studioglobal
トレンドを発見する
答え公開済み6 ソース

خطة 90 يوماً لمواجهة هجمات الذكاء الاصطناعي: قرارات عاجلة للرئيس التنفيذي ومجلس الإدارة

ينبغي للرئيس التنفيذي ومجلس الإدارة التعامل مع هجمات الذكاء الاصطناعي كخطر على استمرارية الأعمال، لا كملف تقني محصور في قسم الأمن. الأولوية خلال أول 90 يوماً هي تحديد العمليات الحرجة، وقياس زمن التعافي الفعلي، وربط صلاحيات كبير مسؤولي أمن المعلومات بقرارات الإدارة، ووضع قواعد واضحة لاستخدام الذكاء الاصطناعي والبيانا...

Studio Global AIで検索して事実確認Discover からさらに閲覧する
5.1K0
AIサイバーリスクのダッシュボードを前に対策を検討するCEOと取締役会のイメージ
AIサイバー攻撃に備えるCEOと取締役会の90日計画AI時代のサイバー対策は、検知・封じ込め・復旧までを取締役会で管理する経営課題になっている。
AI プロンプト

Create a landscape editorial hero image for this Studio Global article: AIサイバー攻撃に備えるCEOと取締役会の90日計画. Article summary: CEOと取締役会の答えは、AI攻撃をIT部門だけの課題にせず、90日で取締役会KPI・復旧演習・AI利用統制まで入れ替えることです。WEFの2025年見通しでは72%がサイバーリスク増加、約47%が生成AIによる攻撃者側の進化を主要懸念に挙げており、完全防御より検知・封じ込め・復旧の実効性が要点です[6][1]。. Topic tags: ai, cybersecurity, ai governance, ciso, risk management. Reference image context from search candidates: Reference image 1: visual subject "### インサイト さまざまな業界・テーマに関する、EYの最新の論考、レポートや事例を幅広くご紹介します。 ≫ サイトマップへ #### トピックス #### 経営層の優先課題 CEOアジェンダ CFOアジェンダ CEOアジェンダ 未来が更新され続ける時代、CEOはいかに企業を再構築するのか 2026年3月9日 地政学戦略 2026年に" source context "AIによる価値創出を加速するために、サイバーセキュリティはどう進化すべきか? | EY Japan" Reference image 2: visual subject "### インサイト さまざまな業界・テーマに関する、EYの最新の論考、レポートや事例を幅広くご紹介します。 ≫ サイトマップへ #### トピックス #### 経営層の優先課題 CEOアジェンダ CFOアジェンダ CEOアジェンダ 未来が更新され続ける時代、CEOはいかに企業を再構築するのか 2026年3月9日 地政学戦略 2026年に" source context "取締役会が確信を持ってA

openai.com

الهجمات السيبرانية المدعومة بالذكاء الاصطناعي لا تعني أن الشركات فقدت القدرة على الدفاع. لكنها تعني أن طريقة الإدارة القديمة لم تعد كافية: تقرير فني كل فترة، ميزانية أدوات، ثم انتظار أن يتولى فريق الأمن الباقي. المركز الوطني للأمن السيبراني في المملكة المتحدة، المعروف اختصاراً بـ NCSC، يصف الخطر السيبراني بأنه لم يعد مسألة تقنية فقط، بل أولوية لمجلس الإدارة لأنه قد يوقف العمليات، ويضر السمعة، ويؤدي إلى تبعات مالية وقانونية جسيمة[1].

الصورة الأوسع تؤكد ذلك. في تقرير Global Cybersecurity Outlook 2025 الصادر عن المنتدى الاقتصادي العالمي، قالت 72% من المؤسسات المشاركة إن مخاطرها السيبرانية زادت، بينما أشارت نحو 47% إلى أن تطور المهاجمين باستخدام الذكاء الاصطناعي التوليدي هو أحد أكبر مصادر القلق[6]. لذلك، لم يعد السؤال العملي: هل نستطيع منع كل اختراق؟ بل: إذا وقع الاختراق، هل نستطيع اكتشافه سريعاً، واحتواءه، ومواصلة الخدمات الأساسية، ثم شرح ما حدث للعملاء والجهات التنظيمية والسوق؟

القاعدة الأولى: لا حصانة كاملة، بل مرونة قابلة للاختبار

في بيئة يستخدم فيها المهاجمون الأتمتة والذكاء الاصطناعي، تصبح المرونة السيبرانية مسألة قيادة لا مسألة برمجيات فقط. يعرّف NCSC المرونة السيبرانية المطلوبة من القادة بأنها قدرة استراتيجية على الاستعداد للهجمات، والاستجابة لها، والتعافي منها[1]. كما يدعو إلى التركيز على ما يمكن التحكم به في الدفاع السيبراني، مع الاستعداد أيضاً لما لا يمكن التحكم به[3].

