AIのセキュリティ
AIシステムは、画期的なコストダウンに注目が集まっていますが、セキュリティ確保も重要な課題となっています。
AIシステムやAIアルゴリズム(モデル)自体のセキュリティ課題があり、機密性、完全性、可用性の確保が重要です。AIの学習に使用される訓練データ、判定・予測エンジン、APIなどの各要素が攻撃対象となります。
また、サイバー攻撃は近年増大・巧妙化していて、攻撃にもAIが利用され始めています。そのため、サイバー攻撃対策にもAIを最大限活用していく必要があります。AIを活用することで、新種のマルウェアの検知など、従来のセキュリティ対策の限界を超えられる可能性があります。
A機械学習の仕組みを逆手に取った攻撃手法も出現しており、AIシステムを安全に活用していくためには、従来のセキュリティ対策に加え、AI独自の対策を施していく必要があります。
AIのセキュリティ問題の事例
現在までに、AIがらみのセキュリティ問題は、どのようなことが起こっているのでしょうか?
AIのセキュリティ問題に関する主な事例は以下の通りです。
サムスン:社内ソースコードがAI経由で外部に流出
サムスンの社内ソースコードがAIを介して外部に漏洩した事例。機密情報の管理が課題。
リクルートキャリア:AIによる内定辞退予測結果を無断で販売
リクルートキャリアがAIで予測した学生の内定辞退率を本人の同意なく企業に販売。個人情報の不適切な取り扱いが問題に。
Amazon:人材採用でAIによる女性差別が発覚し運用を中止
Amazonの採用AIが学習データの偏りから女性を差別する結果に。AIの公平性確保が課題。
香港の多国籍企業:ディープフェイクの同僚に騙され38億円送金
香港企業がディープフェイク動画で偽装された同僚からの指示に騙され多額の送金被害。AIによる偽装の危険性が浮き彫りに。
ニューヨークタイムズ:記事が学習されたとしてOpenAIを訴訟
ニューヨークタイムズがOpenAIに無断で記事を学習されたとして提訴。学習データの権利関係が争点に。
以上のように、AIの導入においては情報漏洩、プライバシー侵害、偏ったデータによる差別、偽装・なりすましなど、様々なセキュリティリスクへの対策が重要であることがわかります。
AIのセキュリティ対策
現時点では、AIに特化したセキュリティ対策というのはどの企業もできていないのが現状です。
個人情報・機密情報の保護
企業は、AIサービスに使用する個人情報や機密情報を保護するために、プライバシーポリシーの整備や匿名化処理、セキュリティ対策などを行っています。
このことはAIに関係なく企業がおこなうべきことですが、AIサービスがブラックボックス化すると、個人情報が含まれているか否かの判断が難しいという問題が出てきます。
不正なアウトプットの防止
AIによる不適切な判断やアウトプット生成を防ぐために、良質なデータの収集・整備や、人間による最終アウトプットの確認などを行っています。AIの学習に使うデータの品質管理が鍵となります。
国によりますが、AIの学習自体は合法としている国も多いです。日本も学習だけなら合法です。
しかし、アウトプットに使うと問題になる情報が含まれているんですね。
アクセス制御とログ監視
AIサービスへの不正アクセスを防ぐため、アクセス制御の仕組みを導入したり、ログを監視・分析してセキュリティインシデントの検知を行ったりしています。アクセス制御とログ監視の自動化にAIを活用する事例も増えています。
このあたりは、AIが得意そうな業務です。
脆弱性対策とアップデート
AIサービスに内在する脆弱性を発見・修正するために、定期的な脆弱性診断の実施やセキュリティアップデートを行っています。AIを使った自動脆弱性診断ツールの活用も進んでいます。
社内ルール・ガイドラインの整備
AIサービスを安全に利用するための社内ルールやガイドラインを整備し、従業員への教育を行っています。情報漏洩などの人的リスクへの対策として重要な取り組みです。
社内の機密データや個人情報を、外部のChatGPTに入力した、という事例は多発しています。まずは利用する人間のルール化が必要なのかも知れません。
関連 ChatGPTの使い方