NISTのAIセキュリティ確保の試み、多くの疑問を残し、答えはなし

米国国立標準技術研究所（NIST）が先週末、企業がAIシステムから身を守る方法に関するレポートを公開した際、具体的な対策を提案することなく、問題の分類に重点を置いていました。

そのため、NISTは業界に提案を求めました。

「NISTはコンセプトペーパーと提案されたアクションプランに対するフィードバックに関心があり、関心のあるすべての方にNIST Overlays for Securing AI（#NIST-Overlays-Securing-AI）Slackチャンネルへの参加を呼びかけています」とレポートを説明するページは述べています。「このSlackチャンネルを通じて、関係者はこれらのオーバーレイの開発に貢献し、最新情報を入手し、NISTの主任研究者や他のサブグループメンバーと議論を行い、リアルタイムでフィードバックやコメントを提供できます。」

アナリストやセキュリティ業界の提唱者たちは、AIセキュリティ管理の課題が広範囲に及ぶと見ていますが、それは主に企業が現在、さまざまな方法でAIを利用したり、AIと戦ったりしているためです。

技術的なNISTの観点からは、新たなものを作るのではなく、現在のルールをAI管理に合わせて調整したいと述べています。具体的には、NISTはNIST特別刊行物（SP）800-53の管理策を基盤にしたいとしています。これは、アクセス制御、意識向上、監査、インシデント対応、コンティンジェンシープランニング、リスク評価など、従来の防御問題に対応するNISTのサイバーセキュリティ保護の中核を提供します。

既存ルールの活用は理にかなっている

「これらのオーバーレイをSP 800-53管理策に基づかせるという決定は、洗練された戦略的思考を示しています。組織はすでにこれらのフレームワークに関する知識を持っています」とMarket-Proven AIの創設者、アーロン・パーキンスは述べています。「実装プロセスを理解し、評価手法を確立しており、何よりもチームがこれらの構造内でどのように作業するかを知っています。この親しみやすさが、まったく新しいアプローチに伴う学習曲線を取り除くことで、効果的なAIセキュリティへの最大の障壁の一つを排除します。」

フォレスターのシニアアナリストジャネット・ワージントンも、既存のNISTフレームワークを活用するのは理にかなっていると同意しています。

「オーバーレイは自然な拡張であり、多くの組織がすでにSP 800-53に精通しているため、特定のAI技術やユースケースに合わせてセキュリティ対策を柔軟に調整しつつ、既存のNISTとシームレスに統合できます」とワージントンは述べています。「これらのオーバーレイは、重要なAIコンポーネントの機密性、完全性、可用性を保護するために特別に作られています。」

考慮すべき課題

NISTレポートは、深刻なサイバーセキュリティ上の考慮を強いられるさまざまなAI統合のカテゴリについて言及しています。たとえば、genAIを使って新しいコンテンツを作成すること、予測AIのファインチューニング、単一または複数のAIエージェントの利用、AI開発者向けのセキュリティ管理などです。

企業におけるAIセキュリティ確保で最も困難な要素は可視性かもしれません。しかし、可視性の問題は多様であり、モデル作成者が何を学習させているかや、モデルがどのように推奨を出すようにコーディングされているか、企業データがモデルに投入された際の利用方法、学習に使われたデータに付随する著作権、特許、その他の法的保護、SaaSアプリやクラウド導入でどれだけAIが使われているか、従業員、契約者、サードパーティが世界中でgenAIをどう使っているかなど、さまざまな形があります。

CISOがこれらすべての問題について十分な可視性を持たなければ、これらのモデルに流入・流出する情報のセキュリティ確保はほぼ不可能です。

多くのサイバーセキュリティ専門家は、AIの活動が大規模に波及し、その多くが事前の十分なデューデリジェンスなしに企業に導入されている現状で、今から適切にセキュリティを確保できるのか確信が持てていません。

最悪のシナリオを想定せよ

「AIはRSA、Blackhat、Defconで大きな話題でした。すべてのベンダーの発言の最初と最後にAIがありました」と業界ベテランで現在Online Business Systemsのシニア情報セキュリティコンサルタントであるジェフ・マンは述べています。「AIがすべての問題を解決するという驚きと同時に、驚くべき脆弱性も発見されていました。」

マンはまた、特にAIが全社的にどのように導入されているかという観点で、可視性の問題を強調しました。「インベントリを取り、何を扱っているかを把握せよ。しかし、現状で何が存在しているかを完全に把握することは不可能かもしれません。最悪のシナリオを想定するしかありません。」

長年のサイバーセキュリティ観察者であるブライアン・レヴィン（Ernst & Youngのマネージングディレクターで、元政府・軍事セキュリティ専門家のディレクトリFormerGovのCEO）は、AIセキュリティの課題の多くは、ほぼすべてのビジネス機能でAIが広範に使われていること、そして事前のテストがほとんど行われていないことに起因すると見ています。