هذا التحول مهم للرئيس التنفيذي ومجلس الإدارة. فالنقاش لا يجب أن يغرق في تفاصيل الجدران النارية أو أسماء الأدوات، بل في أثر التوقف على الإيرادات، وخدمة العملاء، والامتثال، والسيولة، والسمعة. ما العمليات التي إذا توقفت لعدة ساعات ستتحول إلى أزمة؟ ما أقصى زمن توقف يمكن احتماله لكل عملية؟ وما الزمن الحقيقي للتعافي إذا اختُبرت النسخ الاحتياطية والفرق والإجراءات؟ هذه أسئلة مجلس الإدارة قبل أن تكون أسئلة فريق الأمن[1][3].

7 قرارات إدارية يجب حسمها خلال 90 يوماً

1. اجعلوا الخطر السيبراني بنداً دائماً في مجلس الإدارة

لا يكفي أن يظهر الأمن السيبراني في المجلس عند وقوع حادث أو قرب اعتماد الميزانية. يجب أن يصبح جزءاً ثابتاً من إدارة المخاطر. NCSC يربط الحوادث السيبرانية مباشرة بتعطل العمليات، وتضرر السمعة، والتبعات المالية والقانونية[1]. كما أن إفصاحات الشركات حول إشراف مجالس الإدارة على الذكاء الاصطناعي والأمن السيبراني أصبحت أكثر شيوعاً وتفصيلاً، وفق ما رُصد في عام 2025[4].

ما يجب أن يراه المجلس ليس عدد الأدوات أو طول تقرير الثغرات فقط. المؤشرات الأهم هي: العمليات الحرجة المعرضة للتوقف، الثغرات عالية الخطورة غير المعالجة، الحسابات ذات الصلاحيات الواسعة، زمن الاكتشاف والاحتواء والتعافي، ومدى ضبط استخدام الذكاء الاصطناعي داخل المؤسسة[1][5]. ويطرح المنتدى الاقتصادي العالمي سؤالاً جوهرياً على القيادات: هل حُدد مستوى تقبل المخاطر المرتبط بتقنيات الذكاء الاصطناعي بوضوح؟[6]

2. اربطوا الأمن باستمرارية الأعمال بالأرقام

المجلس لا يستطيع إدارة ما لا يُقاس. لذلك يجب تحديد العمليات الحيوية، مثل المدفوعات، خدمة العملاء، سلاسل التوريد، المنصات الرقمية، الامتثال، أو الإنتاج، بحسب طبيعة كل شركة. لكل عملية يجب معرفة ثلاثة أرقام: أقصى زمن توقف مقبول، زمن التعافي المستهدف، والزمن الحقيقي الذي أثبتته الاختبارات[1][3].

وجود نسخة احتياطية لا يعني أن الشركة قادرة على التعافي. السؤال الأدق: هل النسخة معزولة عن بيئة الإنتاج؟ هل جرى اختبار استعادتها فعلاً؟ كم ساعة أو يوماً تحتاج العودة إلى مستوى خدمة مقبول؟ هذه النقاط تجسد فكرة NCSC حول الاستعداد لما لا تستطيع المؤسسة التحكم به بالكامل[3].

3. استخدموا الذكاء الاصطناعي في الدفاع، لكن لا تقيسوه بعدد الأدوات

إذا كان المهاجمون يستخدمون الذكاء الاصطناعي لتسريع الخداع، وتحليل الأهداف، وتوسيع نطاق الهجمات، فمن المنطقي أن تستخدمه المؤسسات أيضاً في المراقبة، وفرز التنبيهات، وترتيب الأولويات، ودعم التحقيقات. لكن إدخال الذكاء الاصطناعي في الدفاع يجب أن يخضع لإدارة مخاطر واضحة. المنتدى الاقتصادي العالمي يدعو كبار مالكي المخاطر إلى تقييم الثغرات التي قد تنشأ من تبني الذكاء الاصطناعي، وفهم أثرها على الأعمال، وتحديد الضوابط المطلوبة، وموازنة المخاطر المتبقية مع الفوائد المتوقعة[5][6].

