AI時代にセキュリティの負担は増すばかり……優先すべき脅威は?:「セキュリティ7大課題」への向き合い方【前編】
セキュリティを強化するに当たり、セキュリティ担当者は何から手を付ければいいのか。優先的に取り組むべきセキュリティの課題をまとめた。
さまざまな手口の攻撃が猛威を振るう中で、セキュリティ担当者はその対処に追われている。最近はAI(人工知能)技術を悪用した攻撃も活発になり、一層のセキュリティ強化が求められている。防御策を講じるに当たり、セキュリティ担当者が悩むのは「何に優先的に取り組むべきか」を決めることだ。今、特に重視すべきセキュリティの7大課題を整理する。
1.生成AIツールを悪用したフィッシング
併せて読みたいお薦め記事
セキュリティを強化するには
AI技術ベンダーOpenAIの「ChatGPT」といった生成AIツールは便利な一方、さまざまなセキュリティのリスクも生み出す。その一つは、フィッシング攻撃の高度化だ。フィッシングメールは従来、文法の誤りや不自然な表現によって見破れる可能性があった。生成AIツールによって作成された文章は自然であるため、フィッシングメールの受信者は詐欺に気付きにくくなる。攻撃者は生成AIツールを使って標的に関するさまざまな情報を収集することで、内容面でも見破られにくいフィッシングメールを作成できる。
生成AIツールを使ったフィッシング攻撃の一種として、捏造(ねつぞう)動画「ディープフェイク」がある。ディープフェイクでは攻撃者が偽の映像や音声によって著名人や標的の上司などになりすまし、機密情報を聞いたり、送金を促したりする。恐喝や風評被害、選挙妨害といった目的でも、AI技術が生成した偽ニュースが発信されている。
2.AI技術に関連する、フィッシング以外の脅威
AI技術を巡っては、フィッシング攻撃以外にもさまざまな脅威がある。以下の通りだ。
- データ漏えい
- エンドユーザーはソフトウェアのソースコードやビジネス情報といった機密データを誤って生成AIツールに入力してしまうことがある。その機密データが生成AIツールを介して流出する可能性がある。
- データポイズニング
- 生成AIツールはエンドユーザーが入力したプロンプト(指示や質問)を基にアウトプットを生成する。アウトプットが基にしているのは、学習したデータだ。データポイズニングでは、攻撃者が学習用データを操作し、機械学習モデルをだます。そのため、アウトプットの情報が不正確だったり、誤っていたりする恐れがある。
- 生成AIツールの脆弱性
- 生成AIツールには攻撃者に悪用される恐れのある脆弱(ぜいじゃく)性が存在する可能性がある。組織は他のソフトウェアと同様、生成AIツールに関しても定期的にパッチ(修正プログラム)を適用することが重要だ。
- コンプライアンスの問題
- AI技術の利用はコンプライアンス(法令順守)違反を引き起こす可能性がある。例えば大規模言語モデル(LLM)の学習に、個人を特定できる情報を使用すると、プライバシー侵害につながりかねない。他にも著作権侵害や契約違反など、コンプライアンスのさまざまな注意点がある。
- 倫理の問題
- AI技術を利用する際には、倫理を守る配慮が必要だ。AI技術は悪意を問わず、偏見を生み出すコンテンツを生成する可能性がある。組織はガバナンスの一環としてAI技術が生成したコンテンツをよく確認し、内容が偏っていないかどうかをチェックしなければならない。
- 「コンテンツ作り過ぎ」問題
- 生成AIツールで簡単にさまざまなコンテンツを作れる。しかし必要以上のコンテンツを作れば、セキュリティのリスクを増やすことになるので、必要なコンテンツは何かを慎重に考えよう。
- シャドーAI
- IT部門が承認していないIT利用「シャドーIT」にちなんで、従業員が勝手に生成AIツールを使う「シャドーAI」もある。組織はシャドーAIが使用されていないかどうかを監視し、発見すれば、すぐに使用を禁止すべきだ。
中編は、AI技術関連以外のセキュリティ課題(3つ目から7つ目まで)を取り上げる。
TechTarget発 先取りITトレンド
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.