Google COOが警告するAIセキュリティの現状と企業の課題

人工知能（AI）の急速な普及に伴い、企業は新たなセキュリティ課題に直面している。この転換期において、Google Cloudの最高執行責任者（COO）であるFrancis de Souza氏は、AIセキュリティに対する企業のアプローチを根本から見直す必要性を強調している。Los Angelesで開催されたイベントで行われたインタビューで、de Souza氏は「移行期間があり、その後、より良い場所に到達する」と述べ、現在の状況が過渡期であることを示唆した。

AIセキュリティの「アフターソート」からの脱却 de Souza氏の核心的なメッセージは、セキュリティ専門家が長年経営陣に訴えてきたものの、AIの登場により急務となったものだ。

それは、セキュリティを後から付け足すような「アフターソート」の対策では不十分だという警告である。 「企業がこのAIの旅に出る際には、プラットフォームアプローチを取る必要があります。セキュリティは後から付け足せるものではなく、従業員に任せておけるものでもありません」とde Souza氏は語る。これは、AI導入を単なる技術的な取り組みではなく、組織全体のガバナンスや戦略と不可分なものとして捉える必要性を示唆している。 特に注目すべきは、de Souza氏が「シャドウAI」という概念を指摘している点だ。シャドウAIとは、組織の監視や承認なしに従業員が個人的に消費者向けのAIツールを利用することを指す。これにより、企業データの漏洩やコンプライアンス違反のリスクが高まる。de Souza氏は、企業がプラットフォームに対してセキュリティ、ガバナンス、監査可能性を最初から要求すべきだと主張する。 「AI戦略なしにデータ戦略やセキュリティ戦略があることはありません。これらは一体で進む必要があります」とde Souza氏は強調する。この視点は、AIプロジェクトの成功が、データ管理とセキュリティ体制の整備に依存していることを明確に示している。

マルチクラウド時代のセキュリティ課題 興味深いことに、de Souza氏のアドバイスはGoogle Cloud単独の宣伝ではない。

インタビュアーがそのように指摘すると、de Souza氏は「Googleはマルチクラウドアプローチにコミットしている」と反論した。

現代の企業は、単一のクラウドプロバイダーだけに依存しているわけではない。SaaSアプリケーションやビジネスパートナーが異なるクラウドを使用しているケースは珍しくない。de Souza氏は、「企業は、クラウドやモデル全体にわたって一貫したセキュリティ体制を持つことが重要です」と述べ、クロスプラットフォームでのセキュリティ対策の必要性を説いた。 これは、特定のベンダーロックインを避けるだけでなく、多様な環境下で統一されたセキュリティポリシーを実施する難しさと重要性を浮き彫りにしている。企業は、自社のITインフラ全体を俯瞰し、を含む的なセキュリティ戦略を策定する必要がある。

攻撃の速度と攻撃表面の拡大 de Souza氏は、脅威の状況が根本的に変化したことも指摘する。従来の防御モデルは、現代の攻撃速度に追いついていないという。

「初期侵害から攻撃の次の段階への引き渡しまでの平均時間が、8時間から22秒に短縮しました」とde Souza氏は語る。この驚異的な速度の加速は、企業がリアルタイムで対応できるセキュリティ体制を構築することの重要性を物語っている。 さらに、攻撃の表面（Attack Surface）は従来のネットワーク境界をはるかに超え拡大している。de Souza氏は、「通常の資産に加え、モデル、モデルのトレーニングに使用されるデータパイプライン、エージェント、プロンプトなども保護する必要があります」と述べ、AI特有の新たな攻撃ベクトルを列挙した。

AIエージェントがもたらす新たな脅威 特に注目すべきは、de Souza氏が指摘するAIエージェントに関する脅威だ。企業内部システムを移動するエージェントが、誰も気に留めていなかった古いデータリポジトリを表面化させる可能性があるという。

「多くの組織には、本当に更新されていない古いSharePointサーバーやアクセス制御がありますが、誰もその場所を知らなかったため、問題になりませんでした。しかし、企業内を徘徊するエージェントは、それらのデータアセットを見つけ、そこに存在するデータを暴露します」とde Souza氏は警告する。 これは、Shadow IT（組織が把握していないIT資産）の問題がAI時代にさらに深刻化する可能性を示唆している。AIエージェントの自律的な探索能力は、企業が長年無視してきたデータの死角を突き、意図しないデータ漏洩を引き起こすリスクがある。

機械の速度で対抗する では、これらの課題に対して企業はどう対応すべきか。de Souza氏の答えは、「機械の速度で機械の速度に立ち向かう」

ことだ。 「今、私たちはAIネイティブで完全にエージェント型の防御の出現を目撃しています。組織は、防御活動を駆動するエージェントを実行できます」とde Souza氏は述べる。これは、攻撃側がAIを活用するのに対し、防御側もAIを導入して自動化されたセキュリティ対策を実施する必要性を意味する。 AIネイティブのセキュリティアプローチとは、単にAIツールを導入するだけでなく、セキュリティ戦略の根幹にAIを組み込むことを指す。異常検知、脅威インテリジェンス、自動インシデント対応などをAIによって高速化・自動化し、人間のアナリストを支援する体制が求められている。

結論：を含む的なAIセキュリティ戦略の構築を Francis de Souza氏のインタビューは、AIセキュリティが単なる技術的な課題ではなく、経営戦略の核心であることを浮き彫りにしている。

シャドウAIの管理、マルチクラウド環境での一貫したセキュリティ体制、攻撃速度への対応、AIエージェントがもたらす新たなリスクなど、企業は多角的な視点から対策を講じる必要がある。

移行期にある現在、企業はセキュリティを後回しにするのではなく、AI導入の初期段階からプラットフォームアプローチとして組み込むことが不可欠だ。データ戦略とセキュリティ戦略を一体的に推進し、機械の速度に対抗できる自動化された防御体制を構築することが、AI時代の競争力を左右する鍵となるだろう。 Google CloudのCOOからのこの警告は、すべての企業にとって他人事ではない。AIセキュリティの課題は、業界や規模を問わず、すべての組織がリアルタイムで対処すべき喫緊の課題なのだ。