لذلك لا ينبغي أن يسأل المجلس: هل اشترينا منصة ذكاء اصطناعي؟ بل: هل انخفض زمن الاكتشاف؟ هل أصبح الاحتواء أسرع؟ هل قلت الإنذارات الكاذبة أو أصبحت قابلة للإدارة؟ هل توجد سجلات تدقيق ومسؤوليات واضحة واستثناءات موثقة؟[1][5]

4. اضبطوا استخدام الذكاء الاصطناعي داخل الشركة والبيانات التي تغذيه

الخطر لا يأتي من ذكاء اصطناعي يستخدمه المهاجمون فقط. استخدام الشركة نفسها للذكاء الاصطناعي قد يخلق مخاطر تسرب بيانات، أو صلاحيات زائدة، أو قرارات غير قابلة للمراجعة، أو اعتماداً على مخرجات غير دقيقة. منهج المنتدى الاقتصادي العالمي يدعو إلى تقييم نقاط الضعف التي يخلقها تبني الذكاء الاصطناعي، وأثرها على الأعمال، والضوابط المطلوبة، والمخاطر المتبقية[5].

كما تؤكد ورقة معلومات سيبرانية مشتركة منشورة عبر موقع دفاعي أميركي أن حماية البيانات المستخدمة في أنظمة الذكاء الاصطناعي وتعلم الآلة ضرورية لضمان دقة المخرجات وسلامتها[2]. لذلك ينبغي للمجلس أن يطلب قواعد مكتوبة حول: أدوات الذكاء الاصطناعي المسموح بها، شروط إدخال المعلومات الحساسة، صلاحيات الوصول إلى بيانات التدريب، والمطالبات، والسجلات، وقواعد البيانات الشعاعية، وبيانات RAG، وأوزان النماذج[2][5].

5. امنحوا كبير مسؤولي أمن المعلومات سلطة حقيقية لا مسؤولية رمزية

إذا كان كبير مسؤولي أمن المعلومات، أو CISO، مسؤولاً عن الخطر لكنه لا يملك صلاحية إيقاف استثناء خطير أو طلب معالجة عاجلة أو مراجعة مشروع ذكاء اصطناعي، فالمؤسسة تضعه في موقع اللوم لا موقع القيادة. طالما أن NCSC يعد الخطر السيبراني أولوية لمجلس الإدارة، فيجب أن يستطيع CISO رفع المخاطر التجارية إلى الإدارة مباشرة لا أن يبقى محصوراً في طبقة تقنية[1].

على المجلس أن يتحقق من وجود صلاحيات واضحة لـ CISO: مراجعة مشروعات الذكاء الاصطناعي قبل إطلاقها، الاعتراض على استثناءات خطرة، إلزام وحدات الأعمال بمعالجة الثغرات الحرجة، والمشاركة في تقييم مخاطر الموردين. وهذا ينسجم مع منهج إدارة مخاطر الذكاء الاصطناعي السيبرانية الذي يركز على الضوابط والمخاطر المتبقية على مستوى الإدارة العليا[5].

6. راجعوا الاعتماد على الموردين والسحابة حتى مستوى العقود

الاختراق قد لا يبدأ من أنظمة الشركة نفسها. قد يأتي من منصة SaaS، أو مزود خدمات مُدارة، أو بيئة سحابية، أو شركة تطوير، أو معالج بيانات، أو شركة تابعة. NCSC يشير إلى أهمية رفع المرونة عبر سلاسل الإمداد، لا داخل حدود المؤسسة فقط[3].

العقود مع الموردين المهمين يجب أن تجيب عن أسئلة عملية: ما متطلبات المصادقة؟ ما السجلات التي يلتزم المورد بتوفيرها؟ خلال كم ساعة يجب إخطار الشركة بحادث؟ ما سياسة المورد لاستخدام الذكاء الاصطناعي؟ كيف تُحمى البيانات؟ ما التزامه بالمساعدة عند التعافي؟ كلما تأخر الإخطار أو غابت السجلات، تأخر قرار الاحتواء والتعافي[3][5].

