生成AIやAI PC、Windows 10 EOS、NEXT GIGA などのビジネスチャンスが集結

ダイワボウ情報システム（DIS）が主催する総合展示会「DIS ICT EXPO」の2024年度は大阪を皮切りに岡山、札幌、福井、仙台と全国を回り、2月14日に締めくくりとなるイベントが名古屋駅前にあるウインクあいちで開催された。ビジネスでの活用が拡大する生成AI関連をはじめ、新しいPCのカテゴリーであるAI PCと、そのクラスの一つであるCopilot+ PCなど、これからのビジネスチャンスが期待できる製品やソリューションが数多く出展された。ここではDIS ICT EXPO in 名古屋の会場から注目のセミナーと製品を紹介する。

　ChatGPTが公開されてから2年以上、マイクロソフトのCopilotがリリースされてから1年以上が経過し、生成AIを活用して成果を得ている企業が増えている。その一方で生成AIの活用は必要と分かりつつ、どのような業務でどのように活用すべきかが分からず、具体的な取り組みが進んでいない企業も少なくない。

　こうした悩みを持つ企業に対してDISの販売推進本部 クラウド・アプリケーション販売推進部 部長 塚本小都氏と、DISの販売推進本部 クラウド・アプリケーション販売推進部 ライセンスセンター 係長 坂本 旬氏の二人が登壇し、営業職の1日の業務でのMicrosoft 365 Copilot（以下、Copilot）の具体的な活用方法を示しながら顧客への提案をアドバイスした。

　まず塚本氏は生成AIの基礎知識として進化の過程と現状について解説した。ChatGPTが公開された当初は入力したテキストから、質問の回答やプログラムのコードをテキストで生成したり、絵や写真などを生成したりしていたが、その後は絵や写真、音声などが入力できるようになり、さらに現在は映像や画面をユーザーとAIが一緒に見ながら、対話できるまでに進化していると説明した。例えばゲームの画面を見てリアルタイムでAIが攻略法を教えてくれたり、AIが会議に参加して意見やアドバイス、分析などをリアルタイムで提示してくれたりする。

　こうした進化は生成AIサービスに反映され、Copilotにおいても追加料金を支払うことなく進化したAIを利用できるメリットがある。そして塚本氏は「オンプレミスのパッケージアプリケーションでは業務がどのくらい効率化できてコストがどのくらい削減できるなどの効果が予測可能です。それに対して生成AIは導入後に活用すればするほど効果を伸ばすことができます。導入して終わりではなく、導入後の活用を増やすことが重要です」とアドバイスした。

　日々の業務で生成AIをどのように活用すれば効果を引き出せるのかについて、DISの坂本氏が同社の営業職の1日の業務を例に挙げて解説した。

　坂本氏は「とにかくなんでもCopilotと話すことが大切です。またCopilotが作ったものに対して、さらに要望を伝えてブラッシュアップする対話も重要です。Copilotは使えば使うほど効果が上がります」と説明した。

　最後にCopilotの導入コストについて顧客への説明の仕方をアドバイスした。Microsoft 365 CopilotはMicrosoft 365に追加導入となるため、Microsoft 365の利用料金に1ユーザー当たり年間5万4,000円の追加負担が必要となる。

　塚本氏は「追加負担は1日約230円となり、1週間で残業が30分減れば投資額を回収できます（残業代の時給を2,000〜3,000円とした場合）」と説明した。

　そして「現在、会社にスマートフォンを導入する際に、その投資効果を問う人はいません。なぜなら必須だからです。生成AIもすぐにそのようになります」と強調した。

　登壇した西尾素己氏は小学生より独学でホワイトハッカーの活動を開始し、14歳でドイツベルリンを拠点とするハッカー集団の老舗「Chaos Computer Club e.V.」に加入して年間200件ほどの脆弱性を発見、19歳で情報セキュリティ国際会議に最年少で登壇するなどサイバーセキュリティにおいて幼少の頃よりグローバルで活躍している。

　そして2016年、20歳でデロイトトーマツコンサルティングにシニアコンサルタントとして入社し、現在は東京大学先端科学技術研究センターで客員研究員を、多摩大学ルール形成戦略研究所で客員教授を務めている。

