70社を超えるサイバーセキュリティ関連組織が新たな憲章に署名し、サイバーセキュリティ目的でのAI利用における責任ある姿勢を誓約しました。
このAI憲章は、サイバー業界団体のCRESTが7月9日に発表したもので、AIを活用したサイバーセキュリティ活動に関する9つの原則を軸に構築されています。これらの原則は3月に初めて公表されていました。
- 説明責任とガバナンス
- 利用の透明性
- 文書化と監査可能性
- 境界と制御
- データの取り扱い、主権、クライアント管理
- セキュリティと機密保持
- AIツールのセキュアな開発
- サプライチェーンの保証
- レジリエンスと事業継続性
CRESTが示すAI活用型サイバーセキュリティの原則
まず署名企業各社は、説明責任、ガバナンス、透明性の確保を約束しています。これらの基盤となる原則のもとでは、署名企業はAIを活用したすべての活動について範囲と目的を明確に定義し、それがサービス提供、クライアントへの成果、データの取り扱い、運用リスクにどう影響するかを厳格に評価しなければなりません。ガバナンスおよびテストの管理体制は、AI導入の規模に見合ったものである必要があります。
さらに各社は、ツールや手法にAIを利用する際には必ずクライアントに知らせ、それに伴う利点、限界、リスクを明確に説明するなど、徹底した透明性の維持を誓約しています。
信頼と運用上の健全性を維持するため、この憲章では文書化、監査可能性、人による監督、そして厳格なデータ主権の確保を重視しています。署名企業は、コンプライアンス監査を確実に支援できるよう、AI利用について追跡可能かつ検証可能な記録を維持するとともに、検証および品質保証のプロセスを維持することを約束しています。
AIツールはさまざまな水準の自律性をもって稼働し得るものの、この憲章では資格を持つ担当者が最終的な監督権限を維持し、介入し、出力を精査し、判断に異議を唱える権限を保持することを義務付けています。
加えて、データの取り扱いについても厳格な規定が設けられています。各社は、クライアントのデータがモデルの学習に使用されるのか、あるいは国境を越えて移転されるのかを明確に開示し、すべてのデータ利用が合意済みの法的・規制上・契約上の義務と完全に整合するようにしなければなりません。
憲章の残る柱は、技術そのものの安全確保と、長期的な運用レジリエンスの構築に焦点を当てています。各社は、堅牢なセキュリティおよび機密保持の管理体制を通じて、クライアントのプロンプト、出力、AIが生成した成果物を保護する必要があり、AIツールのライフサイクル全体を通じて、セキュアな開発・統合の慣行を遵守することが求められます。
このセキュリティ重視の姿勢はサプライチェーンにも及び、署名企業はサードパーティ製AIへの依存に伴うリスクを特定し、管理することが求められます。
最後に、事業継続性を確保するため、各社はAIの障害が起こり得ることを見越して計画を立て、現実的な代替手段を確立し、システム障害がサービス水準や復旧見込みにどのような影響を及ぼし得るかについて、クライアントに対して完全な透明性を保つ必要があります。
CRESTのAI憲章に署名した70社超の企業
これらの原則を策定するにあたり、CRESTはAIをサイバーセキュリティ目的で利用する既存の枠組みを見直し、会員企業からの意見、CRESTConリーダーズデイをはじめとする各種イベントで業界のリーダーたちから寄せられたフィードバック、そして同団体の技術委員会による検証を反映させました。
選定された原則を決める上での重要な決め手となったのは、「AI主導型のサイバーサービスを従来型のサービスと区別する要素は何か」を定義することだったと、CRESTの広報担当者はInfosecurityに語りました。
この発表をさらに裏付けるものとして、CRESTは最近、サイバーセキュリティ事業者の69%が現在、日々のサービス提供においてAIを利用しており、76%が過去1年間でその利用が拡大したと回答していることを明らかにしました。
CRESTのAI憲章に名を連ねた73社の創設署名企業は、同団体の会員全体の10%に相当し、欧州、北米、中東、アジア太平洋地域にまたがっています。
これらの企業には、侵入テスト、脆弱性評価、インシデント対応、セキュリティオペレーション、脅威インテリジェンスなど、サイバーセキュリティの多岐にわたる分野の企業が含まれています。
AIサイバーセキュリティ基準確立の急務
このAI憲章は「まだ始まりにすぎない」と、CRESTの最高経営責任者(CEO)であるニック・ベンソン氏はInfosecurityに語りました。「企業、政府、そして事業者がこうした共通原則を採用していく、雪だるま式の広がりが生まれることを期待しています」
CRESTは自らのモデルを「機能的で成功を収める市場の実現を目指す、自主規制の一種」であると説明し、このAI憲章が「規制の必要性を減らし、コンプライアンス負担を軽くする」ことにつながればと期待を示しています。
とはいえベンソン氏は、「原則にとどまらず、独立した第三者による評価が可能な、しっかりとした基準を早急に確立していくことが絶対に不可欠だ」と述べています。
さらに同氏は、業界団体としては「規制当局がこうした原則を後押しし、周知してくれることを歓迎したい」とも付け加えました。
「各国の基準をCRESTの基準に合わせていくことで、調和が促進され、国境を越えた相互運用性が高まり、購入者・提供者双方にとっての摩擦コストを最小限に抑えられるでしょう」と、ベンソン氏は締めくくりました。
翻訳元: https://www.infosecurity-magazine.com/news/crest-ai-security-charter-cyber/