Coalfire が Google Cloud AI を「成熟」しておりガバナンスやコンプライアンスに対応可能と評価
Jeanette Manfra
Senior Director, Global Risk & Compliance
Nick Godfrey
Senior Director, Office of the CISO, Google Cloud
※この投稿は米国時間 2024 年 5 月 31 日に、Google Cloud blog に投稿されたものの抄訳です。
Google Cloud は、より安全で責任あるプロダクトへの対応、お客様の信頼の獲得と維持、責任あるイノベーションの文化の育成のために、責任ある AI 開発と業務における透明性に対する取り組みを長年にわたり実証してきました。Google は、AI には複雑さとリスクが伴うことを理解しています。そして、AI のコンプライアンスを取り巻く今後の状況に備えるために、新しい AI ガバナンス フレームワークに対して積極的にベンチマークを行っています。
Google Cloud のコミットメントを実践に移すために、このたびサイバーセキュリティのリーダーとして名高い Coalfire に Google の現在のプロセスの調査を依頼し、アメリカ国立標準技術研究所(NIST)の AI リスク管理フレームワーク(AI RMF)および国際標準化機構(ISO)の ISO/IEC 42001 規格で定義された目標に照らして整合性と成熟度を測定してもらいました。Coalfire による評価がもたらした貴重な知見は、最高水準のデータ保護とプライバシーを維持するための取り組みを継続しながら、セキュリティ ポスチャーを強化することを可能にしました。
Google Cloud は、独立した外部からの視点は重要な客観性を提供すると確信しており、第三者による AI の準備状況の評価を実施した最初の組織となれたことを誇りに思っています。
Google のアプローチの中心にあるのは、AI システムの安全かつ確実な設計、開発、使用を支えることを目的とする統制システムの絶え間ない評価です。AI システム特有のリスクを軽減するフレームワーク(セキュア AI フレームワークなど)の活用はもちろん、包括的なリスク管理フレームワークとガバナンス体制の開発にも継続的に投資しています。
NIST AI RMF と ISO/IEC 42001
新しい規格の要件を確実に満たすために、Google は NIST や ISO などの規格開発機関と継続的に連携する部門横断型チームを構築しました。そして 2023 年、NIST と ISO は、セキュリティ、プライバシー、リスク管理を含め、AI ガバナンス プログラムを強化したいと考えている組織向けのガイドを発表しました。NIST AI RMF と ISO/IEC 42001 規格は、潜在的な AI リスクを管理し、信頼性の高い AI システムを構築するための体系的なプロセスを形成するうえで重要なガイダンスを提供しています。
AI ガバナンスとリスク管理に対する Google Cloud の包括的な戦略は、従来の方法と革新的な方法を組み合わせて、AI がもたらす独自の課題に対処するための有用なアプローチを提供します。以下に、効果的な AI ガバナンス フレームワークを確立し、AI リスクを管理するための 3 つの重要なベスト プラクティスをご紹介します。
1. AI に関する原則を明確に定義する
組織における AI 開発の取り組みの基盤となる要件、優先事項、期待値を明確にした、指針となる AI に関する原則を確立します。これらの原則では、対象範囲外のユースケースを明示的に示す必要があります。また、AI に関する原則は、意思決定とリスクを一貫して評価するための明確なフレームワークも提供します。
たとえば、Google の AI に関する原則は、潜在的な弊害の評価、バイアスの発生や助長の防止、AI システムの安全な開発とデプロイに関するガイダンスの提供に焦点を絞ることで、AI リスクを管理するための方向性を決定付けられるようにしています。この原則は、Google が責任を持ってテクノロジーを開発し、アカウンタビリティと透明性を推進するのに役立っています。
「NIST AI RMF と ISO/IEC 42001 の評価を実施した際、Google が責任ある AI の使用と開発に長期間取り組んできたことがすぐにわかりました。この 1 年半の間、生成 AI は大きな話題となりましたが、Google の AI に関する原則は 10 年以上も前から存在し、AI 開発のための成熟した土台を提供しています」と、Coalfire で AI リスク評価を担当する Ian Walters 氏は述べています。
2. 既存の基盤を使用する
まったく新しいリスク管理プロセスを構築するよりも、現在のリスク管理プロセスを AI システムのニーズに合わせて拡張する方がより効果的であることがわかりました。既存の強固な基盤を活用することで、組織はリスク許容度に合わせ、かつ既存の脅威の幅広いコンテキストの中で、AI 関連のリスクを評価し、対処することができます。これにより、より包括的なリスク管理戦略と一貫したガバナンス プラクティスが可能になります。
AI リスクを現在のリスク管理プラクティスに統合する戦略は、組織全体の可視性を高めます。また、AI システムに関連する特定のリスクを包括的に管理するために欠かせません。たとえば、強固なセキュリティ フレームワークにより、従来の統制の妥当性を評価し、AI システムに対応するためにそれをどのように適応させたり拡張したりしなければならないかを評価できます。
3. 進化する状況に適応する
AI テクノロジーの動的な性質と複雑性、そして変化する規制環境を考えると、AI リスク管理プラクティスの継続的な進化は不可欠と言えます。そのために重要なのは、AI システムの開発、実装、モニタリング、検証を理解する部門横断的なチームを構築することです。また、AI システムに対するリスク評価は、進化するプロダクト ユースケース、データの機密性、デプロイ シナリオ、運用サポートの状況に応じて行う必要があります。
AI ライフサイクル全体にわたってリスクを特定、評価、軽減するためのアプローチは、優先順位を付け、一貫性をもって維持していかねばなりません。新たな課題や潜在的な脅威が出現するため、AI システムの安全性とセキュリティを確保するためには、適応能力と警戒が最優先事項となります。
次のステップ
AI のフレームワークや規制が次々と登場し、発展し続けるなか、Google は政府機関、業界のリーダー、お客様、パートナーの皆様と協力して、Google の AI システムが最高水準を満たすものとなるように努めています。
Google は、NIST AI RMF や ISO/IEC 42001 などのフレームワークへの取り組み、そして Coalfire などの独立評価機関との連携により、AI ガバナンス プラクティスの強化を図っています。その過程で、学んだこと、戦略、ガイダンスを共有し、責任ある、安全で、コンプライアンスに準拠した、信頼性の高い AI システムを共に構築し提供できるように尽力しています。
