複数国のサイバー機関が、特に重要インフラの運用技術(OT)環境における人工知能(AI)の安全かつセキュアな利用のための原則をまとめた共同ガイダンスを発表しました。
このガイダンスは、サイバーセキュリティ機関CISAのウェブサイトで公開されており、アメリカ、イギリス、カナダ、ドイツ、オランダ、ニュージーランドの政府機関によって作成されました。
AIを産業用制御システム(ICS)やその他のOTと統合することで、大きな利点が得られます。各機関は、いくつかのユースケースの例を示しています。
例えば、センサーやアクチュエーターなどのフィールドデバイスの場合、それらが生成するデータをAIモデルの学習や重大な逸脱の特定に活用できます。プログラマブルロジックコントローラー(PLC)やリモート端末装置(RTU)の場合、AIは負荷分散の分類や異常検知に利用できます。
[関連記事: 370以上の組織がGridEx VIIIグリッドセキュリティ演習に参加 ]
監視制御およびデータ収集(SCADA)、分散制御システム(DCS)、ヒューマンマシンインターフェース(HMI)システムも、AIモデルによるデータ分析で機器異常の初期兆候を検出する恩恵を受けられます。
AIはまた、機器の保守要件の予測、オペレーターの意思決定支援、ワークフローの最適化、IT/OTデータ分析に基づく脅威検知にも利用できます。
『運用技術における人工知能の安全な統合のための原則』と題された25ページの文書は、OTシステムにAIを安全に統合するための4つの主要原則を説明しています。
最初の原則は、AIの理解に焦点を当てており、その固有のリスクやOTへの潜在的影響を含みます。たとえば、人工知能の利用は、システムの侵害、障害、金銭的損失、機能安全への影響など、サイバーセキュリティリスクをもたらす可能性があります。
さらに、低品質な学習データやモデルのドリフト、その他の問題により、不正確なアラート、システムの可用性低下、安全リスク、評判の損失などが生じる可能性があります。
AIの利用に関連する多くの課題は、AI開発者、OTサプライヤー、マネージドサービスプロバイダーの役割と責任をシステムのライフサイクル全体で明確に定義することで対処できます。
また、AIに関する人材教育も重要です。従業員がAI自動化に過度に依存すると、スキルの低下やスキルギャップが生じ、AIの障害時にシステムを管理できなくなったり、AIの出力を誤解して状況を誤って管理したりする恐れがあります。
政府機関が示した2番目の原則は、AIのビジネスユースケースの特定に焦点を当てています。企業は、他の利用可能なソリューションと比較して、AIが自社のニーズに適した解決策かどうかを評価する必要があります。
重要インフラ運用者は、データセキュリティの課題に対処し、AI統合におけるOTベンダーの役割を理解しなければなりません。
3番目の原則は、AIガバナンスと保証に焦点を当てており、AIのガバナンスメカニズムの確立、既存のセキュリティフレームワークへのAIの統合、テストや評価の実施が含まれます。組織はまた、規制やコンプライアンスの観点にも注力する必要があります。
最後の原則は、監督とフェイルセーフの実践を扱っており、監視・監督メカニズムの確保や、安全・フェイルセーフシステムの組み込みを求めています。
「これらの原則を遵守し、AIモデルの継続的な監視、検証、改良を行うことで、重要インフラの所有者や運用者は、公共サービスを担うOT環境へのAIのバランスの取れた統合を実現できます」と、作成機関は述べています。
