米国および各国のサイバーセキュリティ機関は、重要インフラ事業者がAIを運用技術(OT)システムに安全に組み込むための新たなガイダンスを発表しました。
12月3日に公開されたこのガイダンスは、米国サイバーセキュリティ・インフラセキュリティ庁(CISA)とオーストラリア信号局傘下のAustralian Cyber Security Centreが共同で作成し、英国国家サイバーセキュリティセンター(NCSC)を含む国際パートナーからの意見を取り入れています。
この文書は、機械学習(ML)、大規模言語モデル(LLM)、AIエージェントといったAIツールに焦点を当てつつ、従来型の論理ベースおよび統計的な自動化システムにも適用できる内容となっています。
また、AIがもたらす効率性やコスト面での利点と同時に、OT環境においてAIが新たに生み出す特有のセキュリティおよび安全性の課題にも対応しています。
OT環境におけるAIセキュリティの主要原則
ガイドによると、重要インフラ事業者は次の点が推奨されています。
-
AIリスクを理解し、要員の間で安全な開発プラクティスを促進すること
-
OT環境におけるAI利用を評価し、データセキュリティや統合上の課題を把握すること
-
モデルの継続的なテストおよび規制遵守のためのガバナンス枠組みを構築すること
-
透明性を維持しつつインシデント対応と統合された安全・セキュリティプラクティスを組み込むこと
このガイダンスは、機微なOTデータの保護も強調しています。これには、設計図やアセット台帳などのエンジニアリング構成情報に加え、プロセス計測値のような一時的データも含まれます。これらはAIモデルの学習に利用される際に露出する可能性があります。
AIガバナンスの詳細:BSI、迫り来るAIガバナンス危機を警告
サイバー機関はまた、OTベンダーがデバイスにAIを直接組み込むケースが増えていることにも言及しました。これを踏まえ、ガイダンスでは、事業者に対しAI機能、ソフトウェアサプライチェーン、データ利用方針に関する透明性をベンダーに求めるよう推奨しています。
統合上の課題としては、システムの複雑性、クラウドセキュリティリスク、レイテンシー制約、そしてレガシーOTシステムとの互換性確保などが挙げられます。
事業者は、制御された環境でのテストを実施し、人間による監督(human-in-the-loop)を維持し、エラー防止と安全性維持のためにAIモデルを定期的に更新する必要があります。
監督、コンプライアンスおよび安全性
報告書は、AIを活用したOTシステムにおいても、人間による監督が中心的役割を担うと警告しています。AIの出力を監視し、異常を検知し、フェイルセーフ機構を維持することは、運用の信頼性を確保するうえで極めて重要です。
事業者はまた、AIの統合を既存のサイバーセキュリティフレームワークと整合させ、定期的な監査を実施し、進化し続ける国際的なAI標準に準拠することも求められています。
「OTへのAI統合は、重要インフラの所有者・運用者にとって、機会とリスクの両方をもたらします」とCISAはコメントしています。
「これらの原則を順守し、AIモデルを継続的に監視・検証・改善することで、重要インフラの所有者・運用者は、重要な公共サービスを制御するOT環境にAIをバランスよく統合することが可能になります。」
翻訳元: https://www.infosecurity-magazine.com/news/us-guidance-secure-ai-ot/