「AIが普及しつつあり、経営陣は十分に理解し、セキュリティ問題に取り組む前に急いで導入しました」とレヴィンは述べています。「[AI]は少しブラックボックスで、誰もが自分たちのあらゆる業務に取り入れようと急いでいました。時間が経つほど、技術をアウトソースすればするほど、リスクも増大します。」

インベントリの可視化が最優先

ザック・ルイス（ミズーリ州セントルイスの健康科学・薬科大学のCIO兼CISO）も、AIリスクの最上位に可視性を挙げています。

「何が稼働しているか分からなければパッチも当てられません。それはAIにも当てはまります。NISTはAIモデルのインベントリを最初のステップにすべきです」とルイスは述べています。「企業が従業員が使っているモデルすら把握していなければ、他の管理策は意味がありません。」

また、すべてのAIがすでに汚染されていると仮定することが唯一安全な前提である場合も多いと、Ironscalesの主任技術ストラテジスト、オーディアン・パクソンは指摘します。

「自分の環境内のすべてのAIモデルが武器化されると仮定してください。つまり、モデルレベルで敵対的な堅牢性を実装し、防御用AIに嘘を期待させる訓練をするということです。汚いファイターとスパーリングさせてボクサーを鍛えるようなものです」とパクソンは述べています。「モデルは、汚染データの試み、プロンプトインジェクション攻撃、モデルインバージョン技術から本番稼働前に学ぶ必要があります。」

パクソンは、最悪を想定する思考をすべてのAIセキュリティ戦略に拡張することを提案しています。

「MLパイプラインや学習データのセキュリティベストプラクティスを考える際は、まず学習データがすでに侵害されていると仮定してください。おそらくそうだからです。差分プライバシーや定期的なモデルの健全性チェックを実施し、AI自身に“自分は汚染されていないか”を尋ねるようにしましょう」とパクソンは述べています。「可能な限り連合学習を使い、機密データが一箇所に集中しないようにしましょう。最も重要なのは、モデルのリタイア日を設定することです。6か月前に学習したAIモデルは、カウンターに放置された牛乳のようなものです。おそらくもうダメになっています。」

フォレスターのワージントンは、CISOは現在のサイバーセキュリティツールを慎重に見直す必要があると強調しています。なぜなら、それらは比較的新しいAI脅威から企業を守るのに特に効果的ではないかもしれないからです。

「AIエージェントやエージェンティックシステムは、従来のセキュリティモデルでは管理が難しい新たなリスクをもたらします」とワージントンは述べています。「成熟した検知面の不足、連鎖的な失敗のリスク、成果だけでなく意図のセキュリティ確保という課題など、懸念が高まっています。」

アプレンティス・ベンチャーズのパートナー、ヴィンス・バークは、現在の標準化の取り組みがAI脅威から企業を守る上で意味のある違いを生むかどうか、さらに懐疑的です。

「私たちにはAIリスクを管理するための指針を提供してくれる標準化機関があるのは素晴らしいことです。しかし、標準は通常、多くの経験が蓄積され、特定の工学分野に共通のアプローチやビジョンが形成され始めてから作られます。AIのサイバーセキュリティ問題については、まだその段階にはほど遠いのです」とバークは述べています。「毎日、新たな予期せぬ事例が発見され、AIの広範な有用性について疑問が投げかけられています。」

さらに、NISTの性質がこの種のガイドラインの最適な出所ではないかもしれないと付け加えています。「現時点では、この種の管理策はCISやOWASPの方が適しているでしょう」とバークは述べています。

インフォテック・リサーチ・グループの技術カウンセラー、エリック・アヴァキアンは、NISTがコミュニティからのフィードバックを求めていることを称賛しつつも、それが裏目に出る可能性があると警告しています。たとえば、AIエージェントが自己利益のための提案でコメント欄を埋め尽くしたらどうなるでしょうか？

そのようなAIによるコメントの氾濫は、最終的な提言を「悪意のある者に有利」にしたり、単に「AIが実際のフィードバックを汚染する」など、さまざまな悪影響を及ぼす可能性があると彼は述べています。そのような攻撃が発生した場合、NISTが取るべき最善の対応は対面インタビューを実施することだとアヴァキアンは述べています。「それしか方法はありません。人間によるインタビューや、地域ごとのワークショップで人を集めるなどが考えられます」と述べています。

アヴァキアンは、NISTの最初のレポートは「確かに歓迎すべきスタートだが、AI特有の新たな攻撃ベクトルに関してはオーバーレイが十分に踏み込んでいないリスクがある」とも述べています。「[レポートは]モデルの完全性やアクセス制御などの基本事項を扱っていますが、これだけではAI特有の最先端攻撃ベクトルへの対応としては不十分かもしれません」とアヴァキアンは述べています。

「高度な脅威シナリオが見落とされる可能性があります」と彼は述べています。「さらに、内部不正利用、シャドウAIの導入、エラーや見落とし、ミスなどの一般的な人的問題といった、人に関わるリスクに関しても十分に踏み込めていないかもしれません。多くのAIシステムやアーキテクチャは大きく異なり、現実世界のAI導入の多様性に真に適合するには、オーバーレイにより細かな粒度が必要でしょう。」