2023年は、やはり生成AIが席巻した年と言えるでしょう。
OpenAI社がChatGPT(3.5)を公表したのが2022年末。人間が違和感を覚えず回答ができるこの生成AIは、世界中で大きな反響を呼びました。

私もすぐに衝撃を受けた一人です。
最初に使った際、自分が飼っているペットを題材に「クロという名前の猫が主人公の楽しい小説を1,000字くらいで書いて」と指示して、あっという間に書き上がった時の驚きは忘れられません。
以降、Google社が「Code red（非常事態）」を宣言したり、イーロン・マスクが生成AIの開発に警鐘を鳴らしたり(後日自身も開発に着手しましたが……)、ChatGPTの革新性を脅威とする反応が各所で示されました。その後、GoogleがGemini、マイクロソフト社がChatGPTをベースにしたCopilot、MetaがLlamaを公開、ソフトバンクやNTTなども国産LLM（大規模言語モデル）の開発に乗り出しました。

この流れはさっそくセキュリティ業界に影響を及ぼしました。
ChatGPTはAIがデータを学習することから、企業はこぞってChatGPT利用に伴う情報漏洩対策に乗り出し、マイクロソフト社が提供するAzure OpenAIを導入するなどの動きが活発化しました。

ChatGPTのアカウントを狙った攻撃も出てきたと思えば、「WormGPT」という非倫理的な依頼に応えるサイバー攻撃用生成AIが出現するなど、サイバー攻撃での利用においても拡大しました。世の常ですが、やはり良い面も悪い面も出てきています。

またランサムウェアの被害も相変わらず継続した一年でした。ランサムウェア被害はここ数年高止まりと言ってよく、国内外で様々な被害が発生しています。なかでも、名古屋港の港湾コンテナターミナルの管理システムがランサムウェア攻撃により停止した事例は2023年を振り返るうえで必ず思い起こされるインシデントでした。総取扱貨物量で日本一を誇る港湾がサービス継続できなくなったことで、経済活動に広く影響を及ぼしました。
このインシデントをきっかけに、経済安全保障の対象となる基幹インフラ事業者※の対象に、港湾を加える議論も行われています。

※電気通信、放送、金融、航空、空港、鉄道、電気、ガス、水道、貨物自動車運送、外航貨物、クレジットカード、石油、郵便の14業種

この基幹インフラという定義が生まれた背景にあるのが経済安全保障推進法です。
本来の防衛という物理的な側面が強かった安全保障の考え方が、情報戦という背景から経済分野まで裾野を広げています。例えば武器に転用できる可能性のある重要技術や、漏洩した場合に大きな損失となる特許情報に対し、国をあげてセキュリティを確保する法案が成立しました。

ランサムウェアグループ「CL0P」が世界8000社以上からデータを窃取したり、中国国家が支援するとみられるハッキング集団「Volt Typhoon」がインフラ事業者を標的として情報を盗んだりと、重要なデータを巡る攻撃は高度化する一方です。

日本に先行して、欧米では国独自のセキュリティ強化に乗り出し、米国では政府と取引する企業に対しNIST SP800-171をベースとしたCMMCというセキュリティ制度、英国では、Cyber EssentialsやCyber Assurance制度を強力に推進しています。

簡単に思い返すだけでも、これだけのことが浮かんできます。生成AIを筆頭に、10年後に振り返ってもとても印象深い年になることが想定される一年でした。

では、2024年はどうなるでしょうか？
端的に言うと、良いことも悪いこともこれまでの10倍になると思っています。

AIの活用で言えば、Copilotに代表されるように、自動化が進み、いわゆる「一人情シス問題」の解決策の大きな光になるでしょう。
しかしながら、これだけIT技術に依存してきた我々がさらに生成AIに依存する形になるのですから、AIが大きな混乱をもたらすこともあるでしょう。
2024年の世界動向で言えば「選挙イヤー」です。
すでに台湾総統選挙は終わり、今後はなんといっても米国大統領選挙があります。ロシア、ウクライナ、フィンランド、ベラルーシなどの戦争当事国及び周辺国でも選挙があります。他にも、インド、韓国、インドネシア、リトアニア、ジョージアなど世界各地で選挙が予定されています。

ここにAIが絡んでいき、ディープフェイクが本格的に問題を起こすのではないかと思っています。
岸田首相のチープなフェイク動画が出回ったのは記憶に新しいですが、GPU機能の高度化に伴い、ほぼリアルタイムで顔や声を偽造した見分けのつかないフェイク動画が出回る可能性があります。
それによって投票結果に影響を及ぼし、大きな問題になるかもしれません。

G7や各国で生成AIの規制について論じられていますし、3月には我が国でもAI事業者ガイドラインが公表される見込みですが、広く活用していく流れは止められないでしょう。

また先に取り上げた経済安全保障推進法に関し、5月までに210の事業者が対象となり、サイバーセキュリティに対する対策状況の届け出が義務化されます。サプライチェーンの流れで210事業者以外も対象となり得るので、関係ないと思っていた企業にも影響が出てくる可能性があります。

また、サプライチェーン企業に影響が及ぶ観点で言えば、これまでセキュリティ調査票を取引先に送付して回答してもらう、受け取った企業はその内容を信用するしかないという、いわば「性善説」に基づくセキュリティチェックの対応が一般的でした。しかし今後はこの商習慣にもメスが入ると予測しています。

経済安全保障の流れもあり、SBOMによるソフトウェアのモジュール管理や、セキュリティレーティングサービスやASM (アタックサーフェスマネジメント)ツールのスコアを共有することで信用を得るなど、これからは取引先のセキュリティ評価では、客観的な指標が重用されるでしょう。
サプライチェーンのセキュリティのあり方が大きく変わる元年になるのではと思っています。

経済安全保障はいわば国が先導してインフラや機密データを守っていくことです。
その意味では、個人情報保護の観点ではデータの越境移転を制限する国・地域が格段に増えていますが、同様にサプライチェーンも含めて機密データ(個人情報に限らない、多様な重要情報)を守る必要性が一層強まるでしょう。

2024年の予測をまとめると、あらためて良いことも、悪いことも激増するのではと思います。
その分、生成AI利用のガバナンスや、サプライチェーンも含めたサイバー攻撃への対応はより高度なレベルが求められていくことが想定されます。

今年も様々なセキュリティ対応が求められそうですが、インシデントで足を引っ張られることのないよう、気を引き締めて取り組んでいきましょう。