先進国が総掛かりで取り組む「AI×セキュリティ」とは
今の時代で最も重要な技術はAIだろう。こうした意見に対して、AIのセキュリティはどうかという疑問が生じるのは当然だろう。
米国と英国のセキュリティを担当する機関が、先進7カ国(G7)を含む世界中の21の省庁やサイバーセキュリティ機関と共に「AI×セキュリティ」についてガイドラインを策定した。
どのような取り組みなのか
2023年11月26日に共同ガイダンスを発表したのは、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)と英国の国家サイバーセキュリティセンター(NCSC)だ(注1)。
急速に成長するAI(人工知能)ビジネスにおいて、安全な開発手法を取り入れることを目指す。
両機関はセキュアバイデザインの実践を強調している。つまりシステムの導入後や運用中に後付けでサイバーセキュリティ対策を組み込むのではなく、企画設計を含む開発ライフサイクル全体で取り入れることで、システムをセキュアにするという考え方だ。
新しいアプリケーションや他の技術とAI開発を組み合わせたとき、セキュリティを中核的な要素として取り入れることを保証する。ガイドラインは、運用や保守におけるセキュリティの重要性も強調した。
AI技術の進化に対応するには
今回のガイダンスは、AI技術の急速な進化に対してセキュリティのガードレールを構築するための大規模な取り組みの一環だ。
米政府はAIに基づくテクノロジーが急速に進化する中、主要な利害関係者にとってサイバーセキュリティが最優先事項だということを確認するために多くの措置を講じてきた。
ジョー・バイデン大統領は2023年10月、AIの使用に関する保護策を設けることを目的とした大統領令を発表した(注2)。CISAは2023年11月の初めに、悪意あるAIの利用を防止することと、サイバーセキュリティの強化のための技術使用を保証することを目指した大規模な計画の一環として、人工知能のロードマップを発表した(注3)。
国土安全保障省長官のアレハンドロ・マヨルカス氏は、声明で次のように述べた。「私たちは人工知能の発展における転換点に立っており、AIは私たちの時代で最も重大な技術になる可能性がある。サイバーセキュリティは、安全かつ安心で、信頼できるAIシステムを構築するための鍵だ」
ガイドラインの4つのカテゴリとは
ガイドラインは次の4つの主要なカテゴリに分かれている(注4)。
・リスクに関する考慮と脅威モデリングを含む安全な設計
・サプライチェーンセキュリティや資産・技術負債の管理を含む安全な開発
・インフラストラクチャの保護やインシデント管理プロセスの策定を含む安全な配備
・ログの記録やモニタリング、情報共有を含む安全な運用と保守
策定したガイドラインは2023年11月の初めに英国政府関係者が主催した「AI Safety Summit 2023」で公表された(注5)。
調査企業であるForrester Researchのアラ・ヴァレンテ氏(シニアアナリスト)は次のようにガイドラインを評価した。
「CISAとNCSCによって共同発表された安全なAI開発のためのガイドラインは、枠組みの調和に向けた一歩であり、『AIに関する世界的に整合性のとれた枠組みの開発において、国際的な同盟国やパートナーと協力する』という大統領令の公約を実現するものだ」
出典:Authorities pushing for secure AI development practices(Cybersecurity Dive)
注1:DHS CISA and UK NCSC Release Joint Guidelines for Secure AI System Development(CISA)
注2:FACT SHEET: President Biden Issues Executive Order on Safe, Secure, and Trustworthy Artificial Intelligence(The White House)
注3:CISA Roadmap for Artificial Intelligence(CISA)
注4:Guidelines for secure AI system development(National Cyber Security Centre)
注5:Introducing the guidelines for secure AI(National Cyber Security Centre)
© Industry Dive. All rights reserved.
関連記事
- AIがセキュリティに与えた意外な影響
AIを利用してサイバーセキュリティを強化しようという取り組みが進んでいる。だが、もっと直接的な影響があった。 - 「生成AIはエナジードリンクだ」 セキュリティベンダーにIDCが苦言
AIはサイバーセキュリティを変える力を持っている。だが、重要なのはAIそのものではない。 - GoogleとMandiantが「セキュリティAI」を導入 攻撃前にユーザー企業が準備できる
Google CloudはMandiantのセキュリティサービスを取り入れ、ユーザー企業が攻撃前に危険な活動を発見できるようにした。さらに「Duet AI」を導入し、サイバー攻撃への対応にかかる負荷を引き下げる計画だ。