7. غيّروا مؤشرات مجلس الإدارة من عدد الحوادث إلى القدرة على التعافي

عدد الحوادث وحده قد يكون مؤشراً مضللاً. فقد يزيد العدد لأن الرصد تحسن، أو يقل لأن الشركة لا ترى ما يحدث. المؤشرات الأكثر فائدة لمجلس الإدارة هي تلك التي تقيس سرعة اكتشاف الضرر، واحتوائه، واستعادة العمليات، وإغلاق الثغرات التي تعرض الأعمال للخطر[1][3].

المجالما الذي يجب أن يراه مجلس الإدارة؟
استمرارية الأعمالأقصى زمن توقف مقبول لكل عملية حرجة، والزمن الفعلي للتعافي، ووجود بدائل تشغيلية[1][3]
الاكتشاف والاحتواء والتعافيزمن الاكتشاف، زمن الاحتواء، زمن التعافي، والوقت اللازم للوصول إلى قرار إداري[1][3]
الهوية والوصولعدد الحسابات ذات الصلاحيات العالية، الحسابات الخاملة، الاستثناءات، وضوابط الوصول للحسابات الحرجة[1][5]
الثغرات والأصولالثغرات الحرجة غير المعالجة، المعالجات المتأخرة، ومدى معرفة الأصول المكشوفة خارجياً[1][5]
النسخ الاحتياطيوجود نسخ معزولة، نسبة نجاح اختبارات الاستعادة، والوقت الحقيقي للاستعادة[1][3]
حوكمة الذكاء الاصطناعيجرد أدوات الذكاء الاصطناعي، استثناءات إدخال البيانات الحساسة، ونسبة مراجعة مشروعات الذكاء الاصطناعي قبل إطلاقها[2][5]
مخاطر الطرف الثالثمتطلبات أمن الموردين المهمين، مهل الإخطار بالاختراق، توفير السجلات، والاعتماد عليهم في التعافي[3][5]

خريطة تنفيذ خلال 90 يوماً

من اليوم 0 إلى 30: تحويل الملف إلى خطر إداري مرئي

  1. عقد مراجعة خاصة في مجلس الإدارة لمخاطر الذكاء الاصطناعي والأمن السيبراني[1][5].
  2. تحديد العمليات الحرجة، وربط كل عملية بأقصى زمن توقف مقبول وزمن التعافي الفعلي[1][3].
  3. تكليف CISO بتقديم تقييم يشمل نوعين من المخاطر: استخدام المهاجمين للذكاء الاصطناعي، واستخدام الشركة نفسها للذكاء الاصطناعي[5][6].
  4. وقف إدخال البيانات الحساسة في أدوات ذكاء اصطناعي غير معتمدة، ووضع مسار واضح للاستثناءات[2][5].

من اليوم 31 إلى 60: تقوية الضوابط والقدرة على العودة للعمل

  1. مراجعة الوصول للحسابات ذات الصلاحيات العالية، وخاصة حسابات الإدارة والمسؤولين عن الأنظمة الحرجة[1][5].
  2. اختبار الاستعادة من نسخ احتياطية معزولة في سيناريو شبيه ببرامج الفدية؛ فتقرير المنتدى الاقتصادي العالمي لعام 2025 يذكر أن برامج الفدية ما زالت من أبرز مصادر القلق[6].
  3. إعداد قائمة بالموردين المهمين، ومراجعة بنود السجلات، والإخطار بالاختراق، واستخدام الذكاء الاصطناعي، وحماية البيانات، والتعاون في التعافي[3][5].

من اليوم 61 إلى 90: التدريب والقياس والتثبيت

  1. تنفيذ تمرين إداري يشارك فيه الرئيس التنفيذي، والمدير المالي، والشؤون القانونية، والاتصال المؤسسي، وCISO، ورؤساء وحدات الأعمال[1][3].
  2. إدخال زمن الاكتشاف، وزمن الاحتواء، وزمن التعافي، والثغرات الحرجة غير المعالجة، وتدقيق استخدام الذكاء الاصطناعي في لوحة مؤشرات مجلس الإدارة[1][5].
  3. مراجعة خط تقارير CISO، وصلاحياته في إيقاف المخاطر، ومراجعة مشروعات الذكاء الاصطناعي، والموارد المالية اللازمة، ثم تثبيت المتابعة في اجتماعات المجلس التالية[1][5].

