私はキャリアを通じて情報セキュリティの迷宮を渡り歩き、徹底的な技術監査から生成AIによるガバナンス、リスク、コンプライアンス(GRC)という重要な業務へと転身してきました。その間、私は一つの不変の真実を学びました。それは、テクノロジーにおけるあらゆる大きなパラダイムシフトは、それに応じた攻撃戦略の変化をもたらすということです。過去10年間、私たちはフィッシング対策としてセキュリティトレーニングとテクノロジーに頼ってきました。今日、私はここに立ち、この時代は終わったとお伝えします。私たちが、巧妙に細工されたメールを見抜くための従業員のトレーニングに成功したことを祝った瞬間、攻撃者はその運用能力を全面的にアップグレードしたのです。 私が今、日々直面している喫緊の課題は、次の通りです。専任の人間による脅威アクターと同等の計画性、粘り強さ、そして心理的な深みを備えながら、機械並みのスピードと規模で実行する存在から、どのように身を守るか。これが、エージェンティックAIがもたらす核心的な課題です。 この記事では、エージェント型AIが人間という要素を究極的に利用し、単純なフィッシング攻撃をはるかに超えて、巧妙な操作へと進化を遂げている理由を解説します。この技術がサイバーキルチェーンを根本的に変える仕組みについて、GRCにおける私の経験を踏まえ、現在のサードパーティリスクおよびオペレーショナルレジリエンス戦略における重大な欠陥を例に挙げながら、私の見解を共有します。この記事を読んでいる開発者、エンジニア、セキュリティ専門家にとって、この変化を理解することはもはや必須です。これは生き残るための新たな基準となるでしょう。 エージェントの定義:祖父のLLMとは違う 業界の多くの人がサイバー攻撃の文脈でAIについて議論する際、依然として大規模言語モデル(LLM)が文脈上完璧なスピアフィッシングメールを生成することを思い描いています。確かにこれは深刻な脅威ですが、根本的に受動的なものです。攻撃者は依然として、キャンペーンを管理し、反応を分析し、次のステップを決定するために、人間(またはスクリプト)を必要とします。 エージェントAIは異なります。私はそれを、LLM(法務・法務・法執行機関)を基盤として構築され、外部のデジタル世界において推論、計画、行動実行を行う能力、そして重要な点としてフィードバックに基づく自己修正能力が強化されたシステムと定義します。ツールというよりは、自律的なソフトウェアエンティティとして捉えてください。エージェントは、顧客の機密データの窃取といった目標を定義し、ターゲットの発見、情報収集、脆弱性の調査、エクスプロイトの作成、そして侵入への対処という複数段階の計画を生成します。ステップ3が失敗しても、エージェントは停止せず、経路を変更し、学習し、新たなアプローチを試みます。 GRC研究において私が分析する決定的な違いは、自律性です。エージェント型AIは、数週間から数ヶ月にわたって継続的に静かに偵察を行い、必要な弱点を見つけるまでソーシャルエンジニアリングの戦術をリアルタイムで調整します。そして、その弱点はほぼ常に人間です。 新たなキルチェーン:大規模な心理的最適化 従来のサイバーキルチェーンは、時間のかかる一連のイベントを想定しており、検知と被害軽減の機会を奪います。しかし、エージェント型AIは、こうした機会をほぼゼロにまで縮小します。 最も危険な加速は初期段階、つまり偵察と兵器化にあると私は考えています。長年、情報漏洩の抑制の重要性を説いてきました。今や、エージェント型AIはソーシャルメディア、公開記録、ダークウェブフォーラムからデータを統合し、熟練アナリスト20人分の作業を数分でこなすことができます。従業員の名前と役職を特定するだけでなく、公開投稿に基づいて、人間関係、最近のプロジェクト、専門用語の習熟度、さらには感情状態までも把握します。 ソーシャルエンジニアリングにおいて、エージェントは心理的な脆弱性を最適化します。従来のフィッシングは、簡単に成果が得られるものを狙った、いわば「スプレー&プレイ」型の攻撃です。一方、エージェントAIは、高度にパーソナライズされた物語を構築します。私が現在どのプロジェクトを主導しているか、どのサードパーティベンダーと最も頻繁に取引しているか、どの同僚を暗黙的に信頼しているかを正確に把握しています。信頼できる同僚の口調、テンポ、社内用語を完璧に模倣したコミュニケーションを生成し、私の人間的な信頼感を巧みに利用して、技術的なセキュリティの多層構造を回避します。この機能は単なる脅威ではなく、「人間によるファイアウォール」という概念そのものに対する深刻な挑戦です。 境界線での戦い:サードパーティのベクトル 現在の役割において、サードパーティリスクの管理は最優先事項です。セキュリティ対策の強さは、最も弱いベンダーのセキュリティレベルに左右されると常に認識してきました。しかし、Agentic AIは、この常識を壊滅的な事態へと変えてしまいます。最近、ある攻撃シナリオをシミュレーションした結果、その危険性がはっきりと分かりました。 私の焦点は、当社のクラウド環境監視を担当するマネージドサービスプロバイダー(MSP)でした。これは信頼できる長期的なパートナーです。私は、この特定のベンダーを標的としたAgentic AIを設計しました。ただし、大量のメールではなく、管理権限を持つと分かっていた若手エンジニアの一人を狙った、複雑なソーシャルエンジニアリングキャンペーンを実施しました。 エージェントは1週間かけて偽のデジタルペルソナを構築し、ターゲットのエンジニアとニッチな技術的関心を共有する架空の新規顧客連絡先の詳細なプロフィールを作成しました。エージェントがようやく連絡を取った時、それは認証情報の要求ではなく、MSPが使用していた脆弱なパートナーAPIに関する、難しそうなサポート問い合わせでした。