AIの安全性でお困りですか？リスクに先んじるためのツールとフレームワークをご紹介

Cloud Security Alliance（CSA）は過去14年間、クラウドコンピューティングや人工知能のような複雑な技術をより扱いやすくするために、専門家を結集してきました。

2023年末、CSAはこれまでで最も野心的なプロジェクトであるAIセーフティ・イニシアティブを立ち上げました。Amazon、Google、Microsoft、OpenAIといった大手企業や、米国サイバーセキュリティ・インフラセキュリティ庁（CISA）、大学などの支援を受け、このAIセーフティ・イニシアティブは企業がAIツールを安全かつ責任を持って活用するための信頼できるガイダンスを提供しています。

AIセーフティ・イニシアティブは、急速に進化するテクノロジーと、変化の遅い政府規制とのギャップを埋める役割も果たしています。実践的なツールとして、準備チェックリストや実用的なフレームワーク、新しい法律に合わせて進化する推奨事項などを提供し、企業がコンプライアンスの懸念にとらわれずAIを導入しやすくしています。

AIの準備からAIロードマップまで

AIセーフティ・イニシアティブの主な優先事項は、現在の生成AIのための実践的なガードレールを共有しつつ、近い将来登場するより高度なAIシステム（汎用人工知能や超知能）のニーズを見越すことです。

その注力分野は、組織がAIを安全に活用するために必要なすべてを網羅しています：

• 包括的なAI準備リスト：組織がAI導入の準備状況を評価するためのリスト
• 利用ガイドライン：既存のセキュリティやガバナンスの実践と整合する指針
• AI倫理リスクへの対策戦略：バイアスや透明性などのリスクに対応する方法
• AIセキュリティ指針：AIを安全に活用してサイバーセキュリティを強化する方法
• 攻撃耐性ガイドライン：AIシステムがどのように侵害されうるか、またその防御方法
• 脅威インテリジェンス：悪意ある者がすでにAIをどのように活用しているか
• 将来を見据えた計画：今後のAI課題に備えるロードマップ

「AIセーフティ・イニシアティブでは、AIの急速な進化に合わせてベストプラクティスを維持するために努力しています。同時に、業界と政府をつなぐ無料ツールを提供するという私たちの原点も大切にしています」と、Cloud Security Allianceの社長であるIllena Armstrong氏は語ります。

絶えず変化するAIのセキュリティ確保という課題

グローバルなAI安全連合の立ち上げは、決して容易なことではありませんでした。CSAにとっての多くの課題のひとつは、明確で簡潔なビジョンを打ち出すことだったとArmstrong氏は言います。「このイニシアティブのロードマップが、多様な関係者に理解され、全面的に支持されるようにすることが鍵でした」とArmstrong氏は語ります。

もうひとつの大きな課題は、AIの進化のスピードが前例のないほど速いことでした。CSAは、18のドメインと243のコントロール目標を持つAIコントロールマトリクス（AICM）のようなフレームワークやツールを、現状に即しつつ将来も見据えて開発する必要がありました。これには、CSAの研究ワーキンググループや、Sallie Mae、Procter & Gamble、Microsoft、Anthropicなどのサイバーセキュリティ幹部が参加するエグゼクティブリーダーシップカウンシルからの継続的な意見が不可欠でした。

さらに、金融サービス、ヘルスケア、製造業など、さまざまな業界で推奨事項が等しく機能するよう、業界ごとにガイダンスを適応させる必要もありました。CSAのCSO戦略諮問委員会が現在、これら業界別のAI安全ガイドラインの策定に取り組んでいるとArmstrong氏は述べています。

「テックジャイアント、政府機関、学術研究者、セキュリティ専門家をまとめるのは大変です」とArmstrong氏は指摘します。「皆が異なる優先事項を持っていますが、私たちの堅実な内部チームと、この取り組みを支える熱心な専門家のおかげで、こうした課題にしっかり対応できています。」

フレームワークを現実のツールに変えるインパクト

1年半の間に、AIセーフティ・イニシアティブはすでに具体的な成果を上げています。AIガバナンスとコンプライアンス、AI技術リスク、AIコントロール、AI組織責任などをカバーするCSAの研究ワーキンググループの働きにより、20以上の研究出版物がリリースされました。

このイニシアティブの中核となるAIコントロールマトリクス（AICM）は、クラウドベースAIシステム向けのベンダーニュートラルなフレームワークであり、ダウンロードして活用した専門家や業界リーダーから高い評価を得ているとArmstrong氏は述べています。

さらに、イニシアティブの一環として、CSAはHarmonic、Noma Security、Haize Labsと提携しRiskRubric.aiを立ち上げました。Risk Rubricは、大規模言語モデル（LLM）を対象に、透明性、信頼性、セキュリティ、プライバシー、安全性、評判の観点から毎月40以上のモデルを評価するスコアリングシステムです。Risk Rubricの最終目標は、企業リーダーがAI導入時により責任ある意思決定を行うための情報を提供することです。

教育もAIセーフティ・イニシアティブの大きな成果のひとつです。CSAはノースイースタン大学と提携したTrusted AI Safety Expert（TAISE）認定プログラムを通じて、プロフェッショナルがAIを責任を持って開発・展開・運用できるよう指導し、スキルギャップの解消に貢献しています。

AIセーフティ・イニシアティブの取り組みにより、CSAは2025年CSOアワードを受賞しました。この賞は、卓越したリーダーシップとビジネス価値を示すセキュリティプロジェクトを表彰するものです。

大規模な取り組みには統一ビジョンと柔軟性が不可欠

AIセーフティ・イニシアティブの展開を通じて、CSAはあらゆる複雑なプロジェクトに応用できる教訓を得ました：

• 統一されたビジョンから始める。 明確なミッションステートメントと範囲設定が、すべての関係者の足並みを揃えます。
• 多様な意見を取り入れる。 政府、企業、非営利、学術、サービスプロバイダーなど様々な視点を加えることで信頼性が高まります。
• ベンダーニュートラルを貫く。 偏りのない姿勢は信頼構築につながり、業界全体で受け入れられる可能性が高まります。
• 早期かつ頻繁なコミュニケーション。 進捗や成功事例の共有は、勢いをつけるために不可欠です。
• 柔軟に対応する準備を。 AIのような分野では、新たな展開に迅速に対応できることが不可欠です。

「柔軟性の必要性は共通のテーマです」とArmstrong氏。「状況の変化に素早く適応できることが、AIセーフティ・イニシアティブの持続性と成功の鍵となります。」

セキュリティリーダーからさらに多くのインサイトを発見
最先端の組織が、今日の最も複雑なサイバーセキュリティ課題にどのように取り組んでいるかご覧になりませんか？CSOカンファレンス＆アワードにご参加ください。業界リーダーが、すぐに活用できる戦略、ツール、実践的な教訓を共有します。今すぐ登録して参加枠を確保しましょう。