「生成AI」活用で見落としがちな盲点とは？ 今すぐ始めるセキュリティ対策：生成AI用セキュリティポリシーの作り方【前編】

従業員による生成AIの無秩序な利用が、企業の情報漏えいや知的財産権侵害を引き起こす恐れがある。生成AIに関するセキュリティポリシーを確立し、適切な管理体制を構築することは急務だ。どこから手を付けるべきか。

[Paul Kirvan，TechTarget]

　テキストや画像などを自動生成するAI（人工知能）技術「生成AI」（ジェネレーティブAI）が急速な進化を遂げる今、この技術がもたらす「善」だけではなく「悪」を防ぐことにも関心が集まっている。これはサイバーセキュリティにとって重要な関心事であり、企業は生成AIが原因となるセキュリティ侵害の対策に追われるようになった。

　対策として、生成AIを含むサイバーセキュリティポリシーを確立することが有効だ。では、生成AIがもたらすセキュリティ問題にはどのようなものがあるのか。それらに対処するために、生成AIのセキュリティポリシーに盛り込むべき要素とは。

放置しているとまずい生成AIのセキュリティリスク

併せて読みたいお薦め記事

気を付けるべき生成AI活用

• Copilotが危ない？　生成AIから「認証情報が盗まれる」手口が明らかに
• 「怪しい添付ファイルを開くな」ではもうフィッシング被害を防げない

　サイバー攻撃者は生成AIを駆使し、ディープフェイク（本物の人物を偽装する偽情報）をはじめ巧妙なソーシャルエンジニアリング攻撃（人の心理的な隙を狙う攻撃）やフィッシング攻撃を仕掛けてくる。そうした生成AI関連のリスクに対して適切な対処ができていない企業は、データ漏えいや不正アクセス、ランサムウェア（身代金要求型マルウェア）などのマルウェア攻撃といった危険にさらされかねない。大規模言語モデル（LLM）から意図しない回答を引き出す「プロンプトインジェクション攻撃」や、攻撃者がLLMの教師データを改ざん・破損させる「データポイズニング攻撃」も懸念材料だ。

　従業員による機密データの暴露や許可されていないAIツールの使用（シャドーAI）、生成AIの脆弱（ぜいじゃく）性、コンプライアンス義務違反など、生成AIに関連する課題にも注意しなければならない。

AI関連規格とフレームワーク

　企業が安全な生成AIを開発・導入する上で、セキュリティ規格やフレームワークは重要な役割を果たす。国際標準化機構（International Organization for Standardization）が定める以下の規格は、AI技術のリスクを特定、評価するために有用だ。

• ISO/IEC 22989:2022
  • AI分野の概念と用語を定義する規格。
• ISO/IEC 23053:2022
  • 機械学習（ML）を用いたAIシステムを開発するためのフレームワーク（設計、手順）を確立する規格。
• ISO/IEC 23984:2023
  • AI技術のリスク管理に関する指針を示す規格。
• ISO/IEC 42001:2023
  • AI技術の管理システムを確立し、リスクを組織的に管理するための要件を規定する規格。

　米国立標準技術研究所（NIST）は、安全で信頼できるAI技術を開発・導入する企業に向けて、AI技術のリスク管理フレームワーク「Artificial Intelligence Risk Management Framework」（AI RMF）を発表した。その他にもさまざまな組織が、企業のAIシステム構築・展開を支援することを目的とした、リスクとサイバーセキュリティ脅威に対処するためのフレームワークを公開している。

　AIシステムを開発する際、特にサイバーセキュリティに関する懸念がある場合は、上記の文書を参照するとよい。これらの文書や推奨行動は、企業が生成AIセキュリティポリシーに組み込むべき管理策や、AI技術に起因するサイバーセキュリティ脅威に対処するための手順として活用できる。

---

　次回は、生成AI用セキュリティポリシーを策定する際に検討すべき項目を、領域ごとに分けて解説する。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。