットワークの防御力を試してきた。

写真1：KnowBe4 CISOアドバイザーのロジャー・グライムス氏

　まずグライムス氏が言及したのは、AIの進化と、それに伴うサイバーセキュリティの変化だ。2022年秋に米OpenAIがChatGPTをリリースし、生成AIが世に知れ渡り、企業でのAI活用に火がついた。グライムス氏によると、生成AIの台頭は、KnowBe4のビジネスにも大きな影響を与え、製品・サービスの機能に取り入れているという。

　現在のAIは業務のあらゆるタスクを自動化でき、進化を続けながら適用範囲を広げている。そして、AIの急速かつ継続的な進化は、残念ながらサイバー攻撃を仕掛ける側にも利するものになっている。

「人間には見えない攻撃」が始まっている

　こうした変化の中で、グライムス氏が警告するのが「人間には見えない攻撃」の出現だ。「例えば、メールに不可視のコードが埋め込まれ、AIエージェントがそれを読み取って意図せぬ操作がなされてしまいます。人はまったく気づくことができません。人ではなく、AIエージェントに攻撃を仕掛けているのです」

　実際、「Claude」の開発元で知られるAIベンダーの米Anthropicは、人を介さないAIのみによるサイバー攻撃を観測している。グライムス氏は「2026年は、AIによる自動攻撃の年になることが明らかです」と話す。

　コンピュータの黎明期から続く2大攻撃手法、ソーシャルエンジニアリングとソフトウェアに内在する脆弱性の悪用は今後も続く。しかも、AIによってそれらの手法は劇的に高速化され、自動化される。

　「以前は1カ月パッチを当てなくても大きな問題にはなりませんでしたが、AIはより速く、より自動的に脆弱性を悪用した攻撃を仕掛けてきます。なので、企業はより迅速にパッチを適用しなければなりません」とグライムス氏。また、高度なディープフェイクによる、企業幹部をターゲットにしたなりすまし攻撃もすでにに常態化しているという。

●Next：人とAIエージェントが協働する時代を見据える