AIのセキュリティリスクとは?
AIはその特性上、セキュリティ面でのリスクがあります。
まずはどのようなリスクが想定されるのか把握しておきましょう。
機密情報の漏洩
LLM(大規模言語モデル)が搭載されたAIツールを利用する際は、プロンプトに入力した情報が漏洩する可能性があることを押さえておきましょう。
入力した情報が直接ほかのユーザーへの回答に使われることはありません。
ただしLLMの提供会社やそのパートナー企業はプロンプトの内容を閲覧することが可能です。機密情報や個人情報を入力するとLLMに保存され、第三者に利用されるおそれがあります。
またサイバー攻撃によりハッキングされたり漏洩したりするリスクもあります。
サイバー攻撃については後ほど詳しく説明いたします。
セキュリティ上の問題が生じる
AIツールによってコードを生成するとエンジニアの大幅な工数削減につながります。
しかしAIは膨大な情報をもとにルールを学習するため、誤った判断や予測をする可能性もあります。安全でないコードを生成するおそれがあるということです。
セキュリティを維持するにはコードの脆弱性を特定して解決する必要がありますが、開発者が気付かないまま実行してしまうと非常に危険です。
意図せず危険なコードを本番環境に適用してしまうのは、大きなセキュリティリスクです。
生成されたコードは必ず人の目でチェックしなければなりません。システムのセキュリティを担保するためにも、脆弱性がないか確認して改善することが重要です。
AIを標的としたサイバー攻撃
AIを標的とするサイバー攻撃の一例をご紹介します。
回避攻撃
回避攻撃は、敵対的サンプルを利用してAIの誤分類を誘発させることを指します。
敵対的サンプルとはオリジナルデータへ意図的に「摂動」と呼ばれるノイズを加えたデータを指します。画像であれば画素数、音声であれば波形を調整してAIを活用した認証システムを騙すという仕組みです。
たとえば、自動車に搭載されたAIに「進入禁止」の標識を「制限速度80km/h」と誤認させるようなこともできてしまうわけです。
人の生命を脅かす危険な事態も想定されるため、AIを活用したサービスを扱うすべての企業は注意する必要があります。
データポイズニング
データポイズニングとは、AIに改ざんしたデータを学習させる攻撃方法です。
たとえばAIを搭載したウイルス対策ソフトにデータポイズニングを仕掛けると、マルウェアに感染してもソフトが検知できないようになります。そして利用者が気付かない内にPCから個人情報を抜き取ったり、データを破損させたりするのです。
特に大規模言語モデル(※)のChatGPTなどはオープンウェブの情報を学習用データとして使用するため、被害の対象になりやすいと考えられています。
生成AIツールを利用する際はデータの改ざんや偽装を防ぐための対策も考えていく必要があるでしょう。
※大規模言語モデル…大量のテキストデータを用いて訓練する自然言語処理のモデル
AIを悪用したサイバー攻撃
AIを悪用したサイバー攻撃の一例をご紹介します。
ゼロデイ攻撃
ゼロデイ攻撃とはソフトウェアやハードウェアの脆弱性を発見し、攻撃することを指します。
セキュリティパッチが公開される前(=「0日(ゼロデイ)」)に攻撃されることから名づけられました。
AIファジング(※)が可能になったことをきっかけに被害が増えている攻撃手法です。
開発者が脆弱性を見つける前に攻撃されるため、被害が拡大しやすいのが特徴です。
※AIファジング…ネットワークやシステムの脆弱を自動的に検知すること
生成AIによるサイバー攻撃
悪意のある第三者が生成AIによって、
・フィッシングを目的とした攻撃メール
・マルウェアのコード
を作成するケースが考えられます。
これまでのフィッシングを目的とした攻撃メールは文章に不自然な箇所が見られ、多くの人が怪しい内容だと気付くことができました。
しかし生成AIを利用することで海外の攻撃者であっても自然な文章のメールを作成できるようになったのです。
またプログラミングスキルが低い攻撃者でもマルウェアのコードを自動で作成できるようになったことから、攻撃の被害が増加すると考えられています。
AIによるセキュリティリスクを回避するには?
企業はAIによるセキュリティリスクについて早急に対策を行わなければなりません。
ここでは前述したリスクを回避する方法についてご紹介します。
AI利用のガイドラインを定める
まず大切なのはAIの利用ガイドラインを定めることです。
一般社団法人日本ディープラーニング協会が公開している生成AIの利用ガイドラインでは、下記のような事項が記されています。
・生成AIの利用が禁止される用途
・データ入力に際して注意すべき事項
・生成物を利用するに際して注意すべき事項
セキュリティ対策としては、
・個人情報や機密情報を入力しないこと
・生成物を必ず人の目で確認すること
などを明記しておく必要があるでしょう。
ガイドラインを定めることで、AIに関するリテラシーが低い従業員でも安全に利用することが可能になります。
AIに関する社員教育を行う
AIに関する知識は人によって差があります。社員によっては「AIとはそもそも何か」「AIで何ができるのか」といった内容を理解していない場合もあるでしょう。
セキュリティリスクを回避するには、何よりも利用者のリテラシーの向上が重要です。
初めてAIツールを導入する場合には、AIに関する社員教育も行いましょう。
たとえば、下記のような方法があります。
・社員教育を支援してくれるツールを選ぶ
・AIの利用に関する研修を行う
・AIの利用に関するセミナー・講座に参加してもらう
利用者全員がAIについて正しく理解すれば、トラブルが起こる可能性も減らせます。
社内セキュリティを見直す
AIを使った攻撃は複雑化しており、今までのセキュリティ対策だけでは十分とはいえません。社内セキュリティを根本から見直して、磐石の体制を整える必要があります。
AIを搭載したセキュリティシステムであれば、最新の攻撃についても学習して対応してくれるため、より強固な体制を整えることができるでしょう。
またセキュリティ対策が施されたAIツールの導入も有効です。
ただしフリーのAIツールはセキュリティ対策が不十分な可能性が高いため、企業で利用するのであれば法人向けの外部サービスを検討しましょう。
特に機密情報や個人情報が公開されるのを防ぐ「マスキング機能」が搭載されていれば、安心して利用できます。
AIを利用する際にはトラブルに注意しよう!
AIツールの導入を考えている企業様は、必ずセキュリティ対策を講じておきましょう。
セキュリティに強いAIツールなら、法人向け総合AIプラットフォーム「エアトリスマートAI」をご検討ください。
マスキング機能のほか、プロンプトに機密情報や個人情報が含まれていれば入力した時点で教えてくれる助手機能を備えています。
また、契約後にはAIに関する社員研修も行っております。初めてのAIツールの導入には、ぜひ「エアスマAI」をチェックしてみてください。