AI Protection は、脅威を検出し、AI アセット インベントリのリスクを軽減することで、AI ワークロードのセキュリティ ポスチャーを管理するのに役立ちます。このドキュメントでは、AI Protection の概要、メリット、いくつかの重要なコンセプトについて説明します。
AI 保護の概要
AI Protection には、AI システムに対する脅威とリスクの管理に役立つ次のような機能が用意されています。
- AI インベントリを評価する: モデルやデータセットなどの AI システムと AI アセットを評価して把握します。
- リスクとコンプライアンスを管理する: AI アセットのリスクを事前に管理し、AI デプロイが関連するセキュリティ基準に準拠していることを確認します。
- 法的リスクと財務リスクを軽減する: セキュリティ侵害や規制の不遵守に関連する財務リスク、評判リスク、法的リスクを軽減します。
- 脅威を検出して管理する: AI システムとアセットに対する潜在的な脅威を迅速に検出して対応します。
- 1 つのダッシュボードを表示する: AI 関連のリスクと脅威をすべて 1 つの一元化されたダッシュボードから管理します。
ユースケース
AI Protection は、AI システムと機密データに関連する脅威とリスクを特定して軽減することで、組織のセキュリティ強化を支援します。次のユースケースは、さまざまな組織で AI Protection を使用する方法の例です。
金融サービス機関: 顧客の財務データ
大規模な金融サービス機関は、機密性の高い財務データを処理する AI モデルを使用しています。
- 課題: AI モデルで機密性の高い金融データを処理するには、データ漏洩、トレーニングまたは推論中のデータ流出、基盤となる AI インフラストラクチャの脆弱性など、いくつかのリスクが伴います。
- ユースケース: AI Protection は、AI ワークフローで不審なアクティビティを継続的にモニタリングし、不正なデータアクセスや異常なモデル動作の検出、機密データの分類を行い、PCI DSS や GDPR などの規制への準拠を支援します。
医療機関: 患者のプライバシーとコンプライアンス
大手医療機関が電子医療記録を管理し、診断と治療計画に AI を使用して、保護医療情報(PHI)を扱っています。
- 課題: AI モデルで分析される PHI は、HIPAA などの厳格な規制の対象となります。リスクには、構成ミスによる PHI の意図しない公開や、患者データを目的とした AI システムを標的とする悪意のある攻撃などがあります。
- ユースケース: AI Protection は、HIPAA 違反の可能性を特定してアラートを送信し、モデルまたはユーザーによる PHI への不正アクセスを検出し、脆弱性があり、構成が誤っている可能性のある AI サービスにフラグを設定し、データ漏洩をモニタリングします。
製造業とロボット工学の企業: 独自の知的財産
高度なロボット工学と自動化を専門とする製造会社は、生産ラインとロボット制御の最適化に AI を大きく依存しており、AI アルゴリズムと製造データに重要な知的財産(IP)が組み込まれています。
- 課題: 独自の AI アルゴリズムと機密性の高い運用データは、内部の脅威や外部の敵対者による盗難に対して脆弱であり、競争上の不利や運用の中断につながる可能性があります。
- ユースケース: AI Protection は、AI モデルとコード リポジトリへの不正アクセスをモニタリングし、トレーニング済みモデルの引き出しと異常なデータアクセス パターンの試みを検出し、AI 開発環境の脆弱性にフラグを設定して IP の盗難を防ぎます。
Event Threat Detection のルール
次の Event Threat Detection ルールは、Vertex AI アセットで検出を実行します。
- 永続性: 新しい AI API メソッド
- 永続性: AI サービスの新しい地域
- 権限昇格: AI 管理アクティビティに関する、サービス アカウントの異常な権限借用
- 権限昇格: AI データアクセスに関する、サービス アカウントの異常な権限借用
- 権限昇格: AI 管理アクティビティに関する、異常なマルチステップ サービス アカウントの委任
- 権限昇格: AI データアクセスに関する、異常なマルチステップ サービス アカウントの委任
- 権限昇格: AI 管理アクティビティに関する、サービス アカウントの異常な権限借用
- 初期アクセス: AI サービスに関する、使われていないサービス アカウントのアクティビティ
