国際政府機関のグループが火曜日に、AI(人工知能)をより安全にするために、いかなる人工知能『成分表示リスト』ツールに含まれるべきかに関するガイダンスを発表しました。
『ソフトウェア部品表(SBOM)』として知られているこのようなリストの概念は、特定のソフトウェアに入るすべてのものを把握することで、サプライチェーンのリスクをより簡単に特定できるようにするものです。サイバーセキュリティの専門家からは、AIとの相互作用方法について注目が高まっています。
G7加盟国の政府機関(サイバーセキュリティおよびインフラストラクチャセキュリティ庁を含む)が作成したこのガイダンスは、AI向けSBOMの外観を決定するための最小限の任意基準を設定することを目的としています。これは、他の種類のSBOM ガイダンスを作成するための過去の取り組みに基づいています。
「このガイダンスで概説されている補足的な最小要素は完全ではなく、また必須ではありませんが、G7専門家のコンセンサスを反映しており、AI技術の急速な発展に対応するため、時間とともに拡大していくでしょう」とCISAは述べています。(AI向けのSBOMをAIBOMと呼ぶ人もいます。)
これらの要素には、AI自体のためのSBOMに関連する情報、AIシステム全体に関する情報、AIシステムによって使用されるモデルを識別するための情報、モデルのライフサイクル全体で使用されるデータセットに関する情報、AIシステムの運用とサポートに必要な物理インフラストラクチャおよび仮想インフラストラクチャに関する情報、AIモデルとシステムに適用されるサイバーセキュリティ対策に関する情報、およびAIシステムの主要なパフォーマンス指標に関する情報が含まれます。
このトピックに取り組んできた業界の専門家3人がCyberScoopに対し、彼らはこのガイダンスを歓迎していると述べ、各々が、改善の余地はあるものの、良いステップとして賞賛しました。
「現在、ほぼすべてのソフトウェアにはAIが組み込まれるようになっていますが、病院がAI対応医療機器を購入する場合、国防総省がAI対応兵器システムを購入する場合、または自動車メーカーが車にAIを組み込む場合、これらのシステムにあるAIを信頼できる必要があります」と、Manifest Cyberのチーフエグゼクティブオフィサーであるダニエル・バーデンシュタイン氏は述べています。「そしてAIを信頼するための最初のステップは、このAIが何であるか、どこから来たのか、どのように訓練されているのかを特定することです」
「これはAIの信頼方法について考える必要がある未来であることについて、すべての人に同じページに合わせるための強力で賞賛に値するステップです」と、AIBOMジェネレータを構築し、過去にCISAおよびOWASP Foundationとこのトピックに取り組んだバーデンシュタイン氏は述べています。
Cybeatsの共同創設者兼最高技術責任者のドミトリー・ライドマン氏(バーデンシュタイン氏と同様に、独自のAIBOMジェネレータを構築し、CISAおよびOWASPとAIBOMに取り組んだ人物)は、G7ガイダンスは必要なものの80~90%をカバーしているため「素晴らしい」と述べました。
「基準がなかったが、今は明確な基準が出るようになるだろう」と彼は述べています。
一方、バーデンシュタイン氏は、組織がガイダンスをどの程度簡単に実装できるかについて懸念していると述べており、ライドマン氏は、ランタイムの問題に適切に対処していないと述べています。
時々「SBOMの生みの親」と呼ばれるアラン・フリードマン氏は、このガイダンスは良い文書であると述べていますが、特定する要素が必須ではないと述べているため、おそらくラベルが間違っていると述べています。
「このドキュメントは、有用な可能性のあるデータの種類のセットを示しています」と、複数の米国政府の役職でSBOMに取り組み、現在セキュリティ・テクノロジー研究所のシニアテクニカルアドバイザーであり、TPOグループの常駐技術者であるフリードマン氏は述べています。「そしてこれはAI透明性とAIシステム透明性を進めるための素晴らしい、実に素晴らしい文書ですが、潜在的な要素を列挙しています。これらは最小限の要素ではありません」
フリードマン氏は、次のステップには、ガイダンスを今日実装されているものにマッピングすること、およびそれを欧州連合とG7政府の政策と整合させることについて話し合い、最小限の競合を確保することが含まれる可能性があると述べています。
翻訳元: https://cyberscoop.com/g7-cisa-ai-sbom-security-guidance/
