Google CloudのCISOが語る 強固なAIセキュリティ戦略を構築するための3つのヒント:Cybersecurity Dive
企業におけるAI活用が進む中、AIに関するセキュリティ戦略を構築することは必要不可欠になっている。本稿ではこれを実現するための3つのヒントをお届けする。
この記事は会員限定です。会員登録すると全てご覧いただけます。
以下は、Google CloudのCISO(最高情報セキュリティ責任者)オフィスでセキュリティアドバイザーを務めるアントン・チュヴァキン氏による寄稿記事である。
AIはセキュリティリーダーに魅力的なパラドックスを提示している。それは、膨大な利益を約束する強力なテクノロジーであると同時に、新旧のリスクが存在する地雷原でもあるということだ。AIの潜在能力を真に活用するためには効果的なリスク管理戦略によって、これらのリスクに積極的に対処する必要がある。
強固なAIセキュリティ戦略を構築するための3つのヒント
人間による監視や強固なセキュリティアーキテクチャ、技術的なコントロールを組み合わせたガードレールを導入し、慎重に練られたサイバー戦略を支えることで、組織はAIからより大きな利益を得られる。これらの戦略について詳しく確認してみよう。
1.安全でコンプライアンスに準拠したAIを確保するためのガードレールの構築
組織は既存のリスクとガバナンスの枠組みを基礎として、AIに特化したガードレールを構築する必要がある。
セキュリティチームは、既存のセキュリティポリシーを確認および改良し、生成AIによってもたらされる新たな脅威のベクトルを特定して緩和し、リスク監視の範囲を絞り込み、AI機能の急速な進歩に対応するためにトレーニングプログラムを更新する必要がある。
基本的には現在のセキュリティ能力に対する批判的なレビューが、必要なAIポリシーの基盤を提供してくれる。
組織が構築および運用するAIシステムを監督し、効果的なフレームワークを確立するためには、人間の関与が不可欠だ。人間を介在させるアプローチはリスクを軽減し、3つの主要な分野で責任あるAIの使用を促進するのに役立つ。
- AIを活用するリスクの評価: データの機密性や個人への影響、ミッションクリティカルな機能に対する重要性などの要素を使ってAIを活用するリスクをランク付けし、AIに関するビジネス上の決定に伴う結果や不確実性を評価できる
- 技術上または運用上のトリガー: リスクが特定されランク付けされたら、セキュリティチームは、重要な意思決定に対して人間の介入を必要とする技術または運用上のトリガーを設定する必要がある
- AIを活用するためのルール: シャドーAIをはじめとする生成AIツールの不正使用のリスクを軽減するために、組織は活用のためのポリシーを策定し、組織および従業員に対してAIを活用して良い領域、AIを活用すべきでない領域を明確に定め、合意を得る必要がある
2.AIをサポートするセキュリティアーキテクチャと技術的な管理を優先する
安全なAIを導入するためには、AIのセキュリティとデータ保護をサポートするインフラストラクチャとアプリケーションレベルのコントロールが必要だ。これにはセキュリティアーキテクチャの優先順位付けと、インフラおよびアプリケーション、モデル、データのアプローチを用いた技術的な管理の導入が含まれる。
- 安全なインフラの構築: ネットワークやエンドポイントの管理といった従来の対策でセキュリティを強化し、AIサプライチェーン全体の脆弱(ぜいじゃく)性に対処するためのアップデートを優先する
- アプリケーションセキュリティの優先: ワークフローに安全な開発手法を組み込み、最新のスキャンツールを使用し、強力な認証および承認対策を実施する。プロンプトインジェクションのようなAI特有の問題にも気を配りつつ、従来のSQLインジェクションに関する対策も実施する
- AIモデルの保護: 敵対的な攻撃に耐えられるようにモデルを訓練し、訓練データの偏りを検出して緩和し、問題を特定するためにAIレッドチームによる演習を定期的に実施する。また、モデルは移植性に優れると同時に作成コストも高いため、悪意のある存在による盗用の可能性もある。モデルのテストと保護が必要だ
