IBMとAWSの報告：生成AI革新競争が明らかにしたセキュリティの脆弱性

生成AIのセキュリティ確保に必要なこと

IBMとAmazon Web Services（AWS）の最近の調査によると、生成AI（Gen AI）のセキュリティに関する簡単な解決策は存在しないことが明らかになりました。IBMビジネスバリュー研究所によるアメリカの経営幹部を対象とした調査では、AIの取り組みにおいてセキュリティがいかに重要であるかが強調されています。特に、82%の経営幹部が、安全で信頼できるAIがビジネス成功のために不可欠であると考えています。

しかし、意図と行動には大きなギャップがあります。現在、企業は生成AIプロジェクトのわずか24%のみを保護しています。このセキュリティに対する懸念はPwCの報告にも示されており、77%のCEOがAIのサイバーセキュリティリスクを心配しています。

これらの課題に対処するため、IBMはAWSと連携し、生成AIのセキュリティを強化する取り組みを進めています。本日、IBMは生成AIのセキュリティ措置を進展させることを目的とした「IBM X-Force Red Testing Service for AI」を発表しました。

イノベーションとセキュリティのジレンマ

技術のセキュリティ確保は基本的な課題のように思えますが、多くの企業はセキュリティよりもイノベーションを優先しています。報告書によると、69%の組織がイノベーションを最優先しており、結果として包括的なセキュリティ対策が軽視されています。IBMコンサルティングのサイバーセキュリティサービスのグローバルシニアパートナーであるディンプル・アフルワリアは、リーダーが生成AIでのイノベーションを求められ、セキュリティが後回しにされがちであると述べています。

アフルワリアは「クラウドコンピューティングの初期と同様に、多くの企業が十分なセキュリティ計画なしに生成AIに飛び込んでおり、これが最終的にセキュリティを脅かす」と注意を促しています。

効果的なAIセキュリティに向けたガイドラインの構築

生成AIへの信頼を構築するためには、企業は強固なガバナンスを実施する必要があります。これは、ビジネス目標に合致したポリシー、プロセス、コントロールの作成を含み、81%の経営者が生成AIを保護するために新しいガバナンスモデルが不可欠であると考えています。ガバナンスの枠組みが整った後、企業はAIパイプライン全体のセキュリティ戦略を展開できます。これには、セキュリティ、テクノロジー、ビジネスチーム間の協力や、戦略開発、トレーニング、コスト正当化、コンプライアンス対応のためのテクノロジーパートナーの専門知識を活用することが求められます。

IBM X-Force Red Testing Service for AI

ガバナンスに加え、セキュリティの確認とテストも重要です。IBM X-Force Red Testing Service for AIは、AI専用に設計されたIBMの最初のテストサービスです。このサービスは、ペネトレーションテスト、AIシステム、データサイエンスの専門家からなる多様なチームを構成し、IBMリサーチとAdversarial Robustness Toolbox（ART）の洞察を利用しています。

「レッドチーミング」という用語は、脆弱性を特定するために敵対的な戦術を用いる積極的なセキュリティアプローチを指します。IBMのX-Force Red部門のグローバルヘッドであるクリス・トンプソンは、現在の焦点はAIモデルの安全性とセキュリティのテストに移行したと説明します。「生成AIアプリケーションへの攻撃は従来のアプリケーションセキュリティの脅威に類似していますが、独自の展開と拡大した攻撃面があります」とトンプソンは述べます。

2024年が進む中で、IBMは真のレッドチーミングに似た戦略の統合を目撃しています。このアプローチは、AIプラットフォーム、モデルの調整とトレーニングのためのMLパイプライン、生成AIアプリケーションの生産環境、そしてアプリケーション自体の4つの主要な領域を網羅しています。

「私たちの従来のレッドチーミングの努力と一致して、見逃されていた検出機会を明らかにし、これらの革新的なAIソリューションを狙った潜在的な脅威を迅速に検出することを目指しています」とトンプソンは結論づけています。