The Prompt: AI のセキュリティ確保のための 8 つのポイント
Google Cloud Japan Team
今の時代において、組織が AI 活用に際してのセキュリティ確保の方法を考えることは必要不可欠です。今回は、その方法について紹介します。
※この投稿は米国時間 2023 年 8 月 24 日に、Google Cloud blog に投稿されたものの抄訳です。
このところ、ビジネス リーダーたちの間では、生成 AI が話題の中心となっています。急速に進化を続け、変革をもたらすこの分野の話題をフォローできるよう、「The Prompt」と題したシリーズを通じ、Google がお客様やパートナーと接するなかでの気づきや、Google の AI の最新動向を紹介していきます。今回は、Google Cloud CISO オフィスのセキュリティ アドバイザーを務める Anton Chuvakin とディレクターの John Stone が、AI システムのセキュリティ確保が従来のエンタープライズ システムのセキュリティ確保とどのように似ているのか、そしてどのように異なるのかを探ります。
AI のセキュリティ確保にはどのような意味があるのでしょう?AI は、私たちの生活の中に急速に普及しつつあります。同時に私たちは、AI を利用する上でのセキュリティを考慮する必要に迫られています。AI のセキュリティ確保は、他の技術システムのセキュリティ確保と同じものなのでしょうか?それとも、まったく異なるものなのでしょうか?
Cloud Security Podcast の最近のエピソードで、AI のセキュリティ確保の定義について訊かれた Google Cloud 担当バイス プレジデント兼 CISO の Phil Venables は、AI のセキュリティ確保にはソフトウェア セキュリティの要素に加え、データ セキュリティとデータ ガバナンスの要素も含まれると述べています。
彼は次のように話しています。「AI セキュリティとは、不正なアクセス、使用、変更、開示などから AI システムを守ることです。これには、AI システムが利用するソフトウェア、データ、環境のセキュリティ確保も含まれます。AI システムを保護するために、セキュリティ チームとリスク チームは AI システムに関連するリスクについて把握する必要があります。AI セキュリティは、コードの出所などのソフトウェア セキュリティ要素、データ ガバナンスなどのデータ セキュリティ要素、API セキュリティなどのその他のコントロールや安全保護対策という、興味深い組み合わせで表現されます。」
Google は Secure AI Framework(SAIF)を導入し、AI のセキュリティ確保を考えるための、概念的なフレームワークを提供しています。次のステップでは、従来のシステムと比較した、AI のセキュリティ確保に対するアプローチの類似点と相違点に焦点を当ててみましょう。
AI は新たなセキュリティの世界を象徴するものです。しかし、従来のセキュリティの世界が終わったわけではありません。AI のセキュリティ確保は、これまでのセキュリティのベスト プラクティスを魔法のように覆すものではないのです。セキュリティ チームが学んできた知恵の多くは依然として、正しく適用することができます。AI のセキュリティ確保に関する Google Cloud の新しいレポートで強調されているとおり、従来のシステムと AI システムには、同じセキュリティ原則とセキュリティ プラクティスの多くが適用されます。
最も重要な違いの一つは、AI システムには、従来のシステムには無い新たなセキュリティ リスクをもたらす可能性があるということです。たとえば、一部の AI システムは、敵対的サンプル(AI システムに誤った予測をさせるよう綿密に作成された入力データ)によって、より簡単に騙される可能性があります。また、AI システムを使用して、他のシステムへの攻撃に使用できる合成データを生成することもできます。
ただし、従来のシステムに適用されるセキュリティ原則の多くは、AI システムにも適用されます。たとえば、ネットワーク アクセス制御、脅威の検出、データの暗号化などのセキュリティ管理は AI システムにも実装することが重要です。さらに、対象のユースケースの代表的なデータで AI システムをトレーニングし、脆弱性、構成ミス、誤用がないかをテストすることも重要です。