أسئلة يجب أن يطرحها المجلس في كل اجتماع

  • هل حددنا مستوى المخاطر المقبول لاستخدام الذكاء الاصطناعي داخل الشركة؟[6]
  • إذا توقفت عملية حرجة، من يبدأ التواصل مع العملاء والجهات القانونية والتنظيمية، وخلال كم ساعة؟[1][3]
  • من يستطيع تعديل البيانات المستخدمة في أنظمة الذكاء الاصطناعي وتعلم الآلة، وكيف نتحقق من سلامتها؟[2]
  • هل يستطيع CISO رفع الاستثناءات الخطرة والمخاطر غير المعالجة مباشرة إلى الإدارة؟[1][5]
  • إذا تعرض مورد رئيسي للاختراق، هل نستطيع اكتشاف الأثر علينا بسرعة، والتحول إلى بديل تشغيلي؟[3][5]

الخلاصة أن مواجهة الهجمات السيبرانية المدعومة بالذكاء الاصطناعي لا تعني وعداً مستحيلاً بمنع كل اختراق. المطلوب هو قدرة مثبتة على الاكتشاف السريع، وتقليل الضرر، واستمرار العمليات الحرجة، والتعافي، وتقديم تفسير واضح لأصحاب المصلحة. دور الرئيس التنفيذي ومجلس الإدارة ليس اختيار كل أداة تقنية، بل تحديد شهية المخاطر، ومنح CISO السلطة والموارد، واختبار قدرة المؤسسة على العودة للعمل مراراً[1][3][5].

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

Studio Global AIで検索して事実確認

重要なポイント

  • ينبغي للرئيس التنفيذي ومجلس الإدارة التعامل مع هجمات الذكاء الاصطناعي كخطر على استمرارية الأعمال، لا كملف تقني محصور في قسم الأمن.
  • الأولوية خلال أول 90 يوماً هي تحديد العمليات الحرجة، وقياس زمن التعافي الفعلي، وربط صلاحيات كبير مسؤولي أمن المعلومات بقرارات الإدارة، ووضع قواعد واضحة لاستخدام الذكاء الاصطناعي والبيانات الحساسة[1][3][5].
  • مؤشرات المجلس يجب أن تنتقل من عدد الحوادث إلى سرعة الاكتشاف والاحتواء والتعافي، وحالة النسخ الاحتياطي، والثغرات الحرجة، وحوكمة أدوات الذكاء الاصطناعي، ومخاطر الموردين[1][2][3][5].

人々も尋ねます

「خطة 90 يوماً لمواجهة هجمات الذكاء الاصطناعي: قرارات عاجلة للرئيس التنفيذي ومجلس الإدارة」の短い答えは何ですか?

ينبغي للرئيس التنفيذي ومجلس الإدارة التعامل مع هجمات الذكاء الاصطناعي كخطر على استمرارية الأعمال، لا كملف تقني محصور في قسم الأمن.

最初に検証する重要なポイントは何ですか?

ينبغي للرئيس التنفيذي ومجلس الإدارة التعامل مع هجمات الذكاء الاصطناعي كخطر على استمرارية الأعمال، لا كملف تقني محصور في قسم الأمن. الأولوية خلال أول 90 يوماً هي تحديد العمليات الحرجة، وقياس زمن التعافي الفعلي، وربط صلاحيات كبير مسؤولي أمن المعلومات بقرارات الإدارة، ووضع قواعد واضحة لاستخدام الذكاء الاصطناعي والبيانات الحساسة[1][3][5].

次の実践では何をすればいいでしょうか?

مؤشرات المجلس يجب أن تنتقل من عدد الحوادث إلى سرعة الاكتشاف والاحتواء والتعافي، وحالة النسخ الاحتياطي، والثغرات الحرجة، وحوكمة أدوات الذكاء الاصطناعي، ومخاطر الموردين[1][2][3][5].

次にどの関連トピックを検討すればよいでしょうか?

別の角度からの引用や追加の引用については、「Claude Securityとは:AnthropicのAIコード脆弱性スキャナーを企業はどう使うべきか」に進みます。

関連ページを開く

これを何と比較すればいいでしょうか?