Event Threat Detection の詳細については、Event Threat Detection の概要をご覧ください。
AI 保護フレームワーク
AI Protection は、検出モードで自動的にデプロイされる特定のクラウド制御を含むフレームワークで構成されています。検出モードは、モニタリング目的で定義されたリソースにクラウド制御が適用されることを意味します。違反が検出され、アラートが生成されます。フレームワークとクラウド コントロールを使用して、AI Protection の要件を定義し、その要件を Google Cloud 環境に適用します。AI Protection には、AI Protection の推奨ベースライン制御を定義するデフォルトのフレームワークが含まれています。AI Protection を有効にすると、デフォルトのフレームワークが検出モードの Google Cloud 組織に自動的に適用されます。
必要に応じて、フレームワークのコピーを作成して、カスタムの AI Protection フレームワークを作成できます。クラウド コントロールをカスタム フレームワークに追加し、カスタム フレームワークを組織、フォルダ、プロジェクトに適用できます。たとえば、特定のフォルダに特定の管轄区域の制御を適用するカスタム フレームワークを作成して、それらのフォルダ内のデータが特定の地理的リージョン内に留まるようにすることができます。
デフォルトの AI 保護フレームワークのクラウド コントロール
次のクラウド制御は、デフォルトの AI Protection フレームワークの一部です。
| Cloud コントロール名 | 説明 |
|---|---|
Vertex AI Workbench インスタンスのデフォルト VPC ネットワークをブロックする |
制限が緩すぎるデフォルトのファイアウォール ルールの使用を防ぐため、デフォルトの VPC ネットワークに Workbench インスタンスを作成しないでください。 |
JupyterLab コンソールでファイルのダウンロードをブロックする |
Workbench インスタンスの JupyterLab コンソールからのファイル ダウンロードを許可しないでください。これにより、データ引き出しのリスクを軽減し、マルウェアの配布を防ぐことができます。 |
Vertex AI ランタイム テンプレートのインターネット アクセスをブロックする |
Colab Enterprise ランタイム テンプレートでインターネット アクセスを許可しないことで、外部の攻撃対象領域を縮小し、潜在的なデータ引き出しを防止できます。 |
Vertex AI Workbench インスタンスのパブリック IP アドレスをブロックする |
Workbench インスタンスの外部 IP アドレスを許可しないことで、インターネットへの露出を減らし、不正アクセスのリスクを最小限に抑えます。 |
Vertex AI Workbench インスタンスで root アクセスをブロックする |
Workbench インスタンスでルートアクセスを許可しないでください。これにより、重要なシステム ファイルの不正な変更や悪意のあるソフトウェアのインストールを防ぐことができます。 |
Vertex AI WorkBench インスタンスの自動アップグレードを有効にする |
Workbench インスタンスの自動アップグレードを有効にして、最新の機能、フレームワークの更新、セキュリティ パッチを利用できるようにします。 |
Vertex AI カスタムジョブの CMEK を有効にする |
Vertex AI カスタム トレーニング ジョブで顧客管理の暗号鍵(CMEK)を必須にして、ジョブの入力と出力の暗号化をより詳細に制御します。 |
Vertex AI データセットの CMEK を有効にする |
Vertex AI データセットに顧客管理の暗号鍵(CMEK)を要求して、データ暗号化と鍵管理をより細かく制御します。 |
Vertex AI エンドポイントで CMEK を有効にする |
Vertex AI エンドポイントに顧客管理の暗号鍵(CMEK)を要求して、デプロイされたモデルの暗号化をより細かく制御し、データアクセスを制御します。 |
Vertex AI Feature Store の CMEK を有効にする |
Vertex AI Feature Store に顧客管理の暗号鍵(CMEK)を要求して、データ暗号化とアクセスをより細かく制御します。 |
