ポイント1 — エージェント型AIには期待よりも実証を最優先すべき

先日、SC Worldは、 RSACでのエージェント型AIに関する会話には3つの点が欠けていると指摘した。私もそう思う。多くの新しい技術は盛大に登場する。エージェント型AIも例外ではない。 しかし、期待にすぐに飛びつくのではなく、実践的な検証を優先すべきだ。徹底的な概念実証(PoC)がなければ、セキュリティ運用ではこれらのツールを真に統合することはできない。明確なROI指標がなければ、投資を正当化することはできない。当社の長期的なセキュリティ体制は、この規律あるアプローチにかかっている。

ポイント2 — 全ての脆弱性にただパッチを当てるのではなく、的を絞った対策を

あらゆる脆弱性にパッチを当てるという、無限のサイクルを終わりにしよう。NISTの新しい指標「LEV」は、効果的なリスクの優先順位付けを行う上で、決定的なアプローチを提供する。真のリスク像は、詳細なアプリケーションのセキュリティ情報と堅牢なADR(アプリケーションにおける検知と対応)を組み合わせることで初めて明らかになる。今こそ、実際に悪用される可能性と、アプリケーションに対する深い知見に基づいて、的を絞った対策の実施に移行する時だ。

ポイント3 — MFAとパスワードレスの取り組みが成果を上げている

AIによって攻撃がさらに増幅するという議論には一理あるが、Verizonのデータ漏洩/侵害調査報告書(DBIR)のデータは、「情報漏洩や侵入経路としてのアカウント乗っ取りは減少傾向にある」という明確な事実を示している。 この減少は、堅牢な多要素認証(MFA)およびパスワードレスの取り組みに対する戦略的投資を直接反映している。進むべき道は明白だ。このように実証されたID管理の強化を継続することだ。