新たに出てきたNISTのガイダンスは、サイバーセキュリティ上の目的においてAIを「単なるソフトウェア」として扱うという長年の慣行が、AIリスクを管理するより新しいアプローチへと移行しつつあることを示唆している。
長年にわたり、米国のサイバーセキュリティ・ガイダンスは安心感のある前提に基づいてきた。新しい技術は新たなひねりをもたらすが、根本的に新しい問題を生むわけではない、という前提だ。人工知能も、その見方によれば、依然としてソフトウェアであり、ただより高速で、より複雑で、より強力になったにすぎない。
従来のシステムを守るための統制は、考え方としては、AIを守るためにも大部分は適用できるはずだ――そうした前提が、米国国立標準技術研究所(NIST)のAIとサイバーセキュリティに関するワークショップで改めて表面化した。
「AIシステムは多くの点で、単に賢いソフトウェア、少しだけ付加要素のある凝ったソフトウェアにすぎません」と、NISTのコンピュータセキュリティ部門に所属する監督コンピュータ科学者のVictoria Pillitteriは、長年の見解を要約しながら参加者に語った。「つまり、既に存在する堅牢な(サイバーセキュリティの)知識体系を、いくつかの修正や考慮を加えつつ活用できるということです。ゼロから始める必要はありませんし、始めるべきでもありません」と彼女は付け加えた。
しかし、イベントでの議論がAIエージェントや敵対的操作へと移るにつれ、その概念はほころび始めた。専門家たちは、AIがそれらの枠組みが依拠する基本的な前提――すなわち、システムが決定論的に振る舞うこと、コンポーネント間の境界が安定していること、人間が確実に制御し続けること――をどのように揺さぶるのかを説明した。
こうした懸念は、いまや内部議論を超えて、公的な標準策定へと移りつつある。1月8日、NISTのAI標準・イノベーションセンター(CAISI)は、AIエージェント・システムの安全な実践と方法論に関する正式な情報提供要請(RFI)を発出した。これは、アイデンティティ管理とサイバーセキュリティの観点で見た場合に、AIの中でも最も難しい側面の一つであるアイデンティティ管理とサイバーセキュリティに関する課題に直結する。
このRFIは、現実世界の環境に影響を与える自律的な行動を取り得るAIシステムに焦点を当て、新たなリスク、セキュリティ実践、評価手法、導入上の制約についての意見を明確に求めている。
CISOにとって重要なのは、NISTが、広範な原則ベースのAIリスク管理フレームワークから、より運用に根差した期待値へと移行しつつある点だ。特に、常時の人間の監督なしに動作するシステムに対して、その傾向が強い。NISTのAI関連サイバーセキュリティの取り組み全体で浮かび上がっているのは、AIがもはや遠い将来の抽象的なガバナンス課題ではなく、標準策定機関が多面的に取り組もうとしている、差し迫ったセキュリティ問題だという認識である。
NISTの幅広いサイバーセキュリティ/AIの取り組み
ワークショップの目的は、NISTの「人工知能向けサイバーセキュリティ・フレームワーク・プロファイル(Cyber AI Profile)」の予備版に対するフィードバックを具体的に募ることにあった。これは、NISTのサイバーセキュリティ・フレームワークから生まれつつあるコミュニティ・プロファイルを適用したものだ。しかし専門家たちは、AI関連の脅威やセキュリティ機会に対処する、他の多くのNISTの実践や方法論イニシアチブにも言及した。
これらの取り組みは、NISTがAIセキュリティに対して、開発、導入、アイデンティティ、プライバシー、敵対的悪用といった複数の角度から攻めていることを示しており、次のようなものが含まれる。
AIリスク管理フレームワーク。2023年1月26日に公開されたNISTのAI RMFは、AIに関連して個人・組織・社会が被るリスクをより適切に管理するために策定された。「AIリスク管理フレームワークで私たちがやろうとしているのは、AIをどう信頼するかを理解することです。AIは、私たちがよく知っているいくつかのタスクにおいて、多くの点で異なる形で動作します」と、NISTのAIおよびサイバーセキュリティ担当主任研究員のMartin Stanleyはワークショップで述べた。特に、高影響のアプリケーションがサイバーセキュリティに与える影響に関してだ。
AI標準・イノベーションセンター(CAISI)。NISTのCAISIは、「商用AIシステムの可能性を活用し、その安全性を確保することに関連するテストや共同研究を促進するための、米国政府内における業界の主要な窓口」として機能していると、CAISIの技術スタッフであり、AIセキュリティと協働を改善するベストプラクティスと標準を策定する同センターのMaia Haminは述べた。また彼女は参加者に対し、同センターが「外国モデルの採用、潜在的なセキュリティ脆弱性、あるいは外国からの影響の可能性を含め、米国および敵対者のAIシステムの評価とアセスメントを主導している」と説明した。
NIST AI 100-2 E2025『敵対的機械学習:攻撃と緩和策の分類と用語』。2025年3月に公表されたこのNIST報告書は、概念の分類体系を提供し、敵対的機械学習(AML)分野の用語を定義している。「敵対的機械学習、あるいは敵対的AIとは、この技術の統計的・データ駆動的な性質を悪用するAIシステムへの攻撃を研究する分野です」と、NIST研究チームのスーパーバイザーであるApostol Vassilevはワークショップで述べた。「ハイジャック、プロンプトインジェクション、間接プロンプトインジェクション、データ汚染――こうしたものはすべて、敵対的AIの研究分野の一部です」と彼は明確にした。
