いくつかの先端技術分野では、ドイツの行政機関や企業は欧州外のプロバイダーに依存しています。そのため、BSI(連邦情報セキュリティ局)長官は、特にクラウド利用において、より多くの管理を求めています。
ヤン・ヴァスマット
クラウドソリューション、AIモデル、その他海外のテック製品への依存から、ドイツは当面抜け出せないと連邦情報セキュリティ局(BSI)は見ています。国家がデジタルシステムやデータを当面、欧州外のインプットなしに利用できないため、短期的にはできるだけ多くの管理メカニズムを組み込むことが重要だと、BSI長官クラウディア・プラットナーは説明します。「デジタル主権、つまり欧州やドイツのメーカーやサービスプロバイダーの利用――衛星やAIアプリケーションも含めて――について語るなら、正直になる必要があります」とプラットナーはドイツ通信社に語りました。
米国テック企業は10年のリード
進展は見られるものの、「特に米国の大手企業の多くは、すでに投資面で10年のリードがあることは明らかです」と述べています。
これはドイツの行政機関や企業にとって、「多くの分野で技術的依存関係がある」ということを意味します。「私たちがこれを短期間ですべて自力でできるようになると考えるのは非現実的です」と、2年以上BSIのトップを務めるプラットナーは言います。
BSIはドイツにおけるITセキュリティの中心的な国家機関です。連邦内務省の管轄下にあります。本部はボンにあり、連邦の行政機関のITシステムの保護を支援し、リスクを警告し、企業にも関係するセキュリティ基準を策定しています。いわゆる重要インフラ企業――エネルギー、医療、通信、輸送など――にとっては、特定のBSIの要件が法律で義務付けられています。
管理が重要
行政側には、どの技術を外部から調達するか、そして「どのように一定の管理を獲得するか」を決定する戦略が必要だとBSI長官は考えています。その一例が、今年第1四半期に締結されたBSIとGoogleの協力です。
Google CloudとBSIは2月に協定を結びました。目的は、連邦、州、地方レベルの行政機関向けに安全なクラウドソリューションの開発と提供を支援することです。「この協定の特に重要な点は、データ主権の確保にあります」と当時の発表で述べられました。
米国への脅迫材料となる可能性?
この協定には、3月に情報学協会から厳しい批判が寄せられました。同協会は、「米国政府が、しかもITセキュリティを担当するドイツの行政機関から、追加の脅迫材料を無償で得るのは無責任だ」と表明しました。米国の法的状況から、Googleは主権的なサービスを提供することができません。米国の「Cloud Act」は、米国企業に保存されているデータへの米国当局のアクセスを規定しており、これにはヨーロッパのサーバーなど、米国外のデータも含まれます。
アップデートはOK、無制御の制御命令はNG
すべてのアプリケーション、スマートフォン、OSは多くのデータ、例えば診断データを送信しているとプラットナーは言います。Googleとの協力では、「無制御なデータ流出がないことを確実にしたい」としています。
同時に、どのような制御命令が入るかも管理する必要があります。「理論的には、そうでなければすべてのクラウド、すべてのソーラーパネル、あるメーカーのすべての電気自動車を一気に停止させることも可能です」。しかし、アップデートのためのアクセスは必要なので、管理の問題は簡単ではありません。BSIはこのテーマに集中的に取り組んでいます。
中国にも問題のある法律
米国のCloud Actは、米国における国家の多くのアクセス権を認める法律の一つに過ぎないとプラットナーは認めています。中国にも同様のものがあります。しかし、BSI長官の見解では、管理の問題への答えは政治的ではなく技術的であるべきです。「技術的にアクセスが不可能であることを保証することが重要です」と彼女は強調します。特に暗号化と、その鍵をユーザーが管理できるかどうかが重要です。
ドイツ企業による独立クラウド
ドイツのクラウドプロバイダーIonosは、2024年春に連邦政府から特に厳格に保護されたコンピュータークラウドソリューションの構築を受注しました。BSIが認証した「プライベート・エンタープライズ・クラウド」は、情報技術センター連邦のデータセンターで運用される予定です。United Internetの子会社によるこのソリューションの特徴は、このプラットフォームが公共インターネットと接続されていないことです。
AIセキュリティの責任者は誰?
ChatGPT、GeminiなどのAIモデルには、8月2日からEU全域でAIをより透明かつ安全にするための規則が適用されています。しかし、AIモデルが意図せず損害を与えたり、ハッカーに操作されたりするリスクが生じた場合、ドイツでは誰がその責任を負うのでしょうか?
この分野で連邦ネットワーク庁とBSIがそれぞれどのような役割を担うかは、まだ最終的に決まっていません。プラットナーは「私たちBSIはサイバーセキュリティの責任を担う機関であり、AIに関しても相応の責任を負うべきです」と確信しています。これらの業務分担に必要な規定は、現在連邦政府で策定中です。
BSI長官は迅速な決定が必要と考える
AIの発展スピードを考えると、時間的要素が非常に重要だとBSI長官は警告します。中心的な問いは、「プロンプトインジェクションをどう防ぐか?」です。これは、AIシステムに操作された入力を意図的に送り込み、その挙動を制御することを指します。「そして、AIが悪用されるのをどう防ぐか?」
連邦局長は、安全なAI利用のためのルールがイノベーションを妨げるのではなく、「イノベーションを支える」ことを重視しています。企業には、セキュリティに関わるデータを入力しないこと、そして「適切な企業アカウントを取得し、プライバシー機能を設定して“シャドウAI”の介入を最小限に抑える」ことを強く勧めています。(dpa/rs)
ニュースレターを購読する
編集部から直接あなたの受信箱へ
下にメールアドレスを入力して始めてください。