AI時代のデータ セキュリティの3原則

AIブームとAI導入は空前の活況です。最新のグローバルAIトレンドに関するS&Pレポートによると、少なくとも1つのAIプロジェクトが本番環境に達している回答者が約70%でした。AIにはビジネス活動を根本から変える潜在能力がありますが、新たなリスク要因を生み出し悪意ある人物にも攻撃の機会を与えます。こうした脅威に対して現時点では対策の準備ができていない企業がほとんどです。

この半年に公開された3つのレポート(S&P Global「2023年グローバルAIトレンド レポート」、Foundry「2023年AI優先事項調査」、Forrester「生成AIの導入に向けた最大の壁はセキュリティとプライバシーの懸念」)で同じ調査結果が得られています。すなわち、生成AIの導入と実装を目指す組織にとっての最大の課題と壁はデータ セキュリティです。AI実装の関心の高まりが、クラウド環境に保管されるデータの増加に直接的な影響を与えました。当然ながら、クラウド アーキテクチャは地理的な管轄区域を超えて広がることが多いため、異なるクラウド アーキテクチャにまたがるデータの保管、アクセス、処理に関するデータ量の増加に伴って、セキュリティ リスクとプライバシー リスクは悪化する傾向にあります。

Unit 42^®の2024年版インシデント レスポンス レポートによると、データ盗難が高速化しており、侵害からデータ抽出までの活動を1日未満で完了させる攻撃者が45%でした。そのため、適切な対策をとらなければすぐさまサイバー犯罪の主要な標的になります。データが生命線となる新たな「AI時代」が幕を開けます。この環境で優位に立ち、将来への影響を恐れることなくAIの恩恵を安全に追求できるのは、データ セキュリティを理解し優先する組織です。

効果的なデータ セキュリティ プログラムの基盤を構築

新たなAI時代の効果的なデータ セキュリティ プログラムは、以下の3原則から構成されます。

AIを守る: データ、パイプライン、モデル出力などのAIデプロイメントを隔離によって守ることはできません。AIシステムが使われる際のコンテキストに加えて、機密データの意図しない公開、実際のアクセス権、規制遵守にAIシステムが及ぼす影響を考慮することが、セキュリティ プログラムには求められます。

また、AIモデル自体のセキュリティを確保するには、AIパイプライン全体でモデルのリスク、過剰な権限、データ フロー違反を特定することが必要です。

AIから守る: 新しいテクノロジの例に漏れず、AIは諸刃の剣です。大規模な攻撃を開発し実行する手段として注目を集めています。現時点での生成AIの悪用事例としては、マルウェアの開発、見破りづらいフィッシング メールの作成、ディープフェイクを用いたネット上での偽情報の拡散が挙げられます。また、生成AIツールや大規模言語モデル自体が攻撃を受け、被害を受けたツールからデータが漏洩したり、有害な結果が出力されたりする可能性もあります。

AIで守る: AIは今やサイバー防御戦略に欠かせない要素となりつつあります。防御にAIテクノロジを導入することで、サイバー攻撃を前例のないレベルで予測、追跡、阻止する可能性が広がります。AIによって大量の脅威を効率的に選別し、最も重大な脅威を優先すれば、セキュリティ アナリストの業務を大幅に効率化できます。また、AIはパターン認識に非常に有効なため、繰り返しの攻撃チェーンをたどる脅威(ランサムウェアなど)を早期に阻止できます。

これらのデータ セキュリティ原則に着目することで、企業をリスクに晒すことなくAIの探求とAIによるイノベーションを安心して進められます。