サイバーセキュリティ関連団体70社超が新しい憲章に署名し、サイバーセキュリティ目的でのAIの責任ある利用を誓約しました。
この「AI憲章」は、サイバー業界団体CRESTが7月9日に発表したもので、当初3月に公表されていたAI活用型サイバーセキュリティ活動に関する9つの原則を軸に構成されています。
- 説明責任とガバナンス
- 利用の透明性
- 文書化と監査可能性
- 境界とコントロール
- データの取り扱い、主権、クライアントによる制御
- セキュリティと機密性
- AIツールの安全な開発
- サプライチェーンの保証
- レジリエンスと事業継続性
CRESTによるAI活用型サイバーセキュリティの原則
まず、署名企業は説明責任、ガバナンス、透明性を確保することを約束しました。これらの基本原則のもと、署名企業はAIを活用したすべての活動の範囲と目的を明確に定義するとともに、それがサービス提供、クライアントの成果、データの取り扱い、業務リスクにどのような影響を及ぼすかを厳格に評価する必要があります。ガバナンスおよびテスト管理は、AI導入の規模に見合ったものでなければなりません。
さらに、各企業はツールや手法にAIを利用する際は必ずクライアントに通知するなど、徹底した透明性を維持することを誓約し、それに伴う利点、限界、リスクを明確に説明するとしています。
信頼と業務の健全性を維持するため、この憲章では文書化、監査可能性、人間による監督、そして厳格なデータ主権が重視されています。署名企業は、AI利用に関して追跡・検証可能な記録を、検証および品質保証のプロセスとあわせて保持し、コンプライアンス監査を十分に支援できるようにすることを約束しています。
AIツールはさまざまなレベルの自律性で動作する可能性がありますが、この憲章では、有資格の担当者が最終的な監督権限を維持し、介入や成果物の確認、判断への異議申し立てを行える権限を保持することを義務付けています。
加えて、データの取り扱いについても厳格に規定されています。企業は、クライアントのデータがモデルの訓練に使用されるか、あるいは他の法域に移転されるかを明確に開示し、すべてのデータ利用が合意済みの法的・規制的・契約上の義務に完全に沿ったものであることを保証しなければなりません。
憲章の残りの柱は、技術そのものの安全確保と、長期的な業務レジリエンスの構築に焦点を当てています。企業は、クライアントのプロンプト、出力、AIが生成した成果物を堅牢なセキュリティおよび機密性の管理によって保護すると同時に、AIツールのライフサイクル全体を通じて安全な開発・統合の実践を遵守することが求められます。
このセキュリティ意識はサプライチェーンにも及び、署名企業はサードパーティ製AIへの依存に伴うリスクを特定し、管理することが求められます。
最後に、事業継続性を確保するため、企業はAIの障害発生に備えて事前に計画を立て、現実的な代替手段を確立し、システム障害がサービスレベルや復旧見込みにどのような影響を及ぼし得るかについて、クライアントに対して完全な透明性を保つ必要があります。
CRESTのAI憲章に署名した70社超
これらの原則を策定するにあたり、CRESTはサイバーセキュリティ目的のAI利用に関する既存のフレームワークを精査し、会員からの意見、CRESTCon Leaders Daysなどのイベントで得られた業界リーダーからのフィードバック、そして同団体の技術委員会による検証を反映させました。
選定された原則を決定する上で重要な要素となったのは、「AI主導のサイバーサービスを従来型のものと区別する要素は何か」を定義することだったと、CRESTの広報担当者はInfosecurityに語りました。
今回の発表を後押しする材料として、CRESTは最近の調査で、サイバーセキュリティプロバイダーの69%が現在、日々のサービス提供にAIを利用しており、76%がこの1年でAIの利用が拡大したと回答していることを明らかにしました。
CRESTのAI憲章に名を連ねる創設署名企業71社は、同団体加盟企業の10%に相当し、欧州、北米、中東、アジア太平洋地域にまたがっています。
これらの企業は、侵入テスト、脆弱性評価、インシデント対応、セキュリティオペレーション、脅威インテリジェンスなど、サイバーセキュリティの多岐にわたる分野をカバーしています。
AIサイバーセキュリティ基準の確立が急務
このAI憲章は「あくまで出発点にすぎない」と、CRESTの最高経営責任者(CEO)であるニック・ベンソン(Nick Benson)氏はInfosecurityに語りました。「これが波及効果を生み、組織や政府、プロバイダーもこうした共通原則を採用するようになることを期待しています」
CRESTは自らのモデルについて「機能的で成功する市場を実現することを目指した、自主規制の一つ」と説明しており、このAI憲章によって「規制の必要性を減らし、コンプライアンス負担を軽減できる」ことを期待しています。
とはいえベンソン氏は、「原則の段階から迅速に前進し、独立した第三者による評価が可能な、しっかりとした基準を確立することが絶対に不可欠だ」と述べています。
さらに同氏は、業界団体として「規制当局がこれらの原則を支持し、明示してくれることを歓迎する」と付け加えました。
「各国の基準をCRESTの基準に整合させることで、調和が促進され、国境を越えた相互運用性が高まり、買い手・売り手双方にとっての摩擦コストを最小限に抑えられるでしょう」とベンソン氏は締めくくりました。
翻訳元: https://www.infosecurity-magazine.com/news/ai-security-charter-71-cyber-firms/