世界のサイバーセキュリティ機関が、重要インフラにおける人工知能(AI)の適用に関する初の統一ガイダンスを発表し、理論的な議論から、安全性と信頼性のための実践的なガードレールの整備へと大きく舵を切りました。
運用技術における人工知能の安全な統合のための原則に関する共同ガイダンスの公表は、CISA、FBI、NSA、オーストラリア信号局のAustralian Cyber Security Centre、その他のパートナーを含む主要な世界のサイバーセキュリティ機関が、共通の方向性で足並みをそろえたという点で、重要インフラのセキュリティにとって意義深い節目となります。運用環境におけるAI導入が加速するなか、この文書は私たちを理論から実践へと前進させるものです。AIの可能性を認めつつも、「運用技術(OT)のプロセスモデルが時間とともにドリフトする、安全プロセスのバイパスが生じるといった重大なリスクをもたらす」ことを明確にし、信頼性を確保するためには、オペレーターがこれらのリスクを積極的に管理しなければならないとしています。
このガイダンスは、安全とセキュリティを明確に区別し、OT環境における安全上の意思決定に大規模言語モデルを用いるべきではないことを強調しています。また、オペレーターに対して、強固なアーキテクチャ境界を備えたプッシュ型アーキテクチャの採用、人間が介在する監督体制の維持、産業システムにAIを組み込むベンダーに対する透明性の要求を促しています。AIをコントローラーではなくアドバイザーとして位置づけることで、レジリエンスは熟練したオペレーター、明確な検証手順、そしてAIモデルが物理世界とどのように相互作用しているかの可視性に依存していることを再確認しています。
このガイダンスの中心的な貢献は、AI時代における安全とセキュリティの明確な区別です。システムの完全性と可用性を守ることは、物理的な危害を防ぐことと同じではなく、AIはこの関係性を複雑にし、多くのCISOがその舵取りを求められています。ガイダンスは、AIの非決定論的な性質が予測不能な挙動やハルシネーションを引き起こしうることを認識しています。そのため、「LLMなどのAIは、OT環境における安全上の意思決定に用いるべきではないことは、ほぼ間違いない」と明確な一線を引いています。
これはイノベーションの否定ではありません。運用技術が依拠する安全の基盤を守るための現実的な呼びかけです。たとえば浄水場では、生成モデルがセンサー異常を誤って解釈し、結果的に薬品投与量を意図せず調整してしまう推奨を行う可能性があります。たとえセキュリティ制御が正常に機能していても、安全面での影響は即時かつ物理的なものになりえます。
アーキテクチャに関する推奨事項も、この「安全第一」の考え方を拡張しています。ガイダンスは、OT階層のどこにAIを配置すべきかを明確に示しています。予測的機械学習は、振動パターンに基づくポンプ故障の予測や、タービン排気温度の異常検知など、レベル0〜3における運用の強化に役立ちます。一方で、大規模言語モデルは、文書作成、作業指示書の生成、規制報告の支援など、レベル4および5のビジネス機能により適しています。
またガイダンスは、新たな攻撃ベクトルの導入に対しても警鐘を鳴らしています。インバウンドリスクを低減するため、各機関は「OT側に永続的なインバウンドアクセスを与えることなく、必要な機能や要約情報をOTの外へと移動させるプッシュ型またはブローカー型アーキテクチャ」を推奨しています。このパターンにより、クラウド上のAIシステムを悪用して攻撃者がOTネットワークへ直接ピボットするシナリオを防ぐことができます。言い換えれば、AIはコントローラーではなくアドバイザーとして振る舞い、オペレーションを支援しつつも、攻撃者にとって見えない侵入口とならないようにすべきなのです。
重要なのは、この文書がシステムだけでなく、それを運用する人間にも目を向けている点です。ガイダンスは「AIへの過度な依存により、AI障害やシステム停止時にシステムを管理するために必要な手動スキルをOT要員が失う可能性がある」と警告しています。重要インフラにおいて、これは机上の空論ではありません。多くの発電所や水道事業者では、ベテラン従業員の退職に伴い、熟練労働者の不足がすでに顕在化しています。ガイダンスは、組織に対し、AIの使い方だけでなく、AIに異議を唱える方法についてもオペレーターを訓練するよう促しています。たとえば、担当者はAIの出力を、代替センサーや現場での観測結果と照合し、デジタル上の推奨が物理的現実と整合しているかを確認できる必要があります。たとえば、MLモデルによって圧縮機の温度異常が検知された場合でも、オペレーターが是正措置を取る前に、人間が現場の計測値と突き合わせて検証すべきです。
さらにガイダンスは、重要インフラの所有者がAIを考慮した強力な調達戦略を策定すべきだと推奨しています。組織は、「AI技術が製品にどのように組み込まれているかについて、OTベンダーに透明性とセキュリティ上の配慮を求める」ことが推奨されています。これには、モデルのソースおよびホスティング場所を明示するSBOM(またはAIBOM)の要求や、ベンダーがオペレーターの機微なデータを用いてモデルを学習しているかどうかの開示を求めることが含まれます。
多くのCISOは、AI対応機能が明確な開示なしに、サードパーティ製ソフトウェアやSaaSに静かに追加されていることに気づき始めています。このガイダンスは、「要求に基づくセキュア設計(secure by demand)」への転換を後押しし、AI機能が環境の奥深くに組み込まれる前に、オペレーターが十分な情報に基づいて選択できるようにします。
最後に、この文書は説明責任が最終的には人間にあることを改めて確認しています。「最終的に、機能安全に対する責任は人間にある」と私たちに思い起こさせるのです。推奨される「人間が介在する(human in the loop)」モデルは、AIが意思決定を支援する一方で、人間の判断を置き換えないことを保証します。このアプローチは、「モデルドリフト」のような課題を軽減し、「ブラックボックス」の出力を、実際に人命に関わる環境で盲目的に実行してしまうリスクを回避します。たとえば、精製設備が老朽化するにつれて、モデルドリフトにより機械学習モデルが故障閾値を過度に低く予測してしまう可能性があり、そのためオペレーターが資産のライフタイム全体にわたってモデルを定期的に検証することが極めて重要になります。
今後に目を向けると、この道のりは困難であると同時に希望もあります。この共有された世界的なガイダンスは、オペレーターにより明確な地図を与え、人間と機械が協働することでレジリエンスが高まることを再確認させてくれます。実務的な次の一歩としては、AIがすでに自社のOT環境のどこに関与しているかを洗い出し、オペレーターの関与と自信を維持するための検証手順を新たに策定または更新することが挙げられます。また、ベンダーと透明性要件について早期に対話を始めることで、新たな機能が導入される前に期待値を設定することができます。急速なイノベーションが進む状況において、こうした積極的な取り組みは、安全と信頼を進歩の中心に据え続けるうえで役立つでしょう。
Diana Kelleyは、Noma Securityの最高情報セキュリティ責任者(CISO)です。これまでに、MicrosoftのCybersecurity Field CTO、IBM SecurityのGlobal Executive Security Advisor、SymantecのGMなど、主要なテクノロジーおよびサイバーセキュリティ企業で上級リーダー職を歴任しています。
翻訳元: https://cyberscoop.com/ai-cybersecurity-guidance-critical-infrastructure-op-ed/
