Cisco CISO ランチョン Forum 2023

開会の挨拶ではまず、セキュリティがシスコにとって最重要戦略であること、全ての人にインクルーシブな未来を実現することがシスコのパーパスであることを述べた上で、脅威阻止のためにシスコのセキュリティインテリジェンスチームの「Cisco Talosチーム」が重要な役割を担っていることや、日本の公的機関や産業界との連携も積極的に行われていることなどを紹介。さらに AI 時代のガバナンスについても言及し、新たな課題が顕在化している一方で、セキュリティ向上の重要な武器になると語りました。

「AI 活用はシスコのパーパス実現を後押しするものだと期待しています」と中川。その一方でシスコには、AI の潜在的な危害を軽減する責任もあると認識しており、そのための取り組みとしてグローバルで「Responsible AI Committee」も設置しているとも述べています。

さらに「シスコジャパンは単なる製品ベンダーからもう一歩踏み込んで、お客様との戦略的なビジネスパートナーになりたい」という思いにも言及。CISO ラウンドテーブル開催もその一環であると述べた上で、次のセッションにバトンを渡しました。

中川からバトンを引き継いだグレコは、シスコにおける AI 活用について紹介。すでにセキュリティ領域で 15 年にわたって予測型 AI （Predictive AI）を活用していると述べた上で、新たに登場した生成 AI （Generative AI）は「ゲームチェンジャー」であり、抜本的に AI のパラダイムを変えてしまう可能性があると指摘します。

「ここで重要なことは、セキュリティ専門家にとっても生成 AI は 15 年ぶりに訪れたチャンスだということです。セキュリティ強化のために新たなテクノロジーを導入する取り組みは、なかなかユーザーに受け入れてもらえません。しかし生成 AI はビジネス部門にも注目されているため、セキュリティ統合などの取り組みを短期間で進めることを容易にするのです」。

シスコではすでに生成 AI を複数の製品に取り入れていると言及。もちろん現状ではリスクも存在しますが、それを回避するために AI フレームワークを作り公表していると言います。

「生成 AI は多くの場所でチームを効率化できます。これほどまでにエキサイティングなものは、これまで見たことがありません」。

生成 AI の活用状況と可能性への期待

• 当社では ChatGPT でコールセンターを効率化させようとしています。オペレーターが ChatGPT とチャットし、レコメンドされた内容をベースにお客様に回答できるようにしているのです。しかし実際にやってみると、まだハルシネーション（もっともらしい嘘）も多く、かなりのチューニングが必要になっています。生成 AI は 5 年以内に飛躍的に進化すると期待されていますが、私自身は過大評価ではないかと感じています。今後 10 年間で指数関数的に伸びるものの、この 1 ～ 2 年は一歩下がって冷静に考えることも必要ではないでしょうか。（通信A社、CISO）
• 当社では生成 AI の活用はまだ試行段階です。正確性などのリスクがあるため、リスク管理を重視した運用を行っています。金融機関は慎重に稟議する文化が残っているので、それとうまくすり合わせながら、ファインチューニングしていこうと考えています。（金融B社、CISO）
• 省庁でも ChatGPT は、一部の許可された部署が実証実験的に使っている段階です。公共機関では膨大な文書が作成されているため、そこに活用できないかという期待が高くなっています。（官公庁 サイバーセキュリティ担当責任者）

生成 AI のリスクをどう管理しているか

• 事業部の生成 AI 利用に関しては、CISO がリスクを指摘し、必要ならアセスメントを行っています。しかし実際に使うかどうかの判断は、事業部の責任だと考えています。（通信C社、グループCISO）
  
• 生成AIの使い方のリスクは、プライバシーの問題にかなり近い部分があります。そのため当社ではリスク所管部門が担当しています。（金融D社、グループCISO）
• シスコでは AI 活用に関するステークホルダーが参加する委員会があり、そこでリスク判定を行っています。この委員会は製品設計の要件定義など、ビジネスプロセスの初期段階にも組み込まれており、これで『セキュリティ バイ デザイン』を実現しています。（シスコ）

