ホワイトハウスのAI計画、サイバーセキュリティ重視も実行力に課題

ホワイトハウスは、90件に及ぶAI関連の「政策行動」が盛り込まれたAI計画を発表しました。この中にはサイバーセキュリティ条項が多数含まれています。

ホワイトハウス科学技術政策局が意見募集で集めた1万ページに及ぶコメントをもとに策定されたこの政策「AIレースに勝つ：アメリカのAIアクションプラン」は、「イノベーションの加速」「米国AIインフラの構築」「国際外交・安全保障でのリーダーシップ」という3つの柱で構成されています。「この計画は、米国のAI分野での優位性を確固たるものにするための決定的な道筋を示すものだ」と、ホワイトハウス科学技術政策局長のマイケル・クラツィオスはプレスリリースで述べています。

「AIレースに勝つためには、米国がイノベーション、インフラ、グローバルパートナーシップでリードしなければならない」と、AI・暗号資産担当官のデビッド・サックスはリリースで述べています。「同時に、アメリカの労働者を中心に据え、AIの全体主義的な利用を避ける必要がある。このアクションプランは、そのためのロードマップを示している。」

この計画は、政府がAI施策を策定する際の指針となる一般原則を多数示しています。「トランプ政権が発表したAI計画は素晴らしく、待ち望まれていたものだ」と、ConnectSecure会長のアーニー・ベリーニはCSOに語ります。「包括的で、AIをあらゆる場所に、できるだけ早く導入すべきだと述べている。」

この文書に盛り込まれた多数のサイバーセキュリティ条項は、AIの急速な発展にはセキュリティ対策が不可欠であるとの認識、そしてAIが敵対者に対するサイバーセキュリティ強化につながるという理解を反映しています。しかし専門家は、実行要件や期限、具体的な指示がないため、このアクションプランは願望リストにとどまり、議会が具体化・強制力を持たせる必要があると懸念しています。

また、計画は多くの組織（政府機関を含む）が基本的なサイバーセキュリティ業務に苦戦している現実を見落としており、AIセキュリティの責任を追加しても、まず基礎が整っていなければ機能しないと懸念しています。

さらに、連邦政府や州・地方自治体が、トランプ政権による連邦機関の予算削減の中で、この計画に掲げられた目標を支えきれないのではないかという懸念もあります。

計画の主要なサイバー要素

計画に盛り込まれたサイバーセキュリティの主要な要素は、第2の柱「米国AIインフラの構築」に多く見られ、以下のような内容が含まれています。

データセンターのセキュリティ確保：計画では、AI競争に必要なデータセンターの構築に関する政策行動が示されています。セキュリティ面では、データセンターは「米国のAI優位性を損なう可能性のある敵対的技術を用いて建設してはならない」と強調されています。

また、「セキュリティガードレール」を維持し、敵対者がこのインフラに機密情報を投入することを禁止すること、AI関連のエネルギーや通信が「外国の敵対的情報通信技術およびサービス（ICTS）—ソフトウェアや関連ハードウェアを含む—から自由であること」が明記されています。

ダニエル・バーデンスタイン氏（Manifest Cyber CTO兼共同創業者、元CISA技術戦略・提供責任者）は、計画に地元の電力・水道事業者への配慮が欠けていると懸念します。これらの事業者は増加するデータセンターの電力・冷却を担うことになり、新たなAI時代の負荷に耐えられない可能性が高いと指摘します。

「米国の電力・水道システムの多くは小規模な自治体システムです」と彼はCSOに語ります。「そうした小規模な電力・水道事業者は、現時点でサイバーセキュリティのベストプラクティスを実践するための人材や資金がありません。そこにAIセキュリティまで課すのですか？」

AI情報共有・分析センター（AI-ISAC）の設立：計画では、国土安全保障省（DHS）がNISTのAI標準・イノベーションセンター（CAISI）、国家サイバー局（ONCD）と連携し、米国重要インフラ分野全体でAIセキュリティ脅威情報・インテリジェンスを共有するAI-ISACの設立を求めています。

民間企業への是正ガイダンスの維持：計画は、DHSが民間企業に対し、AI特有の脆弱性や脅威への対応・是正に関するガイダンスを発行・維持する取り組みを主導するよう指示しています。

既知のAI脆弱性情報の協調的・一元的な共有の確保：計画は、連邦機関が適切に民間部門とAI脆弱性情報を共有することを求めています。「政府と民間が協力して脅威を特定する点は、従来のサイバーセキュリティと同様ですが、AIがその延長線上にあることを認識しています」と、AI政策戦略研究所（IAPS）政策・エンゲージメントディレクターのジェニー・マロンはCSOに語ります。「これは歓迎すべきことです。」

