生成AI時代のセキュリティ対策の鍵を握る「7つの防衛線」とは？：生成AI用セキュリティポリシーの作り方【後編】

企業において、従業員の生成AIの利用による情報漏えいや権利侵害、生成AIを悪用した攻撃といったセキュリティリスクに備えるには、適切なセキュリティポリシーを設ける必要がある。効果的な防衛策を築く方法は。

[Paul Kirvan，TechTarget]

　AI（人工知能）技術、とりわけテキストや画像を生成する「生成AI」の進化と普及は目覚ましく、企業はこぞってビジネスプロセスの効率化やイノベーション創出に生成AIを活用しようとしている。その一方で、生成AIによる機密情報の流出や著作権侵害、巧妙なサイバー攻撃など、新たなセキュリティリスクも顕在化してきた。企業が生成AIを安全に活用するには、具体的にどのようなセキュリティポリシーを設けて対策を講じるべきか。実務に即した7つの領域に分けて説明する。

生成AIのセキュリティ対策はどこから始めるべき？

併せて読みたいお薦め記事

連載：生成AI用セキュリティポリシーの作り方

• 前編：「生成AI」活用で見落としがちな盲点とは？　今すぐ始めるセキュリティ対策

気を付けるべき生成AI活用

• Copilotが危ない？　生成AIから「認証情報が盗まれる」手口が明らかに
• 「怪しい添付ファイルを開くな」ではもうフィッシング被害を防げない

　まず企業が判断しなければならないのは、

• 既存のサイバーセキュリティポリシーにAI関連の要項を組み込むのか
• 既存のAIサイバーセキュリティポリシーに生成AIの要項を含めるのか
• 生成AI用のサイバーセキュリティポリシーを新たに策定するのか

ということだ。本稿は、生成AI用のセキュリティポリシーを策定することをゴールとする。

　策定するポリシーが、AI技術のセキュリティ管理に対する総合的なアプローチを定義するものであれば、「AIセキュリティポリシー」と呼ぶことができる。生成AIに焦点を絞るのであれば、「生成AIセキュリティポリシー」になる。理論上は、前者に生成AI関連のポリシーを含むことができる。

　次に、セキュリティ対策を講じる上での行動指針として、以下の4項目を踏まえるようにする。

1. セキュリティ侵害は起きるものだと受け入れる
2. 不審な行動とその発生源を特定し、対処するための手順を確立する
3. 法務部門や人事部門と連携する
4. セキュリティ侵害が発生する可能性を低減し、その重大性と企業への影響を緩和するための活動とプロセスを開始する

　以下では、生成AIセキュリティポリシーの策定で考慮すべき事項を、領域ごとに説明する。

領域1．人

• 生成AIに関する、従業員の不審な行動を特定する手順を確立する
• 生成AIに起因するセキュリティ侵害に関わった疑いがある従業員を、人事部門と協力して特定、対処する手順を確立する
• 法務部門と協力し、生成AIに起因するセキュリティ侵害を法的に訴える方法を検討する
• 上記の不審行為に対する会社の対処（懲戒や解雇など）を、人事方針に基づいて決定する
• 加害者が法的措置に対抗した場合の法的影響を判断する
• 生成AIに起因するセキュリティ侵害が発生した場合に備え、信頼できる外部の専門家（法律、保険など）を選定する

領域2．プロセス

• システム障害から回復し、システムを再稼働するための現状の手順を調べ、生成AIに起因するセキュリティ侵害にも適用できるかどうかを確認する
• 現状の災害復旧（DR）およびインシデント対応計画を調査し、生成AIに起因するセキュリティ侵害から業務を復旧するために使用できるかどうかを確認する
• 生成AIに起因するセキュリティ侵害によって影響を受けたITシステム、ネットワーク、データベース、データを復旧、交換、再稼働するための既存の手順を開発／更新する
• 生成AIに起因するセキュリティ侵害がビジネスに与える影響（収益の損失、風評被害など）に対処するための既存の手順を開発または更新する
• 生成AIに起因するセキュリティ侵害の影響に対して、支援を得られる外部の専門家の利用を検討する
• 生成AIに起因するセキュリティ侵害によって規制違反が発生したかどうかを確認し、必要に応じてコンプライアンスを再確立する方法を決定する

