AIを悪用したサイバー攻撃が急増している。IBMの調査では、外部からアクセス可能なソフトウェアやアプリケーションを狙う攻撃がこの1年で44％増えた。Accentureの調査でも、企業の77％がデータとAIを守るための基本的なセキュリティ体制を整備できていない実態が明らかになっており、企業の経営陣に対応の見直しを求める声が強まっている。

Harvard Business Review電子版が7日（現地時間）、IBMの調査を基に報じたところによると、増加した攻撃の多くはAIを使った脆弱性悪用に関連していた。標的は、外部に公開されたソフトウェアやシステム、アプリケーションに集中しているという。

AI関連のデータ侵害に伴う平均コストは488万ドルに上る。Accentureの調査では、中核的な技術インフラを守るうえで必要となるデータ・AIセキュリティの基本対策について、企業の77％が未整備だったことが分かった。

こうした状況を受け、退役軍人でハーバード・ビジネス・スクール（HBS）の技術・運用管理分野で講師を務めるハイズ・O・ギブソン氏は、「従来の経営危機対応フレームワークであるVUCA（変動性、不確実性、複雑性、曖昧性）は、AI時代にはもはや十分に機能しない」と指摘した。代わりに必要なのは、BANI（脆弱性、不安、非線形性、理解不能性）の環境に適応した新たなリーダーシップだと説明している。

ギブソン氏によると、AIを悪用した攻撃は予測可能なパターンに従わず、人間の対応速度を上回る速さで拡散し、前兆なく発生する。このため、こうした脅威に対処するリーダーシップの枠組みとしてACTSが必要だという。

ACTSの柱として同氏が挙げるのは、侵害の発生を前提に備える「Assume」、あらゆるリーダー層でAIへの理解を深める「Cultivate」、AI投資を中核事業と結び付ける「Tie」、ガバナンスを強化する「Strengthen」の4点だ。

事例としては、2017年のNotPetyaによる攻撃でFedExが事前訓練によって被害を最小限に抑えた一方、2023年のMGM Resortsは、10分間の電話をきっかかけにした詐欺からランサムウェア被害に発展し、約1億ドル（約150億円）の売上損失を被った。ギブソン氏は、こうした差は技術の優劣ではなく、リーダーシップの備えの差に起因すると指摘した。