この指針はCISOにAI透明性についてベンダーに圧力をかける方法を提供していますが、アナリストは開示が現実と一致することを証明することが難しい部分になると述べています。
米国サイバーセキュリティ・インフラストラクチャ保護庁(CISA)およびそのG7サイバーエージェンシーパートナーは、AIソフトウェア部品表(AI SBOM)の最小要素リストを発表しました。これにより、CISOがエンタープライズ環境に導入されるAIシステムのセキュリティと来歴を評価する方法が提供されます。
この指針は、モデル、データセット、ソフトウェアコンポーネント、プロバイダー、ライセンス、およびその他の依存関係のドキュメント化を求めることで、従来のSBOMの概念をAIに拡張しています。補足的な最小要素は包括的でも必須でもありませんが、CISAが述べているように、G7の専門家間の合意を反映しており、AIテクノロジーが進化するにつれて拡大することが予想されています。
セキュリティリーダーにとって、このドキュメントはAIリスクをエンタープライズサプライチェーン監視の中により強く位置付けています。これにより、AI SBOMはソフトウェアコンポジション、クラウドサービス、およびサードパーティテクノロジープラットフォームをめぐって既に行われている同じベンダーリスク評価の対話の一部になる可能性があります。
しかし、重要な違いの1つは、AI SBOMはソフトウェアコンポジションを超えた可視性を必要とするということです。なぜなら、AIリスクはモデル、データ、インフラストラクチャ、およびシステムの動作によって形作られるからです。
「AIシステムは、モデルの系統、トレーニング・推論データ、ファインチューニング履歴、プロンプト、ベクトルデータベース、サードパーティのファウンデーションモデル、API、オーケストレーションロジック、およびランタイム動作という新たな不透明さのレイヤーを追加します」と、IDCアジア太平洋サイバーセキュリティサービスのシニアリサーチマネージャーである Sakshi Grover は述べています。
AIソフトウェアはまた、確率的であり、その出力はコードだけでなくデータの来歴によって形作られるという点で異なっています。Confidisの創設者兼CEOである Keith Prabhu によれば。
「AIソフトウェアは本質的にソフトウェア以上のものを包含しています」と Prabhu は述べています。「ソフトウェアコンポーネントに加えて、モデル、トレーニングデータ、プロンプトとシステム指示、モデルの重み付けとチェックポイント、およびGPU依存関係も追跡する必要があります。」
Greyhound Research のチーフアナリストである Sanchit Vir Gogia は、このシフトをより広い範囲で述べています。
「もはや問題は『このプロダクト内にどのようなコードがあるか』ではなく、『このシステムの動作を形作るコード、モデル、データ、インフラストラクチャ、制御、ベンダー決定とは何か』です」と Gogia は述べています。
これをどのように活用するか
この指針の直接的な用途は、調達とベンダーリスク管理にある可能性があります。これにより、セキュリティチームはAI対応製品が本番環境に導入される前にベンダーに圧力をかける方法を得られます。
「組織はベンダーに対し、モデルの来歴、トレーニングデータのソース、ソフトウェアとAPI依存関係、ライセンスの義務、セキュリティテスト実務、更新サイクル、ランタイム監視制御、および共有責任の境界への可視性を提供するよう求めるべきです」と Grover は述べています。
精査のレベルはサプライヤーのタイプによっても異なる場合があります。
「大規模なベンダーの場合、CISOは特にサードパーティのファウンデーションモデル依存関係、地理的なデータフロー、モデル更新実務、および顧客データがモデルトレーニングまたはファインチューニング用に保持されているかどうかについて透明性を求めるべきです」と Grover は付け加えました。「スタートアップの場合、焦点はガバナンスプロセスの成熟度、依存関係追跡、安全な開発慣行、アイデンティティ制御、およびAIライフサイクル全体の運用監視に置くべきです。」
同じリスクベースのアプローチは、テクノロジーがどのように使用されるかにも適用されるべきです。より高いリスクの展開の場合、Gogia は、AI SBOMはより広いベンダー証拠パックの一部になるべきであり、データフロー、セキュリティアーキテクチャ、モデル動作、プライバシーへの影響、レッドチーム調査結果、インシデント対応、ログ、およびプロンプト注入テストに関するドキュメント化によって支持されるべきであると述べています。
残る課題
最大の課題は、AI SBOMはベンダーがAIシステム内にあると述べているものを示す可能性がありますが、システムがエンタープライズが使用することを計画している方法で信頼できるかどうかを証明しないということです。
「最小要素は可視性を生み出します」と Gogia は述べています。「それらは確実性を生み出しません。これらは、ベンダーが存在すると述べているものを買い手に伝えます。それらだけでは、すべての依存関係が開示されたか、すべてのデータセットが合法的であるか、すべての制御が機能するか、すべてのモデルが許容範囲内で動作するか、またはすべてのランタイムパスが監視されているかを証明しません。」
難しい部分は、ドキュメントが現実と一致することを証明することです。セキュリティチームはベンダーからAI SBOMを受け取る可能性がありますが、それが本番環境で実行されているシステムを反映しているかどうか、およびAI環境の変更に対応しているかどうかを判断する必要があります。Prabhu は、高品質のAI SBOMでさえAIリスクへの部分的な可視性のみを提供すると述べています。進化するAI動作、ハルシネーション、変化するプロンプト使用、およびトレーニングデータの透明性の限定などの問題は、セキュリティリーダーが実際のリスクを評価することを引き続き困難にする可能性があります。AIシステムが成熟するにつれて、AI SBOMもこれらの課題に対処するために進化する必要があります。Prabhu は付け加えました。
