投稿者 global-ai-media 
サイバーセキュリティ大手のノートン(Norton)が、ニュージーランド市場向けにChatGPT内で動作する詐欺検知ツール「Genie」を公開しました。このニュースは単なる一企業の機能追加にとどまらず、セキュリティ対策が「インストールするもの」から「AIアシスタントに尋ねるもの」へと変化しつつあることを示唆しています。本記事では、この事例を起点に、生成AI時代のセキュリティ動向と日本企業が考慮すべきリスク・活用策について解説します。
セキュリティ機能が「GPTs」として提供される意味
ノートンが発表した「Genie」は、ChatGPTのカスタムバージョン(GPTs)として提供され、ユーザーが不審なメールやSMS、リンクをチャット画面に貼り付けるだけで、AIがその危険性を判定してくれるツールです。これまでのセキュリティ対策といえば、専用ソフトをPCやスマホに常駐させる形態が一般的でしたが、今回の事例は「ユーザーが日常的に利用するLLM(大規模言語モデル)のインターフェース内に、専門機能を組み込む」というトレンドを象徴しています。
ユーザーにとっては、アプリを切り替えることなく「このメール、怪しいかな?」と会話の流れで確認できるため、セキュリティチェックのハードルが下がります。企業やプロダクト開発者にとっては、自社の専門知識やデータベースをLLM上の「スキル」として提供することで、新たな顧客接点を持てるという好例と言えるでしょう。
「AI対AI」の攻防と日本の現状
生成AIの普及は、サイバー攻撃の質も劇的に向上させました。従来、日本に対するフィッシング詐欺は「不自然な日本語」が検知の手がかりとなっていましたが、LLMの翻訳・文章生成能力により、ネイティブでも見分けがつかないほど自然なビジネス日本語で攻撃が行われるようになっています。
これに対抗するには、防御側もAIを活用せざるを得ません。従来のパターンマッチング(既知のウイルス情報の照合)に加え、文脈や文体を解析して「何となく怪しい」を検知するAIの推論能力が不可欠になっています。ノートンのようなベンダーがLLMプラットフォームに参入するのは、この「AI対AI」の構図において必然の流れと言えます。
日本企業におけるデータプライバシーとガバナンスの課題
一方で、このようなツールを企業利用する際には、日本特有の慎重なガバナンスが求められます。ChatGPT等のパブリックな生成AI環境に、業務上のメール文面や個人情報をそのままコピー&ペーストすることは、情報漏洩リスクに直結します。
特に「GPTs」のようなサードパーティ製プラグインを利用する場合、データがどのように処理され、学習に利用されるか、また開発元(この場合はノートン)にどのようなデータが渡るかを、利用規約やプライバシーポリシーレベルで厳密に確認する必要があります。日本の個人情報保護法や企業の秘密保持契約(NDA)の観点から、従業員に対して「どこまで入力して良いか」のガイドラインを明確に引くことが急務です。
日本企業のAI活用への示唆
今回の事例は、単なる海外のニュースではなく、今後の国内AI活用のあり方に重要な示唆を与えています。
1. プロダクトの「LLMエコシステム」への統合
自社サービスを単独のアプリとして提供するだけでなく、ChatGPTやMicrosoft Copilotなどの主要プラットフォーム上で動作するプラグインや拡張機能として提供することを検討すべきです。ユーザーのワークフローの中に自然に溶け込むUX(ユーザー体験)が、今後の競争優位になります。
2. 「シャドーAI」対策としての公式ツールの導入
従業員は既に「怪しいメールをChatGPTに貼り付けて判断させる」といった行動を非公式に行っている可能性があります。これを禁止するだけでなく、企業契約(Enterprise版)で保護された環境下で、信頼できるセキュリティ特化型AIツールを公式に導入・推奨することが、結果としてガバナンス強化につながります。
3. 日本語の「文脈」を理解するAIの選定
海外製ツールをそのまま導入する場合、日本の商習慣や「空気を読む」ような文脈理解が不足している場合があります。セキュリティや顧客対応にAIを導入する際は、日本語特有の言い回しや詐欺のトレンドを学習しているか、PoC(概念実証)を通じて入念に検証することが重要です。