この回答を「Grok 4.3 APIの読み方:100万トークン文脈と低単価でxAIは何を狙うのか」と照合してください。

関連ページを開く

研究を続けてください

IT Consulting Orange County CA, IT Services, IT Outsourcing - Technijian. # Anthropic Claude Security for Enterprise: What You Need to Know. Anthropic has officially opened Claude

Claude Securityとは:AnthropicのAIコード脆弱性スキャナーを企業はどう使うべきか

Claude Security公開ベータ版とは:AnthropicがAIで企業コードの脆弱性を探す仕組み

抽象 AI 介面顯示 Grok 4.3 API、1M context、token 價格與語音波形

Grok 4.3 APIの読み方:100万トークン文脈と低単価でxAIは何を狙うのか

Grok 4.3 APIの読み方:100万トークン文脈と低単価でxAIは何を狙うのか

小米 Q5、MIX 5 与小米 18 系列传闻的概念手机图

Xiaomi Q5はMIX 5ではなさそう 最新情報はXiaomi 18シリーズ寄り

Xiaomi Q5はMIX 5なのか? 最新リークはXiaomi 18シリーズを示唆

Metas KI-Altersprüfung: Neue Regeln für Jugendliche in EU, USA und Brasilien

MetaのAI年齢確認:InstagramとFacebookで変わる13歳未満・10代保護

MetaのAI年齢確認でInstagramとFacebookはどう変わる?

研究に関する会話

あなた

リサーチクエスチョン

AIを使ったサイバー攻撃が人間の防御能力を上回り始めている中で、企業のCEOや取締役会はどのような対策を取るべきか?

Studio Global AI16 ソース

引用された回答

CEOと取締役会は、AIサイバー攻撃を「IT部門の問題」ではなく、事業継続・法的責任・レピュテーションに直結する経営リスクとして扱うべきです[1]。人間だけで防ぐ前提を捨て、AIを使った防御、レジリエンス、ガバナンス、訓練、サプライチェーン管理を取締役会レベルで義務化する必要があります[3][5][6]

  • サイバーリスクを取締役会の常設議題にする

    • NCSCは、サイバーリスクはもはやIT問題ではなく、業務停止、評判毀損、財務・法的影響をもたらす「取締役会の優先事項」だと位置づけています[1]
    • CEOはCISO任せにせず、事業リスク、財務リスク、法務リスク、危機管理として統合的に管理すべきです[1]

  • 「防御できるか」ではなく「侵害されても事業を続けられるか」を問う

    • NCSCは、組織が制御できる防御に集中しつつ、制御できない事態にも備える必要があると強調しています[3]
    • 取締役会は、復旧時間目標、重要業務の代替手段、バックアップの隔離、ランサムウェア時の意思決定権限を確認すべきです[1][3]

  • AI対AIの防御能力を導入する

    • WEFの2025年見通しでは、回答組織の72%がサイバーリスク増加を報告し、約47%が生成AIによる攻撃者側の進化を主要懸念に挙げています[6]
    • 企業は、人手中心の監視だけでなく、AIによる異常検知、フィッシング検出、コード脆弱性検査、ID不正利用検知、SOC自動化を導入すべきです[5][6]

  • AI利用そのものをリスク管理対象にする

    • WEFは、AI導入が生む脆弱性、事業影響、必要な統制を評価することを senior risk owners 向けの管理アプローチとして示しています[5]
    • 取締役会は、社内AI、外部AIツール、LLM連携アプリ、機密データ投入、モデル出力の利用範囲を明文化すべきです[5]

  • AIデータセキュリティを強化する

    • 米国防関連の共同ガイダンスは、AI/MLシステムで使うデータの保護が、AI出力の正確性と完全性を確保する上で重要だとしています[2]
    • 具体的には、学習データ・プロンプト・ログ・ベクトルDB・RAGデータ・モデル重みへのアクセス制御、改ざん検知、データ分類を実施すべきです[2]

  • 経営陣向けのAI攻撃シナリオ演習を行う

    • ディープフェイクCEO詐欺、AI生成フィッシング、認証情報窃取、ランサムウェア、クラウド侵害、サプライチェーン侵害を想定した tabletop exercise を四半期または半期で行うべきです[1][3][6]
    • 演習にはCEO、CFO、CLO、CISO、広報、事業部門長、主要子会社を参加させるべきです[1][3]

