我们采访了安永（EY）思略咨询公司的合伙人小川真毅先生，探讨了企业应如何应对 AI 带来的安全风险等问题。

图片来源：Eviart / Shutterstock

随着企业活动数字化的推进，利用 AI 的网络攻击威胁日益增大，人们对安全的关注度达到了前所未有的高度。在攻击手段自动化和高级化不断发展的背景下，作为防御方的企业应优先采取哪些措施呢？

我们采访了从业超过 25 年、现任 EY 思略咨询公司网络安全共同领导人小川真毅先生，请他谈谈 AI 带来的攻击变化、应对的具体防御策略，以及着眼于不久将来的最重要安全课题。

小川：我认为 AI 在安全领域的应用大致可分为三个阶段。

• 第一阶段是威胁检测。

  AI 分析海量日志和数据，早期发现网络攻击的迹象。它能捕捉到人力容易忽略的模式，从而提高效率和精度。

• 第二阶段是 AI 发现威胁后，自动推进打补丁等防御措施。

  由于无需人为干预即可执行对策，更容易控制损失。

• 第三阶段是安全运营整体的自动化与编排（Orchestration）。

  利用 SOAR（安全编排、自动化与响应）机制，AI 在威胁检测、对策研判与实施，乃至防火墙规则变更等方面提供全面支持。到了这个阶段，AI 不仅能检测，还能优化网络配置（如防火墙规则变更）、提示各种应对方案，全面支持整体运营。企业整体的安全运营由 AI 主导，人类则根据需要进行决策。

目前，许多企业大多处于第一或第二阶段。要进入第三阶段，面临着成本、基础设施复杂性以及与集团公司/供应链的协作等诸多待解决的课题，这是现实情况。

CIO Japan：在 AI 之间“攻击 vs 防御”日益高级化的过程中，人类最终应该扮演什么样的角色？

小川： 要想熟练运用 AI，“对 AI 的治理”是必不可少的。如果企业没有设立明确的指导方针和管理方法，AI 就有可能出现超出预期的行为风险。

此外，在网络安全领域，必然会伴随着停止系统等业务决策。是否停止受到攻击的系统，必须综合判断其对销售额等业务层面的影响。这本身就是企业的价值观和经营决策，因此我认为最终需要人类牢牢把握方向盘。

CIO Japan：从安全行业的角度看，未来 5 年、10 年最重要的课题是什么？

小川： 有好几个，但最大的课题是“量子计算”的实用化。据说一旦量子计算机全面应用，当前主流的加密方式可能会被轻易破解。

因此，必须推进后量子密码（Post-Quantum Cryptography, PQC） 的研究和引入等，尽早探讨对策。不过，从 5 年、10 年的时间跨度来看，包括 AI 在内的各种技术进步将持续影响网络安全。能否持续关注新风险并更新自身的安全体系，将是关键所在。

CIO Japan：您认为 AI 的兴起对企业和组织的网络攻击产生了哪些影响？

小川：首先，最大的影响是“降低了攻击者的门槛”。传统的网络攻击需要攻击者自身具备一定的知识和技能，并自主开发恶意软件等，需要一定程度的准备。但如果利用 AI，即使自己不学习，也可以让 AI 来构思攻击手法和攻击代码。我认为，威胁在于这使得“短时间内、高级别的攻击，变得任何人都能轻易实施”。

CIO Japan：在攻击门槛降低的情况下，企业首先应该采取哪些安全强化措施？

小川：与其说传统的网络安全框架发生了根本性的巨大变化，不如说“攻击者用 AI，防御方也要用 AI”这种思维方式变得尤为重要。关键在于引入 AI 来提升对策的高度化，需要在现有的安全措施基础上，增加使用 AI 进行检测和防御的机制。

CIO Japan：在利用 AI 进行网络攻击的检测和预防方面，您认为目前实用化程度如何？未来又将如何演进？

CIO Japan：从管理层到一线员工，如何才能持续地根植安全意识？

小川： 这并非一朝一夕之功，但反复的宣贯和培训非常重要。虽然经历一次大规模安全事件可能会让意识瞬间改变，但等待这种事情发生就本末倒置了。需要日常持续进行教育和训练，并下功夫让员工将其视为“自己的事”。

此外，CISO（首席信息安全官）等统管网络风险的职位或组织与经营层保持密切协作也很重要。如果驱动业务的部门（事业部门）将 IT 部门或安全部门视为“他人之事”，就容易在发布服务或产品时将安全风险置后。

理想状态是，渗透“安全是经营课题之一”的认识，让现场管理人员能够用自己的语言向团队解释“为什么网络安全是必要的”。

CIO Japan：最后，对于安全部门和事业部门想法出现分歧的现状，应该如何改善？

小川：IT 部门或安全部门要完全掌握所有情况已经变得很困难。正因为现在是事业部门可以自行签约云服务、绕过公司 IT 推动业务的时代，所以整备“必须遵守的最低限度规则和指导方针”，并确保其得到彻底执行，是不可或缺的。

明确指出“这一点必须遵守”的底线，并由经营层将其重要性作为信息传达出去，这是将安全风险最小化的第一步。即便无法阻止使用便捷的外部服务，但明确企业应如何进行管控、必须坚守什么，就能更容易地防止现场的失控和意料之外的风险。

睿观：

EY 专家小川真毅指出，AI 降低了网络攻击门槛，企业应“以 AI 对抗 AI”，推进检测、响应自动化。同时，必须建立 AI 治理体系，由人类做出关键业务决策，并关注量子计算等未来风险。将安全视为经营核心，通过持续教育、高层协作及建立最低规则，方能有效应对 AI 时代的威胁。

金句：

AI 攻防战中，技术是利剑，治理是盾牌，而人类的智慧决策，永远是最终的胜负手。