AIは人々の生活を便利にする技術であり、ITをはじめとしてさまざま業界で活用されています。
セキュリティ対策のためのツールとしてもAIの活用が進んでいますが、その一方で無視できないセキュリティリスクも存在しています。
この記事ではAIのセキュリティリスクの概要とその問題点を解説し、AIを安全に活用するための各種ガイドラインを紹介します。
AIのセキュリティリスクとは何か
さまざまな企業でAIの導入が進んでいますが、AIを安全に活用するためには、一歩踏み込んだセキュリティ対策が欠かせません。
ここではAI特有のセキュリティリスクについて解説します。
AIを活用するときのセキュリティリスク
AIの性能はますます進化を続けており、今後はさらに幅広い分野において活用されるだろうと予想されています。AIの性能を向上させるためには、継続的な学習が必要ですが、未知のデータを与えたときに、AIがどのように動作するかを完璧に予測することは困難です。
不測の動作によりシステムのセキュリティリスクが高まる可能性は捨てきれず、実際に悪意のあるユーザーがAIを意図的に誤動作させる例も報告されているようです。
そのようなセキュリティリスクを回避するためには、開発の段階でAIの脆弱性を適切に把握して、攻撃への対抗策を講じる必要があるのです。
AIの脆弱性に対する対応
しかしながら、AIに含まれている脆弱性を全て検知することは困難です。
AIの学習には膨大なデータが必要ですが、それらのデータをすべてAIに与えたときに動作を検証することは不可能だからです。
そのため、AIの脆弱性の対応としては、セキュリティやAIの専門家による多角的な検証が、現在の対応策となっています。しかし、これでは検証に携わる専門家の力量によって結果が異なることも多く、非常に高いコストが要求されているのが現状です。
AIセキュリティの課題
このようにAIにおいてもセキュリティリスクは潜んでいます。
では、AIセキュリティにおける課題とは具体的にはどのようなものでしょうか。ここで詳しく解説します。
身近なAI搭載機器におけるリスク
機械学習の普及やビッグデータの活用など、AIが活躍する分野はますます増加しています。私たちの身近にある、スマートフォンやスマートスピーカーなどにもAIは導入されてきており、私たちの生活を便利で快適なものにしています。
しかしその一方で、それらの身近なAI搭載機器は悪意のある攻撃者のサイバー攻撃の対象ともなりえます。もしAI搭載機器がサイバー攻撃にあったりマルウェアに感染したりすると、その影響は個人のみならず社会にも大きな影響を与えることもあるでしょう。
AIのセキュリティを考えるうえで、AIを対象としたサイバー攻撃からの防御は欠かせない視点といえるわけです。
AIを活用したセキュリティ対策
セキュリティ対策としてAIをどのように活用するのかというのもAIセキュリティの課題の一つです。
たとえばマルウェアやサイバー攻撃のパターンをAIに学習させて、それらの検知にAIを役立てることができれば、未知のマルウェアやサイバー攻撃からシステムを防御することもできるようになるでしょう。
複雑かつ巧妙化するサイバー攻撃に対して、AIを活用したセキュリティ対策は将来有望な分野となるのではないでしょうか。
AIの進化によるセキュリティ問題
AIをセキュリティ対策に活用すると述べましたが、逆に攻撃者がAIを悪用してサイバー攻撃を仕掛けることがあります。
ここではAIが使われているサイバー攻撃について解説します。
AIファジング
ファジングとは、ソフトウェアの脆弱性を発見するテストのことです。
外部からデータを与えて、それに対しソフトウェアがどのような動作を実行するのかを確認します。一般的にソフトウェアのファジングには高度なスキルが必要ですが、AIを使えば難易度の問題は解決します。
ファジングはソフトウェアの脆弱性を検知して修正するのが正しい使い方ですが、悪意のある攻撃者がAIファジングを行うことで、未知の脆弱性を発見し、それを悪用してサイバー攻撃を仕掛けることを可能にしてしまいます。これによりゼロデイ攻撃のリスクが高まるのです。