セキュア・バイ・デザインのAI技術・アプリケーションの推進：計画は、「特に国家安全保障用途で政府が利用するAIシステムは、不正または悪意ある入力から保護される責任がある」とし、「レジリエントでセキュアなAIの開発・展開を推進することが米国政府の中核的な活動であるべき」と述べています。国防総省（DoD）はNISTやODNIと連携し、責任あるAIや生成AIのフレームワーク、ロードマップ、ツールキットを継続的に洗練することが推奨されています。またODNIは、DoDやCAISIと協議し、AI保証に関する標準を公表するよう求められています。

AIインシデント対応における連邦の成熟度向上の推進：計画は、NIST（CAISI含む）がAIおよびサイバーセキュリティ業界と連携し、標準や対応フレームワーク、ベストプラクティス、インシデント対応チームの技術能力にAIを組み込むことを求めています。さらにCISAには、サイバーインシデント・脆弱性対応プレイブックをAIシステム対応に改訂し、CISOがチーフAIオフィサーやプライバシー担当幹部、CAISI等と協議する要件を盛り込むよう求めています。

国家安全保障リスクの評価：もう一つの重要な条項は、「米国のAI開発者が、民間部門によるAIイノベーションのセキュリティリスク（悪意あるサイバー攻撃者、内部脅威など）からの積極的な保護を可能にすること」を求めています。さらにCAISIは、国家安全保障機関と連携し、「敵対者のAIシステムが重要インフラや米国経済の他分野で使用されることによる潜在的なセキュリティ脆弱性や悪意ある外国の影響（バックドアやその他の悪意ある挙動の可能性を含む）」を評価・分析するよう求められています。

「北極星」戦略であり、大統領令ではない

過去の政権が発表した戦略文書や大統領令と異なり、このアクションプランには実行要件や期限、多くの行動をいつ・どのように完了すべきかの具体性がありません。「これは各省庁にとっての“北極星”となる戦略です」とベリーニ氏は述べます。

「これは省庁がどこに注力すべきかを示すもので、今後1カ月で実際にどう実施するかを決める作業が始まります」とIAPSのマロン氏は語ります。

「これは政権がやるべきことリストとして提示しているものであり、大統領令の効力はありません」と、サイバーセキュリティ政策・法センターのヘザー・ウェスト上級研究員はCSOに語ります。具体的な指示はないものの、ウェスト氏は連邦機関がこのメッセージを受け取るだろうと考えています。「すべての省庁が優先順位をつける必要があるでしょうが、この計画のすべての要素が関係省庁と調整済みであることを考えれば、各省庁は実現可能だと考えているはずです」と述べています。

議会がより明確化する可能性も

このアクションプランは、米下院と上院が2026会計年度国防権限法（NDAA）の調整法案を作成しようとしているタイミングで発表されました。下院・上院の両法案には、AI技術に関する軍の期待が広範に盛り込まれ、サイバーセキュリティ技術が特に重視されています。

「議会がAIとサイバーセキュリティで積極的に高い基準を設定していることを歓迎します」とManifest Cyberのバーデンスタイン氏は述べています。

サイバーセキュリティ政策・法センターのウェスト氏も同意します。「議会がこのアクションプランの一部を取り上げて拡充することは十分あり得ると思います」と述べています。「計画は非常に抽象的なので、議会が取り上げれば、より具体的になる必要があるでしょう。」

予算削減が計画の障害となる可能性

AI計画は、トランプ政権が提案した予算削減のさなかに発表されており、これにより各省庁が計画の一部を迅速に実行することが大幅に制約される可能性があります。

「政権はセキュリティを重視すると言いながら、連邦機関や重要インフラが依存する重要なセキュリティプログラムを同時に削減しています」とバーデンスタイン氏は述べています。

一方、ConnectSecureのベリーニ氏は、AIによる効率化や自動化が予算減を補うと考えています。「予算削減がこの要請とともに盛り込まれているので、どう整合性が取れるのかと疑問に思うかもしれません」と彼は言います。「しかし、これまで各省庁で行ってきた多くの業務は、もはや不要になったり、より効率的、あるいは全く異なる方法で実施できるようになります。」

AI計画がどのように実行されるにせよ、今後のAI戦略で重要なのは「信頼」だとバーデンスタイン氏は述べます。「私はDoDのワープスピード作戦でCOVID-19ワクチンのサイバーセキュリティリーダーの一人でした。あれもレースでした。世界のどの国が最初にCOVID-19ワクチンを出せるかの競争でした。同時に、政権は信頼がそのレースに勝つための重要な要素であることも理解していました。」

彼は続けます。「技術競争で勝つことを考えるとき、採用や技術開発でゴールラインを越えることも成功の一部です。しかし、そうした技術の採用における信頼と安全性の確立も同じくらい重要です。どちらか一方でも欠けていれば、勝利とは言えません。」