AIをうまく使うには、あえて使わない場面も必要？

仕事を効率よく進めるには、適切なツールを使うことが欠かせません。

自宅でDIYをする方なら、道具ひとつで作業のしやすさが大きく変わることをご存じでしょう。道具を間違えると、さっと終わるはずの作業も一気にやっかいになります。

サイバーセキュリティの世界で38年以上働いてきた経験から言えば、これは組織のセキュリティ対策にもそのまま当てはまります。これにもう1つ付け加えるとすれば、「まずはより単純で高速なものから使うべきだ」ということです。単純な仕組みのほうが、多くのものをまとめてブロックする処理は高速に行えます。より高度なツールは細かなところで威力を発揮しますが、その分処理は遅くなります。ですから、防御やブロックはまず高速で単純なツールから始め、そこからより高度なツールへと段階的に移行していくべきなのです。

たとえば、ネットワークセキュリティ境界を設計する場合です。私はここでも、まずは「単純で高速なツール」を優先して使うべきだと考えています。

つまり、もし物理的な仕組みで大量の不正トラフィックをまとめて遮断できるなら、最初にそれを導入します。次に、ルーターで経路を定義し、ブロックできる不正トラフィックを可能な限りここで落とします。ルーターで、どこまでを内部セキュリティドメインとみなすのかを決め、必要に応じて別のドメインも構成していきます。

これらを行ったうえで、初めてデフォルト拒否ルールを持つファイアウォールを使います。ファイアウォールは、ルーターを通過してきたトラフィックだけを検査し、アプリケーションレベルのコマンドやデータの異常をブロックします。

最後の段階で、アプリケーションそのものがトラフィックやコマンドを検査し、不適切な入力を取り除き、分離されたIDアカウントやACLを使って、アプリケーションをさらに堅牢にします。その先にはログ記録と担当者の確認が続き、最終的な対処につながります。

各フェーズごとに、より単純で高速なデバイスができる限り多くの「ノイズ」を振るい落とします。より高度で処理の重いデバイスには、可能な限り少ない仕事だけを回すようにしたいのです。

これはAIにもそのまま当てはまります。

先日、KnowBe4でエージェンティックAI製品の開発に日々取り組んでいるエンジニアや開発者と話す機会がありました。彼らが、AIの利用やレスポンスをできるだけ高速にするための戦略を共有してくれたので、その内容をここで紹介させていただきます。

AIを効率よく使うには

IF-THEN文と決定的アルゴリズムを用いたアプリケーションは、単純で高速です。AIは非決定的で、より高度である一方、処理は遅くなります。両者は、それぞれふさわしい場面で使い分けるべきものです。

多くの場合、まずは従来型のプログラムで受信リクエストを処理し、そのプログラムだけではうまく扱えないものだけをAIに渡すほうが理にかなっています。そして、それでも対応できないものを人に回します。

AIが顧客の問題や要望に十分に応えられない場合には、人間が直接話を聞けるようにすべきです。少なくとも現時点では、最終判断は人間が行うべきでしょう。

AIの効率性の話に戻りましょう。

複数のAIスタック、つまり自社で保有するローカルAIやAIエージェントを持っているのであれば、まずはそれらを優先して使うべきです。そのうえで、必要に応じてベンダーが提供するスタック（MicrosoftやAppleなど）を使い、それでも足りない場合にだけ、大規模なクラウドAIベンダー（Anthropic、OpenAIなど）に処理を渡します。まずは高速なローカルAIを使い、必要になったときだけ、外部のAIへと処理を段階的に回していくのが理想的です。

KnowBe4の開発チームは、最初からこの発想で取り組んできました。必要な場所に、必要なツールを使う。AIが適切な領域ではAIを使い、単に「AIを使っている」と言うためだけにAIを使うことはしません。要は、適材適所でツールを選んでいるということです。

KnowBe4のAI

KnowBe4は、AIを10年以上にわたって率先して活用してきました。KnowBe4のAI機能やAIエージェントを活用している企業は、そうでない企業と比べてサイバーリスクを大きく低減できています。

たとえば、Artificial Intelligence Defense Agents（AIDA）を使ってフィッシング訓練を運用しているお客様は、管理者がテンプレートを選んだ場合と比べて、テストで不正なクリックをしてしまったユーザーに対して、2〜3倍の頻度で教育の機会を提供できています。これは、ソーシャルエンジニアリング対策の教育が増えることを意味しており、実際のサイバーリスクの低減につながります。

AIDAは、製品の運用面でもお客様を支援します。たとえば、AIDAを使うことで、自社や特定の従業員向けにパーソナライズしたフィッシングテンプレートを簡単に作成できます。不正クリックをしたユーザーへの是正トレーニングもスムーズに配信でき、自社のポリシーに基づいてAIDAが生成するKnowledge Refresherやポリシークイズも、従業員に提供しやすくなります。

私たちが提供するあらゆる製品とサービスは、AIエージェントによって機能が強化されているか、あるいは最初からAIエージェントとして設計されつつあります。KnowBe4が目指すのは、人とそのAIエージェントの両方を適切に管理することで、人に起因するリスクをよりよくコントロールし、組織全体を保護できるよう支援することです。

同時に、すべての機能や改善にAIが必要なわけではないことも理解しています。これはお客様からも繰り返し聞いていることです。

最近の顧客調査では、「AIを使っているかどうか」は優先順位としてかなり低く評価されていました。一方で、AIによって本当にサイバーリスクを減らせる新機能や改善が提供されるのであれば、ぜひ使いたいという声が上位に挙がっています。

KnowBe4は、この点をよく理解しています。AIを使うべきところではAIを使い、従来の仕組みが適している領域では、あえてAIに頼らない従来型の製品を活用します。両者の長所を組み合わせることで、最大限のサイバーリスク低減を実現していきます。

私たちは、組織全体を保護するためのAIエージェントを、これまでも多く作ってきましたし、今後も増やしていきます。人だけでなく、人が利用するエージェントも含めて環境全体を守るためのものです。創業以来、人を守ることに注力してきましたが、これからは人が使うエージェントも守ります。そして、精度とスピードの両方を最大限に高める効率的な方法で、サイバーセキュリティリスクの低減を後押ししていきます。