GenAIセキュリティのチェックリスト

写真：Gannvector | shutterstock.com

OpenAI、Anthropic、Google、Microsoft、さらにはオープンソースの代替案などの企業が生成AIや大規模言語モデルの提供で指数関数的なユーザー増加を記録する一方で、ITセキュリティの意思決定者たちは、自社内の急速なAI開発についていくことに努めています。

非営利団体OWASPは、この動向に対応し、新たな公開物「LLM AIサイバーセキュリティ＆ガバナンスチェックリスト」（PDF）を発表しました。

LLM脅威カテゴリ

AIの話題は非常に幅広いため、OWASPチェックリストは特に、経営層が生成AIや大規模言語モデルに関連する主要なリスクを迅速に特定し、適切な対策を講じることを支援することを目的としています。これにより、企業が生成AIやLLMツール、サービス、製品を安全に活用するために必要な基本的なセキュリティ管理を備えることが保証されます。

OWASPは、チェックリストが完全性を主張するものではなく、技術やツールの成熟度の向上とともに進化し続けることを強調しています。セキュリティ専門家は、LLMの脅威を以下の図のようにさまざまなカテゴリに分類しています：

写真：OWASP

LLM戦略を策定する際、企業は特に生成AIやLLMがもたらす独自のリスクに対応する必要があります。これらは組織的なガバナンスや適切なセキュリティ管理によって最小化されるべきです。OWASPの専門家は、効果的なLLM戦略を策定するために、企業に6段階のアプローチを推奨しています：

写真：OWASP

LLMの導入タイプについても、OWASPは慎重な検討と適切な考慮を推奨しています：

写真：OWASP

OWASP AIチェックリスト

以下に、OWASPが公開したチェックリストを少し分かりやすく整理しました。生成AIやLLMの取り組みの中で、必ず確認すべき分野は次の通りです。

敵対的リスク

この分野には競合他社や攻撃者が含まれ、攻撃だけでなく企業環境にも焦点を当てています。たとえば、競合他社がどのようにAIを活用してより良いビジネス成果を得ているかを理解し、内部プロセスやポリシー（例：インシデント対応計画）を更新して、生成AIに関連するサイバー攻撃やセキュリティインシデントに備えることが含まれます。

脅威モデリング

多くのセキュリティ機関が提唱する「セキュア・バイ・デザイン」アプローチの中で、脅威モデリングの重要性が増しています。ここでは、攻撃者がどのようにLLMや生成AIをより迅速なエクスプロイトに利用できるか、企業が悪意のあるAI利用をどのように検知できるか、テクノロジーを社内システムや環境でどのように保護できるかなどの検討が含まれます。

AI資産の棚卸し

「存在を知らないものは守れない」という原則は、生成AIの世界にも当てはまります。AI資産の棚卸しでは、社内開発のソリューションや外部ツール・プラットフォームの把握が求められます。

利用しているツールやサービスを知るだけでなく、責任の所在を明確にすることも重要です。OWASPはさらに、AIコンポーネントをSBOMsに記載し、データソースの機密性をカタログ化することを推奨しています。加えて、今後導入・廃止されるツールやサービスが安全に管理されるプロセスも必要です。

AIセキュリティおよびプライバシー研修

「人はセキュリティチェーンの中で最も弱い環」とよく言われますが、企業がAIセキュリティおよびプライバシー研修をGenAIの取り組みに組み込めば、必ずしもそうとは限りません。

たとえば、従業員に最新のAIやLLMの取り組み、テクノロジー自体、セキュリティ分野の主要な課題について理解を深めてもらうことが含まれます。また、信頼と透明性に基づく文化の醸成も不可欠です。これは「シャドーAI」の防止にもつながります。そうでなければ、プラットフォームが密かに利用され、セキュリティが損なわれる恐れがあります。

AIのビジネスケースを確立する

以前のクラウド導入と同様、多くの企業は新技術の導入に際して一貫した戦略的ビジネスモデルを作成していません。生成AIやLLMについても同様です。ハイプやFOMOに流されるのは簡単ですが、しっかりとしたビジネスケースがなければ、企業は悪い結果を招くリスクがあります。

ガバナンス

ガバナンスなしでは、説明責任や明確な目標設定はほぼ不可能です。OWASPチェックリストのこの分野では、たとえばRACIダイアグラムを作成し、企業のAIイニシアチブを記録し、責任を割り当て、全社的な方針やプロセスを確立することが含まれます。

法的事項

AIの法的影響は決して過小評価すべきではありません。急速に進化しており、評判や財務構造に大きな損害をもたらす可能性があります。この分野には、たとえば以下のような側面が含まれます：

• AIに関連する製品保証、

• AI-EULA（エンドユーザーライセンス契約）、

• 知的財産リスク。

要するに、自社に関連する法的活動を特定するために、法務チームや専門家に相談してください。

規制対応

法的議論を基に、規制要件も急速に進化しています。例としてEUのAI法があります。企業は自社に適用されるAIコンプライアンス要件を特定する必要があります。

LLMソリューションの利用または導入

LLMソリューションの導入には、特有のリスクと管理の検討が必要です。OWASPチェックリストでは、以下のような点が挙げられています：

• アクセス制御の実施、

• AIトレーニングパイプラインの保護、

• データワークフローのマッピング、

• LLMやサプライチェーンにおける既存または潜在的な脆弱性の特定。

さらに、第三者による継続的な監査、ペネトレーションテスト、サプライヤー向けのコードレビューも推奨されます。

テスト、評価、検証、バリデーション（TEVV）

TEVVプロセスは、NISTのAIフレームワークで明確に推奨されています。これには以下が含まれます：

• 継続的テスト、

• 評価、

• 検証、

• バリデーション、

• AIモデルの機能性・セキュリティ・信頼性に関する指標。

これらはAIモデルの全ライフサイクルを通じて実施されます。

モデルおよびリスクマップ

大規模言語モデルの倫理的利用のために、OWASPチェックリストはモデルおよびリスク「マップ」の作成を推奨しています。これにより、ユーザーはAIシステムへの理解を深め、システムへの信頼を強化できます。また、バイアスやプライバシー問題などの潜在的な負の側面についてもオープンに議論できます。

マップには、AIモデル、アーキテクチャ、トレーニング手法、パフォーマンス指標の詳細が含まれる場合があります。さらに、責任あるAIや、公平性・透明性に関するすべての課題にも重点が置かれます。

リトリーバル・オーグメンテッド・ジェネレーション

リトリーバル・オーグメンテッド・ジェネレーション（RAG）は、特定のソースから関連データを取得する際にLLMの能力を最適化する方法です。これには、事前学習済みモデルの最適化や、既存モデルを新しいデータセットで再トレーニングしてパフォーマンスを向上させることが含まれます。OWASPは、企業で大規模言語モデルの価値と効果を最大化するためにRAGの導入を推奨しています。

AIレッドチーム

最後に、OWASPの専門家はAIのレッドチームセッションの実施も推奨しています。これはAIシステムへの攻撃をシミュレーションし、脆弱性を特定し、既存の管理・防御策を検証するものです。

OWASPは、レッドチーミング単独では生成AIやLLMの完全なセキュリティ対策にならないことを強調しています。むしろ、AIレッドチーミングはより包括的なアプローチに組み込むべきです。特に重要なのは、企業内でレッドチーミングの要件が明確になっていることです。そうでなければ、方針違反や法的トラブルのリスクが高まります。（fm）

ITセキュリティに関する他の興味深い記事を読みたい方へ：無料ニュースレターが、セキュリティ担当者や専門家が知っておくべき情報をすべてあなたの受信箱にお届けします。