AI 活用を促進するか否か

• 当社はどちらかと言うと促進側です。リスクには配慮していますが、会社全体のポリシーとしても前向きに取り組むことになっています。（通信C社、グループCISO）
• 当社も同様です。社内で ChatGPT が使える状況になったタイミングでアイディアソンを開催し、促進の方向でドライブしています。（金融E社、グループCISO）
• 当社も推進派で、特別なガイドラインも作成していません。生成 AI にデータを入れるのは、他社の SaaS に機密情報を書くことと、基本的には同じことです。そのため既存のガイドラインで対応しています。（IT F社、CISO）
• ユーザー部門はリスク管理やセキュリティは二の次になりがちです。そこで当社では AI 活用には前向きではあるものの、セキュリティ要件が満たされていないものは、CIO や CISO が要件を満たすように指示しています。（金融B社、CISO）
• 当社は促進 8 割、抑制 2 割といったところです。しかし生成 AI についてよく分からなかった頃は抑制 10 割でした。わかっているものは積極的に使えますが、わからないものは守りに入るのが基本だからです。今後も何かインシデントが発生すれば、抑制の割合が増えるでしょう。その時々の状況によって、ダイナミックに変化すると思います。（通信A社、 CISO）

AI とセキュリティに関する人材育成

• 日本では AI だけではなく、デジタル人材全般が不足しています。国としても様々な形で教育に取り組んでいますが、なかなか追いつかないというのが現状です。（官公庁 サイバーセキュリティ担当責任者）
• AI で自動化すれば人を減らせるという話をよく聞きますが、私はそう思っていません。AI で成果を出すには、AI を使える人が不可欠だからです。AI によって仕事が高度化することで、それに対応可能なスキルを持つ人材が必要になります。（シスコ）
• 当社では、ChatGPT でフィッシングサイトを判別する研究を行っている研究者がおり、ChatGPT 4.0 なら 98 ％で判別できるところまで来ています。しかしそれが可能なのは、ChatGPT に入力するプロンプトが適切だからです。このようなスキルが必要なのだということは、実際に使い倒してみないとわかりません。（通信C社、グループCISO）
• AI 人材の不足だけではなく、日本ではセキュリティ人材の高齢化も進んでいます。役職定年制を採用している企業では、優秀なセキュリティ人材も一定年齢でリタイアすることになります。この問題に対処するため、当グループでは優秀なセキュリティ人材に、子会社の CISO になってもらえる制度を作ろうとしています。複数の会社を掛け持ちすれば、嘱託でも十分な給与水準になるはずです。（通信A社、CISO）

フォーラムの最後の挨拶では、シスコのセキュリティ事業担当が登壇し、製品開発の最新状況を紹介。シスコでは AI がセキュリティ担当者を助ける世界を目指しており、そのためにはクロスドメインでのネイティブテレメトリと AI の進化が必要だと指摘した上で、これらに関する取り組みが示されました。

「シスコは他社製品も含めたテレメトリデータを収集・相関分析を行うことで可視性と検知を向上させ、さらにセキュリティ運用業務を自動化する仕組みとして Cisco XDR を 4 月に発表しました。これによって効率的、効果的に企業、組織を守ることができます」。

また、セキュリティ人材不足に対しては、包括的なインシデント分析情報を提供し、高度なスキルが要求されるSOCアナリストを支援する「Cisco SOC Assistant」にも言及。「シスコでは AI をフル活用しながら、セキュリティでもお客様との戦略的なビジネスパートナーになることを目指しています」と締めくくりました。

今回のCISOランチョン Forum では、多くの方が「生成 AI はゲームチェンジャー」「大きな可能性がある」と感じていることがわかりました。もちろんハルシネーションや情報漏えいといったリスクはありますが、活用しないと考えているところはほとんどないと言えそうです。

またセキュリティ分野における生成 AI 活用にも、大きな期待が寄せられているようです。もちろんそのためには、AI やセキュリティを理解し、使いこなせるスキルを持つ人材を育成しなければなりません。AI によって効率化が進む一方で、より高度化した仕事が新たに登場することで、そう簡単には人材不足は解消しない、という状況も見えてきました。

今後もお客様の戦略的ビジネスパートナーとしてこのような場を設け、情報共有と討議を行いたいと考えています。