領域3．技術運用

• 社内のオンプレミスインフラか、クラウドサービスかにかかわらず、生成AIの関与が疑われる不審行動を特定・追跡できる技術の導入を検討する
• 生成AIが関与する不審行動を検出・確認した際、それを停止させる方法を確立する。問題が解決するまで、影響を受けるシステムを隔離する
• 生成AIに起因するセキュリティ侵害に備え、現状のネットワークセキュリティポリシーと管理方法を見直し、更新する
• 生成AIに起因するセキュリティ侵害への効果的な対処を実現するため、運用中のセキュリティソフトウェアを更新／交換する
• 生成AIに起因するセキュリティ侵害で損傷したハードウェアを修理／交換する
• 生成AIに起因するセキュリティ侵害の影響を受けたシステムとデータを修復／交換する
• システム、データ、ネットワークといった重要なIT資産のバックアップを作成する
• 保管中ないし転送中のデータの暗号化が有効であることを確認する
• 生成AIに起因するセキュリティ侵害で影響を受けた可能性のあるIT運用業務、アプリケーション、システムを回復する
• さらなる専門知識が必要な場合は、外部ベンダーやコンサルタントの起用を検討する

領域4．セキュリティ運用

• 生成AIに起因するセキュリティ侵害が引き起こす物理的およびシステム上の影響に対処するための手順を確立し、定期的にテストする
• 知的財産（IP）および個人を特定できる情報の盗難を防止するための手順を確立し、定期的にテストする
• 物理的なセキュリティシステム（防犯カメラやビルの入退室システムなど）における、生成AIに起因するセキュリティ侵害への対処手順を確立し、定期的にテストする
• 生成AIに起因するセキュリティ侵害を含め、あらゆる種類のセキュリティ侵害に対処するための計画を策定し、定期的にテストする
• さらなる専門知識が必要な場合は、外部ベンダーやコンサルタントの起用を検討する

領域5．施設運営

• 生成AIに起因するセキュリティ侵害で稼働停止した可能性のあるデータセンターなどの施設を修理、交換、再稼働させるための手順を策定して文書化し、定期的にテストする。
• 物理的なセキュリティシステムにおける、生成AIに起因するセキュリティ侵害への対処手順を確立し、定期的にテストする
• 生成AIに起因するセキュリティ侵害を含め、あらゆる種類のセキュリティ侵害に対処するためのDR計画を策定し、定期的にテストする
• さらなる専門知識が必要な場合は、外部ベンダーやコンサルタントの起用を検討する

領域6．財務

• 生成AIに起因するセキュリティ侵害が財務および事業運営に与える影響を評価するための手順を策定し、定期的に見直す
• 生成AIに起因するセキュリティ侵害の結果として、特定の規制を順守しなかった場合の潜在的な法律上・規制上のペナルティーを定義する
• 生成AIに起因するセキュリティ侵害が保険に与える潜在的な影響を、保険会社に確認する
• さらなる専門知識が必要な場合は、外部ベンダーやコンサルタントの起用を検討する

領域7．企業の業績

• 生成AIに起因するセキュリティ侵害によって発生し得る、風評被害などの損害を修復するための手順を策定する
• 生成AIに起因するセキュリティ侵害の報告に対して、メディアが問い合わせを寄せた際の対応手順を策定する

セキュリティポリシーのテンプレートを活用する

　生成AIに起因するセキュリティ侵害を対象とするセキュリティポリシーのテンプレートは、標準的なサイバーセキュリティポリシーと共通の項目を持っていることが一般的だ。同時に、通常の攻撃とは異なる特徴を示すセキュリティ侵害を識別する必要性も考慮されている。テンプレートを活用することで、生成AIに起因するセキュリティ侵害への対応方針を、単独のポリシーとして作成する場合でも、既存のサイバーセキュリティポリシーに組み込む場合でも、効率的に策定できるようになる。

TechTarget発　世界のインサイト＆ベストプラクティス

米国TechTargetの豊富な記事の中から、さまざまな業種や職種に関する動向やビジネスノウハウなどを厳選してお届けします。