サイバーセキュリティ
AIを安全・安心に利用するには?
2024-05-21
人工知能(AI:Artificial Intelligence)の成功、進歩、急速な導入により、これまでにないほどテクノロジーが進歩しています。この発展により、企業運営と事業展開の仕方は大きく変化し、多様なチャンスだけでなくリスクをももたらします。組織は、この強力な新しいツールを安全かつ確実に統合できる構造をどのように構築すべきでしょうか? ビューローベリタスのサイバーセキュリティ担当グローバルプロダクトマネージャーであるBogdan Tobolが説明します。
総市場規模は2030年までに7,388億ドルに達すると予想[1]、全世界の労働力の40%に影響を与える[2]一方で、世界GDPが10年間で7%増加する可能性があるとみています[3] 。人工知能(AI:Artificial Intelligence)は、過去数年間で指数関数的増加をみせていて、世界経済に深く永続的な影響を与えることになるでしょう。
組織が日常的にAIを活用したシステムに依存するにつれて、堅牢な規制の枠組と効率的な国際標準が最優先課題となっています。これらの規制と認証は、AI技術の効果的実装を確保するだけでなく、プライバシー、データ保護、倫理的配慮、サイバーセキュリティに関する懸念にも対応します。ヨーロッパの一般データ保護規則 (GDPR:General Data Protection Regulation) [4]から米国国立標準技術研究所(NIST)によって確立されたAIリスク管理フレームワーク[5]に至るまで、各国政府や標準化団体が、AIの開発と応用に関する環境を、積極的に形成しつつあります。
AIMS、その目標、および関連する脅威
AI研究の目標は明確です。自然言語処理(NLP:Natural language processing)や汎用知能だけでなく、特に、問題解決と推論、計画と意思決定などが目標とされています。人工知能マネジメントシステム(AIMS:Artificial Intelligence Management System)は、組織内でのAIの導入、監視、パフォーマンスの管理と最適化に役立つフレームワークです。
したがって、AIMSは、組織がAIの力を効果的に活用し、AIテクノロジーの拡張可能性(スケーラビリティ)、信頼性、責任ある使用を確保するうえで重要な役割を果たします。 AIMSは、ITSMS(Information Technology Service Management:情報技術サービスマネジメントシステム)、ISMS(Information Security Management System:情報セキュリティマネジメントシステム)、SCMS(Supply Chain Management Systemサプライチェーンマネジメントシステム)、PIMS(Personal Information Management System:個人情報マネジメントシステム)などの仕組みと合わせて、日常業務の効率化、業績効率向上、法令等順守に貢献します。
「これらの仕組みのほとんどは、ISO20000-1、ISO27001などにも含まれます。組織や法曹関係者は、AIにも同じ要求事項が適用され、テクノロジーの安全かつ有益な利用を目指す必要があります。」
安全性に関して、Bogdan Tobolはゼロからスタートしているわけではないことを指摘しています。
「驚かれるかもしれませんが、サイバーセキュリティの観点において、AI特有のリスクは存在しません。あらゆるITシステムに影響するリスクと同じで、それらはすでに明確に定義されています。」
その範囲は、すべての利害関係者にかかわる評判や法的責任など一般的なものから、サプライチェーンの脆弱性や機密情報の漏洩、その他大規模言語モデル(LLM:Large Language Model)アプリケーションに共通する多くの問題などより技術的なものに至るまで多岐にわたります。
AIを安全に使用するための鍵となる完全性、トレーニング、厳密性
リスクがわかっているということは、解決策もわかっているという利点があります。ガイドラインとベストプラクティスは他のITシステムにとっても有効で、AIサイバーセキュリティを強化するために応用することが可能です。もちろん、最初のステップは、それぞれ特定の組織に関連する脅威を評価することにあります。
「AIの存在場所、開発された経緯、維持状況がいかなるものであっても、AIMSとその環境両方について完全なリスク評価をすることが不可欠です。弱点が正しく特定されれば、セキュリティのための最適な戦略を策定することが可能になります。