- データセキュリティの導入: 暗号化やデータマスキングを含む強固なプロトコルを導入し、データの完全性を保つために詳細なデータ記録を保持し、機密情報を保護するために厳格なアクセス制御を実施する。トレーニングデータの出どころやモデルの入出力、その他の関連データセットに焦点を当てる
これらの対策を優先して実施することで、組織はAIシステムとデータのセキュリティを確保できる。
3.サイバー脅威からAIを守るためにセキュリティ戦略を拡大する
急速な変化が起こる中で、AIに対するサイバーセキュリティの脅威を軽減するには、洗練され、生きた戦略が不可欠である。Googleの「安全なAIフレームワーク」で説明されているように(注1)、強固で弾力性のある防御を構築することが重要だ。
AIシステムをカバーするために弾力性に富んだサイバー戦略を構築する際にはプロンプトへの攻撃やトレーニングデータの盗難、モデル操作、敵対的な例の作成、データの汚染、データの持ち出しなどのAIに関するリスクを理解する必要がある。
また、脅威の検出と対応に関する取り組みをはじめ、セキュリティのためにAIを活用することも検討すべきだ。
最後に、組織はAI特有の問題に対応し、AIに関連するセキュリティインシデントの検出、封じ込め、根絶のための明確なプロトコルを示す包括的なインシデント対応計画を通じて、サイバーレジリエンスを構築すべきだ。これにより、組織は進化するサイバー脅威からAIの導入を守るための適切な教育とツールを備えられる。
AIに関する複雑な状況を乗り越える上で、セキュリティリーダーは技術の急速な進歩とリスクの増大のバランスを取る役割を担っている。強力な防御策や人間による監視、技術的なセキュリティ管理、積極的な脅威防御戦略を組み合わせた多層的なアプローチを採用することで、組織は安全で革新的な未来に備えられる。
(注1)GoogleのセキュアAIフレームワーク(SAIF)(Google)
関連記事
半田病院を襲ったランサムウェア被害 当時者が語る「生々しい被害実態」と「教訓」
2021年10月、徳島県つるぎ町立半田病院の電子カルテシステムが停止し、プリンタからは犯行声明が印刷された。のちに世間を大きく注目されることになるランサムウェア被害から同院はどう復旧したのか。生々しい実態を当事者が語った。
「USBメモリの全面禁止」って有効な対策なの? あどみんが指摘する問題の本質
最近よく聞くUSBメモリの持ち出しや紛失に伴う情報漏えいインシデント。再発防止策として「USBメモリの利用を全面禁止」が挙がりがちだがこの対策は正しいのか。クラウドネイティブのバーチャル情シスである須藤 あどみん氏が問題に切り込んだ。
ソニーミュージックグループはセキュリティ素人ばかりの組織で、なぜ内製にこだわったか?
ソニーミュージックグループは「人なし」「金なし」「時間なし」の状態からインシデント被害を乗り越えてどのようにセキュリティ組織を構築したのか。本稿はその事例を紹介する。
macOSのセキュリティ防御率は23% WindowsやLinuxと比べて大幅に劣ることが判明
Picus Securityは年次セキュリティレポート「Picus Blue Report 2024」を公開した。調査から、macOSにおけるセキュリティ防御率はWindowsやLinuxに比べて大幅に劣ることが明らかになっている。
© Industry Dive. All rights reserved.
注目のテーマ
人気記事ランキング
- 「無害そうだが、実はニセモノ」 Webで頻出する“あれ”を装った攻撃に注意
- AIでも国家資格でもない、4年連続1位の「取りたいIT資格」は? 読者アンケート集
- チョーヤ梅酒、1万9000人の個人情報漏えいか 中小企業のランサムウェア被害相次ぐ
- Microsoftが「AWS超え」に本気 ナデラCEOが語る「2つの注力項目」
- 新リース会計は「システムなし」では乗り切れない IFRS16号の苦い経験を振り返る
- 注目AI技術「RAG」の基礎解説 ビジネス視点でメリットと事例、考え方を簡単紹介
- 近い将来、サイバー攻撃の17%に生成AIが関与する Gartnerが予測を発表
- 生成AI時代、RPA活用はどう変わる? 今、見直したい業務自動化の手段
- CISA、2023年のセキュリティリスクおよび脆弱性を評価 最も成功率の高い攻撃とは?
- サイバーレジリエンスを実現したいなら“3つのコミュ力”を鍛えよう
ITmediaはアイティメディア株式会社の登録商標です。