コミュニケーションは完璧でした。技術用語の正しい使用、丁寧な緊急性、そして想定されるAPIの問題を「デバッグ」するための、一見正当なものの悪意のあるコードスニペットでした。使い慣れたAPIに関する技術的なサポートを求めている信頼できる同僚だと認識したエンジニアは、そのコードを実行しました。 次に起こったことは恐ろしいものでした。エージェントは侵害された認証情報を使って自動的に方向転換し、永続性を確立し、私のネットワークのマッピングを開始しました。すべて、最初の人間とのやり取りから20分以内に起こったのです。私はここで重大な変化に気づきました。エージェントが侵入を実行するために私のシステムの脆弱性を必要としたわけではなく、私の信頼フレームワークとAPIの認証プロセスの脆弱性を悪用したのです。私のGRCフレームワークは、ベンダーのポリシーを精査するように設計されており、自律的なデジタルプレデターが作り上げた説得力のある議論に脅かされて人間が即座に下す判断に基づいて設計されていたわけではありません。 デジタルと物理が出会うとき:運用のレジリエンスを攻撃する GRCおよびオペレーショナル・レジリエンスの専門家である私の観点から最も懸念されるのは、エージェントがITと運用技術(OT)のギャップを埋めるマルチベクトル攻撃を調整する可能性があることです。この機能により、脅威はデータ損失から物理的な混乱、そして潜在的な財務麻痺へと移行します。 私は、これまでセキュリティ確保を支援してきたサプライチェーン・ロジスティクス業務のことを、よく思い出します。重要な製造プロセスのサプライチェーンを大規模に停止させることを目的に事前にプログラムされたエージェント型AIを想像してみてください。まず、エージェントは製造業者のITネットワーク(初期ドメイン)への標的型侵入を実行します。侵入後は、ITシステムとOT環境(生産スケジューリングサーバー、在庫管理システム、ロジスティクスプラットフォームなど)間の通信フローを自律的に分析します。 同時に、エージェントは信頼できるサードパーティロジスティクス(3PL)プロバイダーに対して、二次的な、全く関係のないソーシャルエンジニアリングキャンペーンを開始します。3PLの配送マネージャーに、非常に具体的で時間的制約のあるメールを送信します。その内容は、私が危機的状況で何度も効果を発揮してきた社内管理上の緊急性を装った口調で、架空の「規制監査」を理由に出荷を早期に停止させようとします。 結果は挟撃戦です。ITネットワーク内のエージェントは破壊的なOTペイロードを実行する必要はなく、単にデータの混乱を引き起こすだけです。在庫数を破壊し、生産スケジュールを数分単位で調整し、架空の注文を作成します。3PLによる実際の、人為的な出荷停止と相まって、業務の混乱は完全に解消されます。私はデータ侵害だけでなく、根本原因が2つの信頼できる組織と1つの自律AIに分散している、大規模な業務のメルトダウンにも対処しなければなりません。私の即時の運用レジリエンス対応は、攻撃の複雑さと徹底的な連携に圧倒されるでしょう。これは軍事レベルの戦略的アプローチとしか言いようがありません。 防御パラダイムの転換:ファイアウォールからフレームワークへ 技術的制御への現在の執着は、必要ではあるものの、堅牢なAIガバナンスとリスクフレームワークの緊急の必要性に比べれば二の次になっていると私は考えています。技術的な修正は、自身のエクスプロイトチェーンを動的に書き換えることができるエージェントに追いつくには遅すぎます。 GenAI GRCにおける私の仕事を通して、防御は「人間のファイアウォール」という概念の根本的な再評価から始めなければならないと確信しました。人間のエラー、共感、疲労といった能力は訓練で消し去ることはできません。私はむしろ、AIを活用した「カウンターエージェント」をGRCと監視スタックに導入するフレームワークを提唱しています。これらのカウンターエージェントは、既知の悪意あるパターンを検知するだけでなく、敵対的なエージェントの行動の意図と自律性を識別できるように訓練する必要があります。 私が言いたいのは、すべてのサードパーティAPIインタラクションにおけるリアルタイムの行動異常検知と、たとえ一見正当に見えても人間の判断がGRCルールで定められた所定のリスクパターンに違反した場合に、重要なプロセスを即時かつ自動的に停止させるポリシー適用です。これは、認証メカニズムを人間による検証に依存するものから、人間によるものだけでなく、機械によるコンテキストに基づいてすべてのAPI呼び出しとユーザーアクションを精査するゼロトラストシステムへと移行することを意味します。 自律的な敵対者は自律的な防御を要求する 単純なフィッシングの時代は終わりました。高度で自律的なエージェント型AIシステムが、私たちが大切にする人間的な特性、つまり信頼、スピード、効率性を悪用し、絶えず私たちの防御策を探り出す未来が目の前にあります。この変化の激しい環境下でリスク管理を行ってきた経験から、受動的な防御や人間による訓練だけではもはや不十分であることがわかりました。自律的な敵対者には、同様にインテリジェントで自律的な防御が必要です。 テクノロジーコミュニティには、単に安全であるだけでなく、設計段階からレジリエンスを備えたシステムを構築する責任が今や重くのしかかっています。つまり、GRCが後付けではなく、運用ロジックの中核となるシステムです。次世代のソフトウェアを開発するすべての人に、ガバナンスとリスク管理をコードアーキテクチャに直接組み込むことを強く求めます。もし私たちがこれを怠れば、私たちのデジタル王国の鍵を、かつてないほど洗練され、飽くことを知らず、適応力に優れた敵に渡すことになります。これは私たちが真正面から立ち向かうことができる、そして立ち向かわなければならない課題です。
