OWASPが公開した「LLM AI セキュリティ & ガバナンス チェックリスト」の内容を要約します。この文書は、大規模言語モデル(LLM)アプリケーションのセキュリティとガバナンスに関する実践的なアドバイスを提供しています。
1. 概要
このチェックリストは、大規模言語モデル(LLM)アプリケーションの開発と展開におけるセキュリティとガバナンスのベストプラクティスを提供します。技術革新の速度が加速する中で、企業や組織がLLMを安全かつ責任を持って利用するためのガイドラインが必要です。この文書は、技術、サイバーセキュリティ、プライバシー、コンプライアンス、法務のリーダーたちが、LLMの使用におけるリスクと利点を理解し、適切な戦略を策定するのに役立ちます。
2. チェックリストの目的
- 対抗リスクの評価: 競合他社や攻撃者によるリスクを評価し、対策を講じます。これには、競合他社のAI投資を調査し、現在のコントロールが新しいGenAI強化攻撃から適切な防御を提供しているかを検討することが含まれます。
- 脅威モデリング: LLMを利用した攻撃の可能性を特定し、セキュリティ防御を強化します。これには、攻撃者が組織、従業員、幹部、またはユーザーに対して加速された攻撃を実行する方法を特定することが含まれます。
- AIアセットのインベントリ: 内部開発および外部サードパーティのソリューションを含むAIサービスやツールのカタログを作成します。これには、既存のAIサービス、ツール、所有者のカタログ作成、AIデータソースとそのデータの感度のカタログ作成が含まれます。
- AIセキュリティとプライバシーのトレーニング: 従業員にAI、特にLLMの使用に関するセキュリティとプライバシーのトレーニングを提供します。これには、全従業員に対する許可された使用とセキュリティ意識のトレーニング、および特定の職位に対するより専門的なトレーニングが含まれます。
3. ガバナンスと法的考慮事項
- ガバナンス: 透明性と説明責任を提供するために、企業ガバナンスを確立します。これには、組織のAI RACIチャートの確立、AIリスク、リスク評価、ガバナンス責任の文書化と割り当てが含まれます。
- 法的考慮事項: AIの使用に関連する法的な課題を特定し、対応します。これには、製品保証が明確であることを確認し、既存の利用規約をGenAIの考慮事項に更新し、AI EULA契約を確認することが含まれます。
4. 使用または実装に関する大規模言語モデルソリューション
- LLMコンポーネントとアーキテクチャの信頼境界に関する脅威モデルを作成します。これには、攻撃者がLLMソリューションに対して実行可能な攻撃の種類を特定し、LLMモデルやサプライチェーンの既存の脆弱性を調査することが含まれます。
このチェックリストは、LLMの使用におけるセキュリティとガバナンスのベストプラクティスを提供し、組織が新しい技術を安全に活用するための基盤を築きます。組織は、このチェックリストを使用して、既存の防御技術を改善し、このエキサイティングな技術を使用する際に生じる新たな脅威に対処する技術を開発することができます。