組織はプロセスのテストを徹底的に行う必要があります。トレーニングはサイバーセキュリティにおいても重要な役割を果たしますが、他のITシステムとおなじくAIについてもそうです。すべての従業員と関係者が、AIとは何か、AIに何ができるか、そしてその管理方法を理解できるようにすることが重要です」(Bogdan Tobol)
AIMSの安全な展開と利用。安全策導入後は、AI技術とサイバーセキュリティリスクの状況進化に合わせて、(理想的には)予測しながら、慎重に監視し適応することが重要です。
欧州AI法(Artificial Intelligence Act)は、AI規制において最新のものです。現在、正式に採択され翻訳される過程にある[6]この法律は、EUでのAIシステム使用と供給のための枠組みを確立することを目的としています。AI関連のリスクを「限定的」から「容認できない」まで分類[7]するこの法律では、企業は、リスク管理、テスト、技術的堅牢性、データのトレーニングとガバナンス、透明性、人間として注視すべきポイント、そしてサイバーセキュリティといった点での要求事項に従わねばなりません。これらの基準を満たさないAIMSは市場に投入されず、運用も開始されません。AI法は2025年5月に発効すると予想されているため、企業にとっての準備期間は1年程度です[8]。
将来的には、このようなルールはさらに多くなり、より厳格になることは間違いありません。正式な標準と認証を採用すれば、企業がAIMSの安全で確実なフレームワークを維持し、また新しい法律を遵守するのに役立ちます。
「組織は、その組織特有のニーズや脆弱性に特化した強力な規範を採用する必要があります。AIを正しく導入するには、ISO/IEC42001のような規格の要求事項が設定されていなければなりません。透明性と強力なガバナンスもこの標準の重要な側面で、製品のライフサイクルが持続可能で継続的に改善されているということだけでなく、AI導入に戦略的利点があるということ以上に、倫理的に、責任をもって使用していることを示すサポートになります。鍵となるのは、コンプライアンスとイノベーションの適切なバランスを取ることです。」
「サイバーセキュリティリスクを完全に排除することはできません。しかし、特にAIの分野では、それらリスクが予測・認識・管理することができ、結果として、時間、資本、損害が大幅に節約できます」(Bogdan Tobol)
したがって、組織は、進化し続けるテクノロジーや条件に対応するために、厳格な基準を迅速に確立し、その継続的な改良と最適化のプロセスを設定しておくことが求められるのです。
ビューローベリタス:サイバーリスク管理における組織のサポート
ビューローベリタスは、サイバー上の課題はあらゆる面で対処する必要があると考え、システム・資産・製品・サプライチェーンの保護等に対して、独立したサイバーセキュリティ検証を提供します。ビューローベリタスの専門知識と公平性により、お客様は自社の脆弱性を洞察しリスク領域を限定することが可能となり、その具体的行動、コミットメント、プロセスをステークホルダーに示すことができるようサポートします。
REFERENCES:
[1] https://www.statista.com/outlook/tmo/artificial-intelligence/worldwide
[2] https://www.imf.org/en/Blogs/Articles/2024/01/14/ai-will-transform-the-global-economy-lets-make-sure-it-benefits-humanity
[3] https://www.goldmansachs.com/intelligence/pages/generative-ai-could-raise-global-gdp-by-7-percent.html
[4] https://www.europarl.europa.eu/RegData/etudes/STUD/2020/641530/EPRS_STU(2020)641530_EN.pdf
[5] https://www.nist.gov/itl/ai-risk-management-framework
[6] https://www.europarl.europa.eu/news/en/press-room/20240308IPR19015/artificial-intelligence-act-meps-adopt-landmark-law
[7] https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
[8] https://www.euronews.com/next/2024/03/12/as-ai-act-enters-into-force-focus-shifts-to-countries-oversight-appointments