新たなガイダンスは、最新の刺激的なテクノロジーに対する企業の熱狂を抑制しようとしている。
米国政府と主要な西側同盟国は水曜日、重要インフラ事業者が人工知能を安全に利用するためのガイダンスを公表した。
このガイダンス文書は、運用技術(OT)に AI を統合するための 4 つの主要原則を示し、インフラ事業者が AI を導入する際に検討すべき課題を詳述している。助言は、一般的なリスク認識、必要性とリスクの評価、AI モデルのガバナンス、運用上のフェイルセーフに関する内容を網羅している。
CISA、FBI、NSA は、オーストラリア、カナダ、ドイツ、オランダ、ニュージーランド、英国のサイバーセキュリティ機関と連携してこのガイダンスを作成した。
この文書は、企業に対し AI 特有のリスクを理解し、自動化システムの利用について従業員を教育し、AI 利用の明確な正当性を策定し、強固なセキュリティ要件をベンダーに対して確立し、既存の運用技術に AI を統合する際の課題を慎重に評価するよう求めている。さらに文書は、企業が AI 利用と説明責任に関する明確な手順を策定し、導入前に AI システムを徹底的にテストし、規制および安全要件への AI の適合性を継続的に検証すべきだとしている。
また文書によると、企業は AI システムを監督する必要があり、その一環として、人間が介在するプロトコル(human-in-the-loop)を導入し、AI モデルが人間の監督なしに潜在的に危険な行動を決して取れないようにしなければならない。AI システムには「重要な運用を中断させることなく、AI システムが穏やかに停止できるフェイルセーフ機構」を備えるべきだと文書は述べており、企業は AI の新たな利用を踏まえてサイバーインシデント対応計画を更新する必要があるとしている。
さらにガイダンスは、「重要インフラの所有者および運用者は、既存の手順に AI システムをどのように統合しているかを見直し、OT 環境への AI システム統合に焦点を当てた、新たな安全な利用および実装手順を作成すべきである」と警告している。
慎重さを強調
AI ブームの始まり以来、米国政府は、この技術に対する重要インフラ事業者の熱意を、そのリスクに関する警告によって抑制しようとしてきた。
2024年11月、国土安全保障省(DHS)は、推奨される役割分担を公表し、開発者からクラウドプロバイダー、インフラ事業者自身に至るまで、重要インフラ分野における各主体の AI 関連の役割を整理した。また 7 月には、ホワイトハウスの AI 行動計画が DHS に対し、インフラ事業者との間で AI 関連のセキュリティ警告の共有を拡大するよう指示した。同計画は主に AI の利点を推進する内容だったが、「サイバーおよび重要インフラ分野における AI の利用は、それらの AI システムを敵対的な脅威にさらす」とも認めている。
重要インフラシステムにはすでに多数のセキュリティ脆弱性が存在しており、政府当局者は、インフラ事業者が十分な安全策を講じないまま AI を新たな形で実装することで、新たな弱点を生み出しているのではないかと懸念している。特に水道分野のように広範に分散したコミュニティにサービスを提供する多くのインフラ事業者は、セキュリティ予算が乏しく、専任のセキュリティ要員もいないため、経営陣が最新の刺激的なテクノロジーの導入を急ぐ中で、それに異議を唱える人が組織内にほとんどいない状況にある。
翻訳元: https://www.cybersecuritydive.com/news/ai-critical-infrastructure-government-guidance/807052/