おすすめのアプローチは、より多くの類似点(大部分が機能する既存のセキュリティ管理やアプローチ)と相違点(新たに考案する必要があるツールや手法)を探すことです。SAIF の第一原則に沿って安全なインフラストラクチャを使用することは、あらゆる AI プロジェクトにとって確かな出発点となります。
組織が AI システムのセキュリティ確保をすぐに始められるよう、Google の新しい調査で類似点と相違点を明らかにしました。AI システムのセキュリティ確保と AI 以外のシステムのセキュリティ確保における 4 つの主な相違点は、以下のとおりです。
- AI システムはより複雑である。多くの場合、AI システムは ML モデル、データ パイプライン、ソフトウェア アプリケーションなど、複数のコンポーネントで構成されています。この複雑さにより、セキュリティ確保が従来のシステムよりも難しくなっています。
- AI システムはよりデータドリブンである。AI システムは、トレーニングと動作にデータを活用しています。攻撃者はデータを操作してシステムを誤動作させることができるため、このデータが脆弱性の原因となる場合があります。
- AI システムはより適応型である。AI システムは時間をかけて学習して適応します。これが、攻撃を防ぐことを難しくします。攻撃者は継続的に技術を更新して、新たな脆弱性を利用することができるからです。
- AI システムはより相互接続されている。多くの場合、AI システムは組織内外の他のシステムと接続されています。あるシステムの脆弱性を利用して別のシステムを攻撃することができるため、この相互接続性が新たな攻撃ベクトルを生む可能性があります。
AI は新たなセキュリティの世界を象徴するものですが、従来のセキュリティの世界が終わったわけではありません。AI のセキュリティ確保は、これまでのセキュリティのベスト プラクティスを魔法のように覆すものではありません。セキュリティ チームが学んできた知恵の多くは依然として正しく適用することができます。
Google は、AI システムのセキュリティ確保と AI 以外のシステムのセキュリティ確保における 4 つの類似点も明らかにしました。
- 多くの脅威は同じです。どちらのシステムも、不正アクセス、データの改ざんや破壊、その他の一般的な脅威から保護する必要があります。
- 多くの脆弱性も同じです。従来のエンタープライズ ソフトウェアも AI システムも、入力のインジェクションやオーバーフローなど、一般的なアプリケーション セキュリティの脆弱性の影響を受けやすいものとなっています。また、セキュリティに関する構成ミスも深刻な問題です。
- 処理するデータを保護する必要があります。どちらのシステムも、機密データや規制対象データを、場合によっては大量に保存して処理します。データの種類には、個人情報、財務データ、知的財産などが含まれる場合があります。
- サプライ チェーン攻撃は大きな問題です。サプライ チェーン攻撃は、どちらのシステムにも深刻な被害をもたらす可能性があります。
AI システムには、固有の新しいセキュリティ リスクが確かに存在します。AI に投資する組織は、敵対的サンプルやプロンプト インジェクションのリスクを低減するよう注意する必要があります。AI システムの開発時および使用時に、これらのリスクを考慮しなければなりません。取締役会や経営幹部はこのことを認識すべきであり、CISO やセキュリティ チームは、AI システムを利用およびデプロイするチームのメンバーと協力する必要があります。
成功を収めるには、セキュリティ チームは従来のアプリケーション セキュリティ、データ セキュリティ、システム セキュリティを基盤にして、AI のユースケース、AI の脅威、AI 固有の安全保護対策に関する新たな知識を加えていく必要があります。
次のステップ
従来のエンタープライズ ソフトウェア システムと AI システムにおけるセキュリティ確保の類似点と相違点の詳細については、調査レポート「yoSecuring AI: Similar or Different?(AI のセキュリティ確保: 類似点と相違点)」をご覧ください。また、SAIF のビジュアル資料、SAIF ガイド、AI レッドチーム レポートを確認することもおすすめします。
- Google Cloud、CISO オフィス セキュリティ アドバイザー Anton Chuvakin
- Google Cloud、CISO オフィス ディレクター John Stone