Dioptra。Dioptraは、AIの信頼性特性を評価するためのNISTのソフトウェア試験プラットフォームである。「特定のタスクに対してどれだけ正確かを特定したい場合、分析したい次元が複数あります」と、NISTの監督コンピュータ科学者であるHarold Boothはイベントで述べた。「さまざまな種類の攻撃に対してどれだけ堅牢かを特定できるようにしたい」とBoothは言う。「さまざまな種類のデータセットに対して、どれだけうまく機能するかも知りたいのです。」
NIST SP 800-218A『生成AIおよびデュアルユース基盤モデルのための安全なソフトウェア開発プラクティス:SSDFコミュニティ・プロファイル』。AI SSDFコミュニティ・プロファイルは、「ソフトウェア開発ライフサイクル全体にわたるAIモデル開発に特有のプラクティス、タスク、推奨事項、考慮点、注記、参考情報」を追加する。NISTのBoothは参加者に対し、「このプロファイルは、AIシステムの開発に関して何が新しいのかに非常に焦点を当てています。通常のソフトウェア開発に存在する懸念は、依然として当てはまります。しかし私たちが本当に注目したのは、何が新しいのかという点です」と述べた。
PETs Testbed。NISTのPETs Testbedは、プライバシー強化技術(PETs)と、それぞれが特定のユースケースにどれだけ適しているかを調査する機能を提供し、組織がプライバシーリスクを評価・管理するのを支援する。NISTでプライバシー・エンジニアリング・プログラムを率いるGary Howarthは、数週間以内に、AIリスク管理およびサイバーセキュリティの脅威モデリングを補完する新しいバージョンのプライバシー・フレームワークをNISTが公開すると述べた。
NIST特別刊行物800-63『デジタル・アイデンティティ・ガイドライン』。NISTは最近、デジタル技術の急速な変化を踏まえ、デジタル・アイデンティティ保証レベルを満たすためのプロセスおよび技術要件をより適切に取り込むべく、2017年版のデジタル・アイデンティティに関するガイドラインを更新した。NIST応用サイバーセキュリティ部門のアイデンティティ・プログラム・リードであるRyan Galluzzoはワークショップで、「AIエージェントは、従来のサイバーセキュリティ統制をめぐる文脈や議論のあり方を変え始めています。このプロジェクトの文脈では、私たちの意図は、アクセスの問題、そして自社の企業環境内で動作しているエージェントをどのように識別するかという問題に本当に焦点を当てることです」と強調した。
「AIは単なるソフトウェア」の限界
AIを従来のソフトウェアの延長として位置づけようとするNISTの直感は、組織がゼロから始めるのではなく、リスク評価、アクセス制御、ログ、深層防御といった馴染みのある概念を再利用できるようにする。ワークショップ参加者は、少なくとも原則として、多くの統制が移転可能であることを繰り返し強調した。
しかし一部の専門家は、その類推は実務ではすぐに破綻すると主張する。AIシステムは決定論的ではなく確率論的に振る舞うという。出力は、導入後も継続的に変化し得るデータに依存する。そしてエージェントの場合、事前に明示的にスクリプト化されていない行動を取る可能性がある。
CISOにとってのリスクは、AIが理解不能であることではなく、理解できそうに見えるがゆえに、組織が統制を機械的に適用してしまうことだ。「単なる別のアプリケーション」としてAIを扱うと、新たな故障モードが見えにくくなる可能性がある。特に、コードの直接的な悪用ではなく、データやプロンプトを介した間接的な操作が関わるものだ。
「AIエージェント・システムは、実にさまざまなセキュリティ脅威とリスクに直面しています」とCAISIのHaminはワークショップで述べた。「その一部は従来のソフトウェアと重なりますが、他のものは、非決定論的なAIモデル出力と、ソフトウェアツールの提供する機能や能力とを組み合わせるという固有の難しさから生じるものです。」
CISOはフレームワーク疲れに注意すべき
ワークショップの冒頭で、NISTのシニア政策アドバイザーであるKaterina Megasは、AIセキュリティのガイダンスとして何が必要かを尋ねるために、NISTがCISOコミュニティに働きかけたと説明した。
「どの道に進むにしても、その前に私たちはCISOコミュニティに話を聞き、『皆さんは人工知能にどう対処していますか? それは日々の業務にどう影響していますか? 夜も眠れなくなるようなことですか?』と尋ねました。圧倒的に返ってきた答えは『はい、これは間違いなく私たちの最重要関心事です。経営層から、私たちは何をしているのかと問われています』というものでした」と彼女はイベントで語った。
しかしCISOたちは、AIに関する文書の多さに圧倒されているともNISTに伝えた。これらの刊行物の多くには重複があるが、同一ではない、とMegasは述べた。「これらすべての文書の利用者であれば、それらを見て、自分がやっていることとどう関係するのかを理解し、さらに2つの文書が同じことを述べている箇所と重複している箇所を見分けるのは非常に難しかったのです。」
「ガイダンスがものすごく長いと、人々は実際には使わないかもしれません」と、ワークショップ参加者でAira Securityの共同創業者兼CTOであるNaveen Konrajankuppam MahavishnuはCSOに語り、資料の多くはより消化しやすい要素に縮約できると示唆した。
「非常に詳細な、例えば100ページの版があってもよいですが、同時に、その100ページの文書全体を数ページに要約したチェックリストのようなものも用意すれば、人々は簡単に目を通せますし、そこから実装を始められます」とMahavishnuは言う。
翻訳元: https://www.csoonline.com/article/4123196/nists-ai-guidance-pushes-cybersecurity-boundaries.html
