動画レター

エグゼクティブサマリー

AIによって、サイバー攻撃の能力が、かつてないスピードで高まっています。英国の政府機関AISI（AIセキュリティ研究所）の調査では、AIのサイバー攻撃能力は約4.7か月で2倍になっています。この速さでは、2026年末には最先端AIがこなせる攻撃の複雑さが、今の4〜8倍に達すると見られています。攻撃はもはや人手ではなく、AIが担う時代に入りました。さらに、Microsoftなどの「正規の仕組み」を悪用し、本物のドメインから送られるフィッシングも確認されています。「正規の送信元だから安全」という前提が、崩れ始めています。これは大企業だけの話ではありません。中小企業も、規模に関係なく標的になります。経営者に求められるのは、過度に恐れることではなく、前提を入れ替えることです。鍵は2つ。「正規でも無条件には信頼しない（ゼロトラスト）」、そして「AIにはAIで守る」です。

1. 背景：サイバー攻撃が「人手」から「AI」へ

これまで、サイバー攻撃は人が手作業で行うものでした。いまは、AIが攻撃を自動でこなす時代に変わりました。

攻撃の主役が変わった：AIにより、攻撃の規模・速度・巧妙さが、桁違いに高まっています。

被害は「強い会社」にも及ぶ：セキュリティに強いはずのIT企業でさえ、被害が報じられています。これは、AIによって攻撃能力そのものが上がっているためです。

「自社は無関係」は通用しない：AIによる攻撃は自動化・大規模化しています。規模を問わず、無差別に狙われる前提に変わりました。

2. 分析：いま起きている2つの変化

最近のニュースの裏側で、見過ごせない2つの変化が起きています。

1) サイバー攻撃能力の「約4.7か月で倍増」：AIの攻撃能力は、半年もたたずに2倍になるペースで伸びています。1年後には、現在の4〜8倍の規模になると見られています。人間の防御担当者が追いつける速さではありません。

2) 正規の仕組みの「兵器化」：攻撃者が、Microsoftなどの正規インフラを乗っ取り、悪用しています。本物のドメインから送られるため、システムの認証も通過します。受け取った人も、機械も、見抜くことが難しくなっています。「送信元が正規＝安全」という常識が、通用しなくなりました。

3. 中小企業経営へのインパクト

1) 「うちは狙われない」は、前提から見直す：攻撃は自動化され、大量に・無差別に行われています。中小企業も、十分に標的になり得ます。

2) 「正規だから安全」を、いったん疑う（ゼロトラスト）：取引先や有名サービスからのメールでも、無条件には信用しない。リンクや添付、送金・認証の依頼には、確認のひと手間を社内ルールに。

3) 防御の「考え方」を更新する：従来は、人手で、年単位の計画を立てれば十分でした。これからは、AIを前提に、継続的に守る必要があります。攻撃側がAIなら、守る側もAIで対抗する。これが基本の発想です。

4) 変わったのは「スピード」：攻撃側の進化は、年単位ではなく数か月単位です。対策の先延ばしが、そのままリスクの拡大につながります。

4. 結論

AIは、攻撃の道具にもなります。その能力は数か月で倍増し、正規の仕組みさえ悪用されます。守る側も、これまでの人手の延長では追いつきません。

中小企業に必要なのは、過度に恐れることではありません。「前提を入れ替えること」です。正規でも疑う。AIには、AIで備える。

まずは、自社のメール・認証・社内ルールが、この新しい前提に合っているか。そこを点検することが、安全への第一歩になります。