米調査会社Forresterは新技術に慎重なスタンスを取る企業だが、創業者でCEOのGeorge Colony（ジョージ・コロニー）氏が伝統を破り、生成AIについては過去数十年で最も重要な技術的変化だとして、企業等の迅速な行動を促した。今月中旬に開催した「Security and Risk」の基調講演で語った。

「Forresterでは、新しい技術が登場した場合、クライアントに少し待つように言うのが常です」と氏。「ですが、今朝のこの場では、皆様のために慣例を破り、生成AIについては待っていてはならないと申し上げます…（中略）…今すぐ行動しなくてはなりません。今がその時です」

Colony氏の指摘によると、大きな技術的変化はたいてい予測できない「雷雨」のように起こり、ユーザーインターフェースの変化が引き金となることが多いという。生成AIはこうした条件全てに当てはまっている。

バイスプレジデント兼プリンシパル・アナリストのJeff Pollard（ジェフ・ポラード）氏の基調講演でも、生成AIはメタバースとは異なり、多額の資金調達や大規模なベータテスト、企業の設立や統合といった要素を全て備えるとともに、膨大なデータ量、熟練した技術者、十分な計算能力といった付随的な要素についても満たしていると語られた。

生成AIによる、Web、Google検索、現在の「信頼性」の終焉

Colony氏とプリンシパル・アナリストのAllie Mellen（アリー・メレン）氏が、生成AIの定義について考えを共有した。

「概してAIとは、人が大量のデータを相手に会話をし、そこから何か新しく独創的なものを生み出すことを可能にする技術です」とColony氏。

「生成AIとは、究極的には、次の単語を予測する、非常に効果的な予測モデル、あるいは確率モデルです。それよりもよく言われるのは、トークンの配列（を扱う）ということです。こうした処理を実に得意としており、非常に複雑な配列に対してとりわけ有効です」とMellen氏。コンテンツ作成、明瞭な言語表現とチャットボット、将来の行動予測などの機能を提供しているとした。

Colony氏は、生成AIがもたらす影響について、「非常に控えめな」予測を紹介している――World Wide Web、Google検索や従来型のWeb検索が終焉を迎え、信頼性ということが再び地位を回復し、重視され、信頼への再帰が起こるという。

また、聴衆に対して、生成AIに多額の投資を行い、2024年までに少なくとも10のプロジェクトを走らせ、有望な実務での利用形態を1つは試し、集合知や経営陣の理解を深めていくように勧めた。

企業、セキュリティチーム、サイバー攻撃者向けのユースケース

Pollard氏とMellen氏は、「Adapt And Adopt: Balance The Acute Risk With The Burgeoning Reward Of AI」（適用と導入:AIの深刻なリスクを、急拡大し始めた効果で相殺）と題した基調講演で、生成AIにまつわる神話のいくつかを誤りとしながら、企業、セキュリティチーム、サイバー攻撃者向けのユースケースをいくつか挙げた。

ユースケース1. 企業が最も早く生成AIを導入、監視が必要
Colony氏の見解では、オープンソースの大規模言語モデル（LLM）を利用して基盤モデルを構築する企業は（コストが高く複雑であることから）少数にとどまり、ほとんどの企業は大手テック企業による既製のモデルを利用するという。

企業による生成AIの実装では、OpenAI、Azure OpenAI、Amazon Bedrock（Titan）、Google Vertex AI（Bison）、Hugging FaceやCohere等のAPIを介して、こうした既成モデルと対話することに重点が置かれると考えられる。ゼロからモデルを構築するよりも低コストで済むためだ。

生成AIを利用する企業は、ほとんどがこうしたモデルをベースにアプリケーションを構築し、自社の具体的なニーズに合わせて微調整（ファインチューニング）をすると考えられており、そうしたアプリケーションはすでにマーケットプレイスやアプリストアで一般的になりつつある。例として、Microsoft Copilot、Google Workspaces、Jasper.AI、Yextなどがある。

「基盤モデルのセキュリティ確保を考える必要が出てくる企業はほとんどないでしょう」とPollard氏。「それよりも多くの企業で、モデルとの統合に伴うAPIセキュリティに関する影響に対処する必要が発生します。そして、どの企業でもモデルをベースとしたアプリケーションの構築やファインチューニングに対応しなくてはならなくなるでしょう」

ユースケース2. 企業に続いてセキュリティチームが生成AIを採用（ベンダー次第）
Mellen氏は、世のセキュリティチームの間で、セキュリティツール内での生成AI利用に高い関心があることが分かったという。「新技術をめぐって、これほど興奮と関心が高まっているのを見たことがありません」

「私たちは、生成AIがそのような形で人々の役に立ち、人々が利用し、メリットを享受できるものとなることを心から願っています。とはいえ、生成AIに伴うリスクには注意を払い、認識しておく必要があります」

Mellen氏によると、よくある誤解として、生成AIが初級レベルのセキュリティアナリストのスキル向上に役立つというものがあるという。幼児にハサミを与えるようなもので、初級レベルの人材は、適切な訓練を受け、サイバーセキュリティの基本原則を理解することなしに、生成AIを安全かつ効果的に使うことはできないかもしれない。

「結局のところ、生成AIやセキュリティツールは、経験豊富な上級レベルの人々にとっては非常に有用なものになるでしょう。環境で何が起こっているかを検証し、迅速に対応するのに役立つツールを求めてやまなかった人々です」と氏。

氏によると、セキュリティ分野での生成AI利用については、意味のあるコンテキストを提供してセキュリティ運用を強化する必要があり、チャットボットは最良のユースケースにはならないという。

氏は同社のワークフローに生成AIツールを自然な形で統合する必要性について触れた。セキュリティ領域では、「SOC（セキュリティオペレーションセンター）のアナリストたちが求めているのは、対話機能ではなく利便性です」と語った。

ユースケース3. サイバー攻撃者（による導入）が最も遅れる（国家を除く）
他に広まっている誤解として、サイバー攻撃者が生成AIを広範に利用しているというものがある、とMellen氏。「攻撃者は、国家を除けば、試験的なAI導入を行うのは最後になるでしょう。その必要がないためです。攻撃者たちは現状でも十分な成果を上げています」

国家には豊富なリソースがあり、生成AIを利用することが予想される。Mellen氏はその他のサイバー犯罪者について、現在のところ多くの人が想定しているような、ハッキングやマルウェア作成への利用がされていない理由を3つ挙げた。

1. サイバー犯罪者になるのは想像以上に難しいことであり、生成AIがこの現実的な困難を簡単なものにすることはない。
2. 技術的な観点から見て、ハッキングに生成AIを利用するには、遂行する上で大きな障害が複数ある。
3. 壊れていないなら、直さなくてよい。複数のレポートでデータ侵害の件数およびコストの増加が示されているように、サイバー犯罪者たちはすでに自由に使える効果的な手段を持っている。

一方、サイバー犯罪者が生成AIを使用する可能性のある分野についても指摘した。フィッシング、GPTを悪用したマルウェアのコーディング、ディープフェイク、標的の情報収集等がある。

Forrester debunks generative AI myths and offers 3 use cases