JNSA 生成AIを利用する上でのセキュリティ成熟度モデルを公開
概要
現在、様々な分野でテキスト、画像、動画等をAIを利用し自動生成する技術、生成AIの利用が進んでおり、今後さらに普及が予想される。本ドキュメントは生成AIをセキュアに利用していくうえで必要な項目を生成AIの利用ケースごとにマッピングを行い、生成AIを利用していく組織の一助になることを目的としている。対象となる組織は、利用形態別に下記4つになる。
外部サービスの利用
ChatGPTやGemini等の外部サービスを提供元が提供するWebインタフェースやスマートフォンアプリケーション等から利用する組織。
APIを利用した独自環境
OpenAI APIやGemini API等のAPIを自社のサービスや社内環境と連動させて利用する組織。
自組織データの利用
ファインチューニングやRAG(Retrieval-Augmented Generation)の技術を用いて自組織のデータを生成AIに利用する組織。
自組織向けモデルの開発
自組織向けにモデルを独自開発する組織。
脅威とアクション・対策の一覧
外部からの脅威
- 入出力関連
- E-01:プロンプトインジェクション
- E-02:モデルへのDoS
- E-03:過剰な代理行為
- E-04:機微情報の漏洩
- モデル関連
- L-01:訓練データの汚染
- L-02:モデルの盗難
脅威へのアクション・対策
- アプリケーションのセキュリティ
- A-01:適切なアカウント管理
- A-02:構築したアプリケーションのセキュリティ
- A-03:利用するインフラのセキュリティ
- A-04:利用するサービスの管理
- モニタリング
- M-01:利用量のモニタリング
- M-02:コンテンツフィルタリング
- M-03:履歴のモニタリング
- ポリシーと教育
- P-01:生成AI利用に関するポリシーの整備
- P-02:生成AI利用に関する教育
- P-03:法律や規制の確認
脅威とアクション・対策の概要図
本ドキュメントは、Creative Commons Attribution-ShareAlike 4.0 International License ライセンスのもとに公開している。