Vertex AI ハイパーパラメータ チューニング ジョブで CMEK を有効にする |
ハイパーパラメータ チューニング ジョブで顧客管理の暗号鍵(CMEK)を必須にして、モデル トレーニング データとジョブ構成の暗号化をより細かく制御します。 |
Vertex AI メタデータ ストアの CMEK を有効にする |
Vertex AI メタデータ ストアに顧客管理の暗号鍵(CMEK)を要求して、メタデータの暗号化をより細かく制御し、アクセスを制御します。 |
Vertex AI モデルの CMEK を有効にする |
Vertex AI モデルに顧客管理の暗号鍵(CMEK)を必須にして、データ暗号化と鍵管理をより詳細に制御します。 |
Vertex AI Notebook ランタイム テンプレートの CMEK を有効にする |
Colab Enterprise ランタイム テンプレートに顧客管理の暗号鍵(CMEK)を要求して、ランタイム環境と関連データを保護します。 |
Vertex AI TensorBoard の CMEK を有効にする |
Vertex AI TensorBoard に顧客管理の暗号鍵(CMEK)を要求して、試験運用データとモデルの可視化の暗号化をより詳細に制御します。 |
Vertex AI トレーニング パイプラインで CMEK を有効にする |
Vertex AI トレーニング パイプラインで顧客管理の暗号鍵(CMEK)を必須にして、トレーニング データと結果のアーティファクトの暗号化をより細かく制御します。 |
Vertex AI Workbench インスタンスの CMEK を有効にする |
Vertex AI Workbench インスタンスに顧客管理の暗号鍵(CMEK)を要求して、データ暗号化をより詳細に制御します。 |
Vertex AI Workbench インスタンスで削除してゴミ箱に入れる機能を有効にする |
Workbench インスタンスで [Delete to Trash] メタデータ機能を有効にすると、重要な復元セーフティ ネットが提供され、誤ったデータ損失を防ぐことができます。 |
Vertex AI ランタイム テンプレートのアイドル シャットダウンを有効にする |
Colab Enterprise ランタイム テンプレートで自動アイドル シャットダウンを有効にすると、クラウド費用を最適化し、リソース管理を改善し、セキュリティを強化できます。 |
Vertex AI Workbench インスタンスの整合性モニタリングを有効にする |
Workbench インスタンスで整合性モニタリングを有効にして、信頼できるベースラインに対して VM の起動時の整合性を継続的に証明します。 |
Vertex AI ランタイム テンプレートのセキュアブートを有効にする |
Colab Enterprise ランタイム テンプレートでセキュアブートを有効にすると、不正なコードの実行を防ぎ、オペレーティング システムの整合性を保護できます。 |
Vertex AI Workbench インスタンスでセキュアブートを有効にする |
Workbench インスタンスでセキュアブートを有効にすると、ブートプロセス中に不正なソフトウェアや悪意のあるソフトウェアが実行されるのを防ぐことができます。 |
Vertex AI Workbench インスタンスで vTPM を有効にする |
Workbench インスタンスで仮想トラステッド プラットフォーム モジュール(vTPM)を有効にして、ブートプロセスを保護し、暗号化をより細かく制御します。 |
Vertex AI Workbench インスタンスのデフォルト サービス アカウントの使用を制限する |
Workbench インスタンスに対する権限の強いデフォルトのサービス アカウントの使用を制限して、 Google Cloudサービスへの不正アクセスのリスクを軽減します。 |
サポートされている機能領域
このセクションでは、AI Protection がセキュリティ保護に役立つ機能領域を定義します。
- AI ワークロード: AI アプリケーション ワークロードは、従業員の生産性向上を目的とした内部ツールから、ユーザー エクスペリエンスの向上とビジネスの推進を目的とした消費者向けソリューションまで多岐にわたります。例としては、AI エージェント、仮想アシスタント、会話型 AI チャットボット、パーソナライズされたレコメンデーションなどがあります。