　講演の冒頭に西尾氏は「最近はAIが注目されていますが、そのAIとサイバーセキュリティを組み合わせて、例えば会社名を入力してクリックするだけでAIが自動的にサイバー攻撃を実行する、このような話を聞いて皆さんはどう思いますか。実は5年から7年前に、すでに技術的に可能でした」と話した。

　しかしAIを利用したサイバー攻撃の脅威はこの程度ではないと指摘する。そしてサイバー攻撃の一連の過程を指す概念であるキルチェーンを示し、AIを利用して攻撃を高度化していることを説明した。

　例えば攻撃者は攻撃対象がどのようなアプリケーションを使っているのかを調べ、そのアプリケーションの脆弱性を探して攻撃ツールを作る武器化にAIが利用されているそうだ。アプリケーションのプログラムのコードは難読化するなど解析されないように工夫されているため、それを解析して脆弱性を探し出すのは高度なスキルと労力、時間が必要となる。しかしAIを利用すると短時間で脆弱性を特定できる。

　さらに脆弱性が発見されると開発者はパッチプログラムを公開して対処するが、攻撃者は公開されたパッチプログラムをAI で解析して脆弱性を短時間で把握し、攻撃に利用するという。西尾氏は「パッチプログラムが公開されてからどのくらいの期間で適用していますか。ユーザーが適用するまでの間を狙って攻撃してきますので、緊急性の高いパッチプログラムはできる限り早く適用すべきです」とアドバイスする。

　前述の武器化にAIを利用することでプログラムの脆弱性を探す作業が非常に低コストでできるようになった。その結果、脆弱性の情報の価値が暴落しているという。脆弱性の情報をメーカーが買い取るグレーマーケットがあり、例えば年間10件から15件の脆弱性を見つけて15億円で販売するケースが以前はあった。しかし現在、その価値は数分の一と大幅に下がっている。その原因について西尾氏は次のように解説した。

「これは需要と供給のバランスが崩れた結果であり、需要が減るわけはなく、AIを利用したことで脆弱性が容易に見つけられるようになり、供給が過多になっているのです。これまでは規模の大きな企業や組織が狙われがちでしたが、これからはゼロデイをばらまいて収益を得るビジネスモデルに変わっていきます。ですから中小企業もゼロデイ対策が必須なのです」

　続けてパッチマネジメントの世界も大きく変わると指摘する。パッチプログラムが公開されると攻撃者はAIを利用して解析し、数時間から数日で攻撃用のコードを作成して攻撃する。西尾氏は「公開されたパッチプログラムを迅速に適用するだけではなく、ゼロデイ対策を講じていなければ太刀打ちできない状況になっています」と警告する。

　続いてユーザーが利用しているAIへの攻撃について説明した。ある企業から脆弱性の調査を依頼され、西尾氏はRPAツールを通じて生成AIにプロンプトを入力することで、その企業の経営データ 140GBほどをSaaSのストレージにコピーできたという。しかも経営データが外部ストレージに不正にコピーされたことを、その企業は気付かなかった。

　西尾氏は「このケースでは大量かつ大容量のファイルが外部にコピーされているにもかかわらず、それを検出できなかったことも問題です。これはEDRやXDRが導入されていなかったことが原因です。また利用中の生成AIを乗っ取ることも可能ですので、生成AIの導入、活用の際にはセキュリティの見直し、強化は必須だと認識してください」と強調した。

　最後に西尾氏はセキュリティ対策の投資に関して「安全なエンドポイントデバイスから安全なSaaSを利用する環境を実現すべきです。FedRAMPなどを取得したクラウドサービスであればインフラへの攻撃は基本的にサービス提供者の責任となります。そして重要なプロセスを仮想化することでサイバー攻撃から保護して感染拡大を防げます。さらにPCのファームウェアも攻撃対象となっており、セキュアなデバイスも不可欠です」と説明し、SaaSやネットワーク、認証などに対して「5」、OSやローカルアプリケーションに対して「2」、そしてPCに対して「3」の割合でセキュリティ投資をすべきだとアドバイスした。