機械学習ポイズニング
マルウェアなどの検知に機械学習を活用する動きがありますが、その機械学習の判断を狂わせるような攻撃が機械学習ポイズニングです。
これにより機械学習を取り入れているセキュリティ対策ソフトに対して、特定のサイバー攻撃を見逃すよう動作させることが可能となります。
AIによる画像認証のすり抜け
Web上の認証手段として、画像認証の機能を設けているケースがありますが、攻撃者がAIを悪用することで、簡単に突破されてしまう可能性があります。
AIを使えば、ほかにも人間でなければ処理できないような動作もコンピュータにより自動化される可能性があります。
AIセキュリティのガイドラインとは
セキュリティが確保されたAIを開発するには、一定のガイドラインに従って開発すると良いでしょう。
ここで紹介するのは、AI開発における3つのガイドラインです。セキュリティを含めたAIの品質向上に役立てられるものですので、ぜひ参考にしてください。
AIプロダクト品質保証ガイドライン
AIプロダクト品質保証ガイドラインとは、QA4AIが公開しているAIの品質を保証するためのガイドラインです。具体的には、以下の5つの軸を考慮しています。
- Data Integrity
- Model Robustness
- System Quality
- Process Agility
- Customer Expectations
それぞれの軸には詳細なチェックリストが設けられており、これらのチェックリストを満たしていることで、そのAIが安全かつ適切に使用できるものであるか評価できます。
また、それぞれの軸をバランス良く満たしていることで、バランスの良いAIとして評価されることになります。
AI・データの利用に関する契約ガイドライン
AI・データの利用に関する契約ガイドラインとは、経済産業省が公開しているAIとデータの利用に関する契約のガイドラインです。このガイドラインでは、AIやデータの技術的な面ではなく、契約面など法的な内容がメインに含まれています。
「データ提供型」「データ創出型」「データ共用型」の3つの契約類型を想定して、それぞれの交渉の在り方や交渉力について説明されています。
具体的な事例もふんだんに含まれているため、他社へのAI開発の委託や自社でAI開発の受託などの機会があったときに、トラブルを未然に防ぐためにも一読しておくと良いでしょう。
ディープラーニング開発標準契約書
ディープラーニング開発標準契約書とは、日本ディープラーニング協会が公開しているAIに関する契約書のひな型です。
AI開発に欠かせないディープラーニングですが、さまざまなアイデアが誕生して検討される一方で、その開発にかかる経験やスキル、知識などには、委託者と受託者の間で少なからぬギャップがあり、契約の締結までなかなか進まないという課題がありました。
そこでディープラーニング開発標準契約書として契約のひな型を公開することで、企業間の契約の締結を円滑化させ、ディープラーニングの活用を促進させようとする動きが誕生しました。
公開されているひな型は3種類、覚書は1つです。白紙から契約書を作成するのは骨が折れる作業ですので、このようなひな型を活用して、契約書作成を効率化させるのも良いでしょう。
まとめ
サイバーセキュリティの世界において、AIはサイバー攻撃と防御の双方に使われていることを紹介しました。
単純にAIを便利な技術として扱うには、現状では解決すべき課題も多く、そのうちの一つがこの記事で紹介したAIのセキュリティリスクです。
AIを活用するときには善と悪の双方の最新の動向をキャッチアップし、いざという時に万全の対策を講じられる体制を整えておくことが重要です。
情報セキュリティリスクに対応できる体制整備には、LRMのセキュリティ教育クラウド「セキュリオ」がおすすめです。
複数の情報セキュリティ機能の掛け合わせで、
- 従業員のセキュリティ意識向上
- 情報セキュリティ業務の工数削減
- セキュリティ認証運用管理
を実現します。
14日間EPスタンダードプランの機能をお試しいただける無料トライアルもございますので、ぜひご利用ください。
