続・これからはじめるAIセキュリティのすすめ サイバーセキュリティ対策実践講座 第6回
第3回に続き、これからAI導入を検討する組織・個人(家庭)が、知っておくべきセキュリティや法規制動向と対策ポイントを解説します。
2024年8月にガートナージャパン株式会社(以下ガートナー)は、 「日本における未来志向型インフラ・テクノロジのハイプ・サイクル:2024年」を公表しました。
| 参考1:2024年版では検索拡張生成 (RAG) やヒューマノイドを含む5項目が新たに追加、生成AIは2023年に続き「過度な期待」のピーク期に https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20240807-future-oriented-infra-tech-hc |
ハイプ・サイクルとは、ガートナー用語で「様々な領域での技術革新の成熟度と組織等における採用度、課題解決や活用への関連性を図示」したものと定義されています。
https://www.gartner.co.jp/ja/research/methodologies/gartner-hype-cycle
今回公開されたハイプ・サイクルのキーワードの中で特に注目したのは、「人間中心のAI」「デジタル倫理」などAIに関連する技術だけでなく、AI自体を取り巻く環境や考え方でした。
また、今回取り上げられたAI関連において、採用に要する年数として「5~10年」と位置付けられていましたが、特に日本においては、更に必要年数が高まることが懸念されます。
その一因には、海外諸国に比べて法規制の整備が遅れている点(2024年8月時点で政府AI戦略会議にて法整備議論がスタート)、経済産業省「AI事業者ガイドライン」やセキュリティ専門機関(法人)が監修する個別ガイドラインによる自主規制や特定の事業者の「前例」を参考とする慣習などが先行している点が挙げられ、多くの組織がコンプライアンス観点からも積極的導入に踏み切れない現状があることが推測できます。
2019年に内閣府は「人間中心のAI 社会原則」を公表し、AIを人類の公共財として活用し、人間がAIにコントロールされるのではなく、人間の尊厳が尊重される社会を構築するために活用することが必要と定義しました。
直近では、防衛相が「防衛省AI活用推進基本方針」を公表し、自衛隊の指揮統制にAI活用を行う中で「人間による関与」の必要性とAIは指揮統制・情報関連機能、意思決定等を支援する技術であることを明記しています。
この現状から、AI導入にあたっては「AIに判断を委ねない」ことを前提とした経営倫理や開発・利用モラル含めた理念をしっかり持つことが必要です。
2024年5月には、EU(欧州連合)で世界初の「AI法」が成立しました。「差別」「人的侵害」「社会混乱」「格差助長」「偏見」等を懸念したAIリスクを4段階に分類し、対象となるAI技術の使用を禁止する事項に加えて、以下のような活動を高リスクとし、利用者への通知義務や人間による監視(ログ・記録管理含む)や第三者による適合性評価を行うことを定義しています。
・入試・採用、退学・解雇に関する情報、人事考課・健康等に関連する情報
・公的給付等の受給資格に関連する情報
EU法ではありますが、該当する情報を許可なくAIに入力を許可できるような運用や設定仕様になっていないか、現状を確認して今から備えておくことも重要です。
第三者による適合性評価制度として、2023年12月にAIに関する国際規格「ISO/IEC 42001:2023 情報技術-人工知能-マネジメントシステム(AIMS)」が発行されました。この規格はAIサービス提供又は利用する組織を対象とし、組織が責任を持って開発・利用するために、AIリスクと機会を管理するための構造的な方法(PDCAと管理策)を定めています。すでに当規格に対する解説研修や内部監査員資格取得の研修が開催されており、今後ISMS同様の認証取得の普及や、AIセキュリティ運用において参考とする組織が増加していくことが期待されています。
第3回でも触れましたが、AIによる文書生成や助言が本当に正しいものなのか、AIから出力された結果が法令順守や社会道徳に沿っているか、ジェンダーバイアスが生じていないか、AI任せにせず、情報漏洩等の様々なリスクが常に潜在していることを十分に理解する必要があります。AIに関するセキュリティ動向は、ニュースや新聞記事でも日常的に目に触れる機会が増えてきています。常に情報収集を行い、AI利用に必要となる自らのセキュリティ方針を確立していくことからはじめましょう。
| 参考2:経済産業省:AI事業者ガイドライン(第1.0版)https://www.meti.go.jp/press/2024/04/20240419004/20240419004.html |
| 参考3:内閣府:人間中心のAI 社会原則 https://www8.cao.go.jp/cstp/ai/aigensoku.pdf |
| 参考4:防衛省:防衛省AI活用推進基本方針と防衛省サイバー人材総合戦略の策定について https://www.mod.go.jp/j/press/news/2024/07/02a.html |
| 参考5:経済産業省:AIマネジメントシステムの国際規格が発行されました https://www.meti.go.jp/press/2023/01/20240115001/20240115001.html |
なお、ハイプ・サイクルで注目したキーワードには「メタバース」も取り上げられていますが、ISMS審査等でもメタバース空間を開発又は活用した事業展開や業務利用している組織をみることが増えてきています。当協議会でもテレワークに次ぐ新しい働き方として技術・環境観点からメタバースセキュリティの在り方を討議しており、後日動向を本記事でも紹介したいと思います。
サイバーセキュリティ対策実践講座の過去の記事はこちら(合わせてお読みください)
山田 慎 Shin Yamada
一般社団法人セキュアIoTプラットフォーム協議会 主任研究員
長年、情報セキュリティコンサルティング業務及びISO審査員として従事。日常的な業務書類の管理からサイバー攻撃(脆弱性)対応まで物理的・環境的、技術・論理的側面に対して、セキュリティ専門性も活かした、分かりやすい対策支援を行うことを得意としている。
一般社団法人日本テレワーク協会 / 一般社団法人セキュアIoTプラットフォーム協議会が認証機関として推進している「安心安全テレワーク施設認証プログラム」の設立や「安心安全テレワーク施設ガイドライン(第1版)」の策定にも関与。その他、ISMS審査員等の資格に加えて、学芸員、介護職員初任者研修、簿記、普通自動車運転免許等を取得。
趣味は、映画鑑賞、温泉、カートレースなど。
【所属】
株式会社HGC情報セキュリティ研究所
https://www.hgc-is.co.jp/
アイエムジェー審査登録センター株式会社
ISMS / ISMS-CLS / ISMS-PIMS / QMS審査員(JRCA登録)
https://imj-shinsa.co.jp/
