スピード重視が招く「危険なAI利用」の実態 調査レポートから読み解く軽視されがちな「AIセキュリティ」

AI技術はビジネスに浸透しつつあるが、そのセキュリティ対策が不十分であることが明らかになった。具体的には何がどう駄目なのか。セキュリティベンダーの調査を見てみよう。

2024年11月18日 08時00分 公開
[Arielle WaldmanTechTarget]

関連キーワード

人工知能 | 脆弱性 | セキュリティ


 人工知能(AI)技術の開発や利用が拡大している中、AIのモデルやツールに対してセキュリティ対策を十分に講じていない組織があることが、セキュリティベンダーOrca Securityの調査で分かった。AI技術はさまざまな面でビジネスを支えるようになりつつある。安全に使うために知っておきたい具体的なリスクと対策とは何か。

Orcaが指摘するAIの「2大リスク」はこれだ

 2024年9月にOrca Securityは2AIセキュリティについてまとめたレポート「2024 State of AI Security Report」(2024年AIセキュリティレポート)を公開した。レポートでは、主要なクラウドサービスである「Amazon Web Services」(AWS)や「Microsoft Azure」「Google Cloud」「Oracle Cloud」「Alibaba Cloud」からデータを得て分析している。

 Orca Securityによると、AI技術の開発や利用において、組織はスピードや効果を重視し、セキュリティを二の次にする傾向がある。今回のレポートでは、大きく2つのセキュリティリスクが明らかになったという。

  • root(管理者)権限でシステムにアクセスできるデフォルト設定が無効化されていないこと
  • 脆弱(ぜいじゃく)性のあるツールが使われ、攻撃者によって悪用されればソースコードが流出する恐れがあること

 後者についてOrca Securityは、約5割の組織がコラボレーションや自動化のためにAIツールを利用しているが、その大半に少なくとも1つの脆弱性が含まれると述べる。ただし、ほとんどの脆弱性は危険度が「低」から「中」だという。そのため、実際に攻撃に悪用されるリスクが比較的低いと同社はみている。

各種AI開発ツールの弱点

Azure OpenAI Service

 Orca Securityによれば、AIアプリケーションを構築する際のツールとしてMicrosoftの「Azure OpenAI Service」が広く使われている。しかし、ユーザー組織の27%では同ツールへの不正侵入を防ぐための対策が不十分だという。そのため、「クラウドリソースとAIサービス間で送信されるデータの傍受や改ざんができる可能性がある」(同社)

Amazon SageMaker

 レポートの中でOrca Securityは、AWSの機械学習モデル構築ツール「Amazon SageMaker」のセキュリティ問題を指摘。同社によると、Amazon SageMakerのバケット(データ保存領域)の45%はデフォルトでランダム化されていないバケット名を使用している。そのため、攻撃者にとってバケット名は推測しやすく、攻撃につながるリスクが高まるという。

Vertex AI

 もう一つのセキュリティ問題は、データ暗号化の実装が不十分なことだ。Orca Securityによると、GoogleのAI開発ツール「Vertex AI」を使用している組織の98%が、管理キーの保存時の暗号化を有効にしていない。「暗号化されていない機密データが流出すれば、AIモデルの盗難や改変、削除の可能性がある」(同社)

OpenAIやHugging Faceのツール

 今回のレポートでは、AI技術ベンダーOpenAIやHugging Faceが提供する各種ツールに関するセキュリティリスクも取り上げられている。Orca Securityによれば、OpenAIやHugging Faceのユーザー組織の中には、そのアクセスキーを公開している組織がある。アクセスキーの公開は攻撃を招きやすいとみられる。

求められる対策とは

 「セキュリティの責任はベンダーにあるのか。それともユーザーにあるのか。誰が責任を負うかが定まっていない」。Orca Security最高経営責任者(CEO)のギル・ジェロン氏は、AI技術の開発や利用を巡る助教についてそう述べる。同氏によると、ベンダーはあくまでAI技術を「提供」することが守備範囲だ。AI技術をどう使うかはユーザーの責任になるという。「『Googleが提供しているのだから安全だろう』と考えるのは危険だ」(ジェロン氏)

 そうした中、ユーザー組織はAI開発にセキュリティを取り入れ、早い段階からセキュリティポリシーを策定しなければならないとジェロン氏は説明する。AI技術の安全に使うには、使いやすさとセキュリティの両立が欠かせないという。すぐに講じるべき対策として同氏はアクセス権限を制御する重要性を強調する。

TechTarget発 先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。

Copyright © ITmedia, Inc. All Rights Reserved.

From Informa TechTarget

お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。

ITmedia マーケティング新着記事

news191.jpg

Omnicomが Interpublic Groupを買収 世界最大級の広告会社が誕生へ
OmnicomがInterpublic Group(IPG)を買収する。これにより、世界最大の広告会社が誕生し...

news110.jpg

インテントデータ×キーエンス出身者のノウハウで実現 ABMを先に進める最先端の営業手法とは?
ユーソナーとGrand Centralは提携し、営業売り上げ拡大のためのBPOパッケージを提供開始...

news061.png

「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2024年12月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...