- AI モデル: AI モデルは、基盤 AI モデル、ファインチューニングされた AI モデル、標準のファーストパーティ AI モデル、カスタム AI モデルに分類されます。例: Gemini、Llama、翻訳モデル、特定のタスク用のカスタムモデル。
- AI アセット: AI アセットは、ML オペレーション パイプラインに貢献し、AI ワークロードで使用されます。AI アセットのタイプには次のものがあります。
- 宣言型 AI アセット: Vertex AI などの AI ライフサイクル管理ツールがこれらのアセットを追跡します。
- 推論された AI アセット: AI データやワークロードの処理に使用される、コンピューティング アセットやストレージ アセットなどの汎用アセット。
- Model-as-a-Service(API のみ): ファーストパーティまたはサードパーティの AI モデルへのプログラム呼び出しがあるアセット。
AI Security ダッシュボードを使用する
AI セキュリティ ダッシュボードには、組織の AI アセット インベントリの包括的なビューが表示され、リスクと脅威の管理を強化するための潜在的な軽減策が提案されます。
ダッシュボードにアクセスする
AI セキュリティ ダッシュボードにアクセスするには、 Google Cloud コンソールで [リスクの概要] > [AI セキュリティ] に移動します。
詳細については、AI セキュリティ ダッシュボードをご覧ください。
リスク情報を理解する
このセクションでは、AI システムに関連する潜在的なリスクについて説明します。AI インベントリの最もリスクの高い問題を確認できます。
問題をクリックすると、問題の可視化を提供する詳細ペインが開きます。
AI の脅威を表示する
このセクションでは、AI システムに関連する脅威について説明します。AI リソースに関連する最近の脅威の上位 5 件を表示できます。
このページでは、次のことができます。
- [すべて表示] をクリックして、AI リソースに関連付けられている脅威を表示します。
- 脅威をクリックすると、その脅威の詳細が表示されます。
インベントリを可視化する
AI インベントリの可視化は、生成 AI を含むプロジェクト、アクティブに使用されているファーストパーティ モデルとサードパーティ モデル、サードパーティ モデルのトレーニングに使用されているデータセットの概要を示すダッシュボードで確認できます。
このページでは、次のことができます。
- インベントリの詳細ページを表示するには、可視化のノードをクリックします。
- 個々のアセット(基盤モデルやカスタムビルドモデルなど)の詳細なリストを表示するには、ツールチップをクリックします。
- モデルの詳細ビューを開くには、モデルをクリックします。このビューには、モデルがホストされているエンドポイントや、モデルのトレーニングに使用されたデータセットなどの詳細が表示されます。Sensitive Data Protection が有効になっている場合、データセット ビューには、データセットに機密データが含まれているかどうかも表示されます。
検出結果の概要を確認する
このセクションでは、AI フレームワークとデータ セキュリティ ポリシーによって生成された検出結果を評価して管理する方法について説明します。このセクションには、次の情報が含まれます。
- 検出結果: このセクションには、AI セキュリティ ポリシーとデータ セキュリティ ポリシーによって生成された検出結果の概要が表示されます。[すべての検出結果を表示] をクリックするか、各検出結果カテゴリのカウントをクリックして、検出結果の詳細ページを表示します。検出結果をクリックすると、その検出結果に関する追加情報が表示されます。
- Vertex AI データセット内の機密データ: このセクションには、Sensitive Data Protection によって報告された、データセット内の機密データに基づく検出結果の概要が表示されます。
Model Armor の検出結果を調べる
グラフには、Model Armor によってスキャンされたプロンプトまたはレスポンスの合計数と、Model Armor によって検出された問題の数が表示されます。また、プロンプト インジェクション、ジェイルブレイク検出、機密データ検出など、検出されたさまざまな種類の問題の要約統計情報も表示されます。
この情報は、Model Armor が Cloud Monitoring に公開する指標に基づいて入力されます。
次のステップ
- AI Protection を構成する方法を確認する。
- リスクを評価するには、ダッシュボードのデータにアクセスします。