Dark Readingの記事が面白いのは、サイバーセキュリティの現場がAIに対して、きれいに賛成・反対で割れていないところです。
むしろ、「便利で助かる。でも怖い」という、かなり人間らしい感情が同居しているんですね。
元記事では、ISC2のグローバル調査をもとに、サイバー専門家がAIをどう見ているかを紹介しています。
結果はかなり象徴的で、AIは“セキュリティを強くする技術”として最も期待される一方、“セキュリティを悪化させる技術”としても最も警戒されている、という状態でした。
これ、すごく現代的だと思います。
AIは魔法の杖ではなく、使い方次第で味方にも敵にもなる道具なんですよね。
ISC2の調査では、回答者の**52%**がAIを「サイバーセキュリティにとって最もネガティブな変化のひとつ」と評価しました。
しかも、その次に来たのが agentic AI で 34%。
agentic AI は、ざっくり言うと「人の細かい指示がなくても、ある程度自律的に動くAI」です。便利な反面、暴走や誤動作が起きたときの責任の所在が曖昧になりやすい。そりゃ警戒されます。
一方で、**41%**は「AIは近い将来、サイバーセキュリティにとって大きなプラスになる」と答えています。
つまり、同じ技術を見ていても、ある人は「守りの切り札」と見て、別の人は「攻撃の増幅装置」と見ているわけです。
この両方が本当なのが、AIのややこしくて面白いところだと思います。
記事で特に強調されているのは、AI-powered social engineering への不安です。
social engineering とは、ウイルスをばらまくというより、人の心理をだまして情報を取る攻撃のこと。
たとえば、偽の上司を装って送るメール、偽の取引先からの連絡、急ぎの支払いを求める詐欺などです。
そこにAIが加わると何が怖いのか。
それは、文章が自然になるだけでなく、声や映像まで本物そっくりに作れることです。
deepfakes が厄介なのは、「怪しい文面だから気づける」という防御が効きにくくなる点です。
元記事では、調査回答者が2025年の大きな課題として、まさにこのAI主導のsocial engineeringとdeepfakeの高い完成度に苦労していると答えたと紹介されています。
これはかなりリアルな不安だと思います。
なぜなら、セキュリティって結局、人間の確認や判断に頼る場面がまだ多いからです。AIはそこを真っ先に狙ってくるわけです。
怖い話ばかりではありません。
記事では、AIのポジティブな面もかなりはっきり描かれています。
41%の回答者は、AIの進歩がサイバーセキュリティに大きな恩恵をもたらすと答えています。
特に期待されているのは、退屈で繰り返しの多い低付加価値の作業を減らすことです。
ここはとても重要です。
サイバーセキュリティの現場には、ログの確認、アラートの仕分け、レポート作成など、地味だけれど大量にある仕事が山ほどあります。
AIがこれを肩代わりできれば、人間はもっと大事な判断、調整、意思決定に集中できます。
ISC2のCISOである Jon France は、「大きなデータセットを扱う繰り返し作業を減らし、より早く判断にたどり着けるなら、それは純粋にプラスだ」と述べています。
この意見にはかなり納得感があります。
「AIが仕事を奪う」というより、仕事の中身を押し上げる方向に働く可能性がある、という見方ですね。
AIが広がると、当然「職がなくなるのでは?」という不安が出ます。
でも元記事の調査では、むしろ2/3の回答者が、AIは技術系・コミュニケーション系の仕事を増やすと考えていました。
これも面白い結果です。
AIが単純作業を減らすなら、人間には以下のような能力がより求められるからです。
つまり、これからのサイバー人材は「ツールを使いこなせる人」であるだけでなく、人と組織を動かせる人が強くなる、ということです。
個人的には、これはかなり筋がいい変化だと思います。
セキュリティは技術だけでは守れません。最後は人と組織の問題になるので、コミュニケーション能力の価値が上がるのは自然です。
記事では、AIへの評価が業界によってかなり違うことも紹介しています。
たとえば、consulting のようにAIの影響を強く受けやすい業界の人ほど、AIをネガティブに見ていました。
逆に、construction、agriculture、automotive のように、比較的直接的にAIに仕事を奪われにくい業界の人は、そこまで悲観的ではなかったそうです。
これも納得です。
人は抽象論ではなく、自分の仕事がどう変わるかで未来を判断するからです。
AIそのものが怖いというより、「自分の現場に入ったとき何を壊すのか」が怖いんでしょうね。
ISC2の昨年末のデータとして、41%のサイバー専門家がAIを試験導入または評価中、28%がすでに実運用に組み込んでいると記事は伝えています。
そして、試した人の多くは好意的で、63%が生産性の大幅向上を報告した一方、21%は意味のある変化を感じなかったとのことです。
ここで大事なのは、AIが「入れた瞬間に劇的に変わる魔法」ではないことです。
むしろ、ちゃんとワークフローに溶け込ませて、初めて効果が出るタイプの技術だと思います。
雑に入れると危ないし、使い方が悪いと逆に混乱する。
だからこそ、期待と警戒が同時に存在するのは自然です。
記事の最後で印象的なのが、Jon France が「AIはサイバーセキュリティにとって良い影響か、悪い影響か」と聞かれて、**“Yes”** と答えたくだりです。
要するに、両方ということです。
これ、かなりうまい答えだと思いました。
AIは守りを強くする。でも攻撃も強くする。
人の仕事を楽にする。でも新しいリスクも生む。
だから一言で評価できない。
サイバーセキュリティの世界は、もともと「便利さ」と「危険」がセットで来る世界です。
AIはその構図を、ものすごくわかりやすく、しかも極端にした存在だと言えるのではないでしょうか。
この元記事が伝えているのは、AI賛成か反対かの単純な話ではありません。
むしろ、AIは現場の生産性を上げる一方で、攻撃者にも強力な武器を与えるという、きわめて現実的な状況です。
だから今後大事になるのは、AIを使うか使わないかではなく、
という設計思想だと思います。
AIを過度に信じるのも危ないし、過度に怖がって何もしないのももったいない。
この「ちょうどいい距離感」を探すのが、これからのサイバーセキュリティの腕の見せどころではないでしょうか。