  • CISOの権限と予算を見直す

    • 取締役会は、CISOが単なる技術責任者ではなく、事業リスクを経営に報告できる立場にあるかを確認すべきです[1][5]
    • CISOには、危険なシステム停止、例外承認の拒否、AI導入審査、第三者リスク評価に関する実効的権限を与えるべきです[1][5]

  • 測るべきKPIを変える

    • 「インシデント件数」だけでなく、検知時間、封じ込め時間、復旧時間、MFA適用率、特権ID数、未修正重大脆弱性、バックアップ復旧成功率、AI利用監査率を取締役会に報告すべきです[1][3][5]
    • 特に、重要業務ごとの「最大許容停止時間」と「実際の復旧可能時間」のギャップを可視化すべきです[1][3]

  • サプライチェーンとクラウド依存を再評価する

    • AI攻撃への備えでは、自社だけでなく、SaaS、MSP、委託先、開発会社、データ処理業者を重要な依存関係として洗い出すべきです[1][5]
    • 重要ベンダーには、MFA、ログ提供、侵害通知期限、AI利用ポリシー、データ保護、バックアップ、監査権を契約で義務づけるべきです[1][5]

  • CEOが最初の90日でやるべきこと

    1. 取締役会に「AIサイバーリスク特別レビュー」を設置する[1][5]
    2. 重要業務トップ10と最大停止許容時間を決める[1][3]
    3. CISOに、AI攻撃を前提にしたリスク評価を30日以内に提出させる[5][6]
    4. 全役員にMFA、フィッシング耐性認証、ディープフェイク詐欺訓練を義務化する[3][6]
    5. ランサムウェアと業務停止の経営演習を実施する[1][3][6]
    6. 社内AI利用と機密データ投入のルールを即時明文化する[2][5]
    7. 重大脆弱性、特権ID、バックアップ復旧状況を取締役会KPIに入れる[1][3][5]

最も重要なのは、「AI攻撃を完全に防ぐ」発想から、「侵害を早く検知し、被害を限定し、事業を止めず、法的・顧客対応を迅速に行う」発想へ切り替えることです[1][3]。CEOと取締役会の責任は、技術選定ではなく、組織全体のレジリエンスを設計し、資源と権限を与え、実際に機能するかを検証することです[1][5]

情報源

  • [1] [PDF] It's time to act - NCSC Annual Review 2025ncsc.gov.uk

    Cyber risk is no longer just an IT issue — it’s a boardroom priority. Cyber incidents can disrupt operations, damage reputation, and lead to serious financial and legal consequences. For today’s leaders, cyber resilience is about having the strategic foresi...

  • [2] [PDF] Joint Cybersecurity Information AI Data Securitymedia.defense.gov

    Executive summary This Cybersecurity Information Sheet (CSI) provides essential guidance on securing data used in artificial intelligence (AI) and machine learning (ML) systems. It also highlights the importance of data security in ensuring the accuracy and...

  • [3] NCSC CEO urges fresh perspective on cyber security as a ...ncsc.gov.uk

    At CYBERUK 2025, Dr Richard Horne calls on organisations to focus both on what they can control in cyber defence - and also being prepared for what they cannot - to transform digital resilience Richard Horne, NCSC CEO, delivering keynote at CYBERUK 2025 Man...

  • [4] Cyber and AI Oversight Disclosures: What Companies Shared in 2025corpgov.law.harvard.edu

    In today’s fast-changing and high‑stakes digital environment, boards are elevating their oversight approach. Voluntary disclosures around AI and cyber are not just more common — they’re also more robust, doubling in scope across several critical areas. Comp...

  • [5] [PDF] Artificial Intelligence and Cybersecurity: Balancing Risks and Rewardsreports.weforum.org

    guide senior risk owners across businesses on the effective management of AI cyber risks. This approach includes: assessing the potential vulnerabilities and risks that AI adoption might create for an organization, evaluating the potential negative impacts...

  • [6] [PDF] Global Cybersecurity Outlook 2025 | World Economic Forumreports.weforum.org

    rapid implementation of AI without the necessary security safeguards to ensure cyber resilience. Some 72% of respondents report an increase in organizational cyber risks, with ransomware remaining a top concern. Nearly 47% of organizations cite adversarial...