TokyoBlackHatNews

csoonline.com 4分で読了

AIがOTネットワークに新たなセキュリティリスクをもたらす

増大するAI利用を踏まえ、国際的なセキュリティ当局はOTセキュリティへの影響について警鐘を鳴らしている。

Image
セキュリティ当局は、AIの利用拡大がOTシステムのセキュリティにとって脅威となると見ている。

bigjom jom – shutterstock.com 提供

運用技術(Operational Technology – OT)のセキュリティは、重要インフラにおいて長年にわたり繰り返し取り上げられてきたテーマだ。セキュリティ組織の見解では、OTにおけるAIの利用拡大は状況をさらに悪化させる可能性がある。

このため米国サイバーセキュリティ庁(CISA)は最近、国際的なパートナー機関と共同で、重要インフラの運用技術(OT)における人工知能(AI)の安全な統合に関する指針(PDF)を発表した。

重要なOTインフラにおけるAIの活用はまだ始まったばかりであることから、これらのガイドラインは、悪用や誤用を未然に防ごうとする試みのように読める。

OT分野では現在、AIは主にエネルギー、水処理、医療、製造の各セクターで利用されている。その理由は他の分野と同様、プロセスを最適化・自動化し、効率と可用性を高めるためだ。

セキュリティ当局は、企業がその限界を評価することなく、ITで起きたのと同様に、新しく未成熟なテクノロジーを受け入れてしまうことを懸念している。パデュー参照モデル(Purdue-Modell)階層に基づく産業用制御システム(Industrial Control Systems – ICS)のリスクを踏まえ、ガイドラインではプロンプトインジェクション、データポイズニング、データ収集といった懸念事項が列挙されている。さらに、学習データと異なる新たなデータが加わることでモデルの精度が低下する「AIドリフト」にも言及している。

著者らはまた、AIが不具合の診断に必要な示唆を必ずしも提供しない可能性を懸念している。加えて、AIが急速に進化しているため、コンプライアンス要件を満たすことが難しいと当局は指摘する。さらに文書では、人間がAIに徐々に過度に依存することでスキル低下(デスキリング)が生じること、またAIによる警告が現場の従業員にとって注意散漫や認知的過負荷を引き起こす可能性があることも指摘している。

最後に、チャットボットやLLMといったAI技術がしばしば「幻覚(ハルシネーション)」を起こす傾向があることから、安全性が最優先される環境で利用するのに十分な堅牢性があるのかどうかに疑問が投げかけられている。

「AIは、産業環境において自律的に重要な意思決定を行うには、十分に信頼できない可能性があります。そのため、LLMのようなAIをOT環境におけるセキュリティ上の意思決定に用いるべきではないと考えられます」とガイドラインの著者らは述べている。

これは、OT環境とIT環境におけるAI利用の重要な違いを浮き彫りにしている。すなわち、OTネットワークは本質的に安全性が最優先されるという点だ。

切り離しの難しさ

「このガイドラインは、重要な問いを投げかけています。つまり、どのようなリスクを取るのか、AIは本当にどの程度の価値をもたらすのか、誰が監督責任を負うのか、そしてテクノロジーが失敗したときにどう対応するのか、という点です」と、サイバーセキュリティ研修プラットフォームImmersive LabsのOTエンジニアであるSam Maesschalck氏はコメントする。「私たちはすでに、運用上の要件が安全な設計を上回ったときに何が起こるかを目の当たりにしてきました。IT/OTのコンバージェンスは効率性をもたらしましたが、同時に業界がいまだに苦慮している形でOTネットワークを露出させてもいます。」

Maesschalck氏によれば、既存の問題をまず解決しなければ、OTインフラへのAIシステムの組み込みは失敗に終わるという。その中には、一部のOT機器がAIプラットフォームに必要なデータ量を提供できないことや、相互作用による問題を予測することを難しくしている資産台帳の欠如などが含まれる。

ガイドラインの推奨事項には、組織はCISAのセキュア・バイ・デザイン原則を採用し、AI-OTプロジェクトを社内開発することで、長期的にAI設計およびAI実装に対するより大きなコントロールを得られるかどうかを検討すべきだ、という点も含まれている。

「この種のガイドラインは、運用者が明確さを求めているため、影響力があります。政府が支援する原則があれば、所有者やエンジニアは、安全性に欠ける、あるいは拙速な導入に異議を唱える際に拠り所とできる具体的なものを手にすることができます。また、それによって啓発活動の重要性も強調されます」とMaesschalck氏は述べる。

これらのガイドラインは、昨年発表されたNSAとACSCによる報告書に続くものであり、その中では企業が重要インフラのOTを保護するために実施すべきステップが示されている。しかし、いずれの文書も、OTセキュリティが依然として本来受けるべき予算を確保できていないという長年の懸念には触れていない。(jm)

翻訳元: https://www.csoonline.com/article/4102407/ki-schafft-neue-sicherheitsrisiken-fur-ot-netzwerke.html

ソース: csoonline.com
#CISA #Cybersecurity-Leitlinien #Energie- und Versorgungssektor #Industrial Control Systems #IT/OT-Konvergenz #KI-Risiken #Kritische Infrastrukturen #Künstliche Intelligenz #LLM in industriellen Umgebungen #OT-Sicherheit

関連記事

Anthropicがプロジェクト・グラスウィングへのアクセスを150社に拡大、重要インフラへの注力を明確化

2年前のOracle WebLogic Server脆弱性が悪用される

HP Poly VoIP脆弱性が幹部音声ディープフェイクへの道を開く