米国(米国)、英国(英国)、オーストラリア、カナダ、ニュージーランドを含むファイブ・アイズ・パートナーシップのサイバーセキュリティ機関、共同声明を発表しました企業や政府のリーダーに対し、AIによるサイバー脅威に対して直ちに行動を起こすよう求めている。
各政府機関は、フロンティア AI モデルが現在の業界の期待を超える軌道に乗っており、攻撃的および防御的なサイバー能力を根本的に再構築するだろうと述べています。彼らのタイムラインは年単位では測られません。月単位で測定されます。
この声明は、業界全体で AI の導入が加速し、より迅速かつ高度な攻撃を実行するために脅威アクターが AI ツールをますます使用する中、発表されました。当局によれば、脆弱性の発見と悪用の間の時間はすでに縮まりつつあるという。 AIはさらにその範囲を狭めています。
ITの問題ではなく社会全体の問題
政府機関は 1 つのことについて率直に述べています。それは、サイバー リスクはもはやバックオフィスの技術的な懸念事項ではないということです。取締役会と幹部は現在、組織が机上だけでなく実際の状況下での攻撃に耐えられるようにする直接の責任を負っています。
共同声明によると、安全管理を実施するだけでは十分ではない。リーダーは、これらのコントロールが実際のインシデント中に実際に機能することを確信する必要があります。そのためには、組織は長年のトレードオフを再評価し、どのシステムが外部露出を必要とするかについての仮定に疑問を呈し、単に効率を向上させるだけでなく防御を強化するために AI を意図的に使用する必要があります。
当局は、必要な対応は組織的および社会の全面的な参加を要求するものであると説明しています。彼らは、サイバー復元力が今やビジネスの継続性、市場の信頼、長期的な価値の中心となっていると主張しています。それをそれ以下のものとして扱う組織は、戦略的および運用上でますます不利な立場に置かれることになるでしょう。
この声明は、リーダーに対し、自らのリスクへの備えと説明責任を理解し評価し、基本的なサイバーセキュリティ実践を優先し、サイバーセキュリティリーダーに実際の権限と適切なリソースを与え、脅威と公式ガイダンスが進化し続ける中、積極的に関与し続けることを求めている。
リーダーは今何をしなければなりませんか?
各政府機関は、緊急で新しいものではないが、AI 開発のペースを考慮すると今や重要であると説明する一連の実践的な行動の概要を説明しました。
組織は、システムアクセスや外部接続への不要なアクセスを削減することで、攻撃対象領域を減らす必要があります。政府機関は指導者に対し、システムの暴露がそもそも必要なのかどうかを問い、必要のないシステムを隔離するよう求めている。
また、AI によって脆弱性が発見されてから悪用されるまでの時間が短縮されていると指摘し、パッチ適用プロセスの高速化も求めています。セキュリティ更新プログラムの適用の遅れ、特に更新サイクルが長い運用システムの場合、リスクが増大します。
このアドバイスは最近の出来事によってさらに強化されたようだ。Mozilla は Firefox の AI の欠陥を修正するために迅速に行動しましたこれは電子メール検証コードが漏洩した可能性があり、AI 関連の脆弱性への迅速な対応の重要性を示しています。
レガシー システムは特に注目を集めました。政府機関は、サポートされていないシステムを単なる技術的負債ではなく、戦略的負債であると説明しています。彼らは指導者に対し、コストを先送りするのではなく、これらのシステムに優先的に取り組むよう求めている。
重要なシステムへのアクセスに制限を設けると政府機関が提案
ID とアクセス制御も顕著に取り上げられました。政府機関は、重要なシステムにアクセスできるユーザーを制限し、強力な認証を強制し、権限を定期的に確認することを推奨しています。
インシデントへの備えについて、彼らは組織に対し、対応計画をテストし、チームを事前に訓練し、侵害が発生するという想定の下で活動するよう求めた。すべての侵害を完全に防ぐことではなく、迅速な封じ込めと回復に重点を置く必要があります。
各政府機関は、防御ツールとしての AI にも取り組みました。敵対者はすでに AI を利用して、より迅速に行動し、より正確に攻撃を行っていると彼らは指摘しています。ディフェンダーは同様の対応をしなければなりません。 AI システムをセキュリティ プロトコルに組み込んだ組織は、脆弱性を正面から見つけ出し、不審な動作をより効果的に監視し、インシデントに迅速に対応して、攻撃の財務コストと運用コストの両方を削減できます。
この声明によれば、成功は、利用可能なツールを最大限に活用することによってもたらされるわけではありません。それは、基本を正しく理解し、迅速に行動し、サイバーセキュリティを中核的なビジネス戦略にトップダウンで組み込むことから生まれます。
各政府機関は、様子見のアプローチを検討している指導者らへの鋭い警告で締めくくった。サイバーリスクの想定は、現在のペースで行けば数カ月で時代遅れになる可能性があると彼らは述べた。フロンティアAI開発。今すぐ行動を起こせば、リスクを軽減し、顧客、パートナー、投資家との信頼を築くことができます。遅れた人は、完全に回避できたリスクを引き継ぐことになります。