「ライオンのように入り、子羊のように出ていく」というのが 2023 年を正確に言い表す言葉です。年は複数の銀行破綻、テクノロジー部門の継続的な人員削減、企業の緊縮策の出現など、困難な年の始まりとなりました。 しかし、2023 年の春までにインフレは緩和しました。 GDP成長率は回復した。 そしてイノベーションが組織に新たな楽観的な見方をもたらし始めました。 実際、2023 年には、私たちが生涯最大のテクノロジーとビジネスの変化と呼ぶもの、つまり生成 AI (genAI) への投資が増加しました。
2024 年には、より多くの企業が迅速な実験を採用し、新しい genAI イニシアティブを開始するため、引き続きイノベーションに焦点が当てられるでしょう。 ただし、組織が新しい AI ベースのテクノロジーの実験から実装に安全に移行することが重要になります。 Forrester の 2023 年のデータによると、genAI に関するポリシー変更を行った組織の AI 意思決定者の 53% が、AI のユースケースをサポートするために AI ガバナンス プログラムを進化させています。 そのため、セキュリティ、リスク、プライバシーのリーダーは、相互に関連するリスクを背景に、規制上の義務を超えたガバナンスと説明責任とイノベーションのスピードのバランスをとる必要があります。
安全でない AI コードと OpenAI
残念ながら、genAI への注目が高まった結果、2024 年には少なくとも 3 件のデータ侵害が AI 生成コードによるものであると公にされることになるでしょう。 実際、開発者がコードを生成して生産性を高めるために、TuringBot として知られる AI 開発アシスタントにますます依存するようになっています。多くの組織が責任を負い、コードにセキュリティ上の欠陥がないかスキャンするでしょうが、自信過剰な開発者がより信頼する姿勢を取ることも目の当たりにするでしょう。 AI が生成したコードは安全であると仮定します。
Forrester はまた、2024 年に ChatGPT を使用するアプリが PII の処理に対して罰金を科されるだろうと予測しています。 私たちは、OpenAI が規制当局から厳しい監視を受けている中で、規制当局が genAI に焦点を当てているのを見てきましたが、それには十分な理由があります。 ヨーロッパではすでにイタリアで OpenAI の捜査が進行中である一方、ポーランドの弁護士はいくつかの潜在的な GDPR 違反に対する新たな訴訟に取り組んでいます。 欧州データ保護委員会も、OpenAIのChatGPTに対する執行措置を調整するためのタスクフォースを立ち上げた。
問題は、OpenAI には規制当局から身を守るためのリソースがあるかもしれないが、ChatGPT 上で実行されている多くのサードパーティ アプリにはそれがないということです。 さらに、一部のアプリは、サードパーティの技術プロバイダーを通じてリスクを導入するものの、それらを軽減するために必要な財務的および技術的リソースが不足しているため、実際には OpenAI 自体よりもさらに大きな罰金のリスクを抱えています。 その後、企業が自社のリスクを増大させる可能性のあるアプリを特定し、サードパーティのリスク管理を強化する必要があります。
ゼロトラスト爆発と人的ミス
Forrester の予測によれば、2024 年には公共部門と民間部門でゼロトラストの役職が 2 倍になると予想されています。この記事の執筆時点で、LinkedIn には米国で 81 件、英国で 6 件のゼロトラストの役職が掲載されていました。シンガポールに1つ。 しかし、米国におけるゼロトラスト義務と大統領令の増加と、APACとEMEAでもついにゼロトラストが主流になりつつあることにより、ゼロトラストアーキテクチャ、エンジニアリング、ガバナンス、戦略、リーダーシップ。 その結果、今後 1 年間で各地域での役割の数が 2 倍になるだけでなく、オーストラリアやインドなどの国でもこれらの役割が出現し始めるでしょう。
また、2024 年のデータ侵害では人的エラーが重要な役割を果たすことになるでしょう。 従業員やユーザーが特権の悪用、盗まれた認証情報の使用、またはソーシャル エンジニアリングによって知らず知らずのうちにデータ侵害を引き起こしてしまう人的エラーは、セキュリティとリスクの専門家にとって常に課題であり、多くのグローバルおよびローカルの侵害に関する出版物がその原因を推定しています。違反の 74%。 しかし、Forrester は、主に genAI の台頭と、ソーシャル エンジニアリング攻撃をよりシンプルかつ迅速にするコミュニケーション チャネルの普及により、これが 2024 年にはデータ侵害の 90% に増加すると予測しています。 この増加は、人的侵害を軽減する特効薬としてよく宣伝されている、セキュリティ意識とトレーニングというものを明らかにすることになります。 したがって、2024 年には、セキュリティ リスク管理に人的リスクを追加しながら、より多くの CISO が適応的な人間の保護に移行し、行動の変化に対してデータ主導型のアプローチを採用することになるでしょう。
サイバー保険: ベンダーが重要
最後に、2024 年には、セキュリティ テクノロジー ベンダー 2 社が保険会社によって危険信号とみなされていると Forrester は予想しています。 長年にわたるデータ不足を経て、サイバー保険プロバイダーは現在、セキュリティ サービス、技術提携、保険金請求からの貴重な洞察を入手しており、保険金請求の審査と処理方法に影響を与え始めています。 実際、安全な実践と保険契約者が使用する特定のセキュリティ技術に関する処方箋が増える可能性があります。 特定のセキュリティ ソリューションを導入するだけではもはや十分ではありません。 保険会社がリスクがあると判断したベンダーを利用すると、保険料の値上げ、追加の検査、脆弱性管理の新たな要件が発生し、よりリスクの低いオプションを選択しない限り補償が拒否される可能性があります。
Alla Valente は Forrester のシニア アナリストです。 彼女はガバナンス、リスクとコンプライアンス、サードパーティのリスク管理、契約ライフサイクル管理、サプライチェーンリスクを専門としています。