AIの技術進化と利用拡大が急速に進む一方で、AIに関するリスクへの社会的関心が高まっています。AIの安心・安全な開発・提供と利用を実践するため、AIガバナンス構築に取り組む企業が多くなっており、さまざまなリスクへの対応が検討されています。そのなかでも、あらためてサイバー攻撃のリスクへの対応に注目が集まるようになってきました。
KPMGは、AIガバナンスの先進的な取組み事例や支援実績、サイバーセキュリティに関する豊富な知識や世界各国での経験・実績を基に、AIセキュリティ態勢構築および運用・高度化を支援します。
AIセキュリティに関する企業等の現状
AIの技術進歩と社会への広がりは、サイバーセキュリティ分野においても大きな影響を与えています。AIセキュリティは、AIに対するサイバーセキュリティ確保(Security for AI)、AIを活用したサイバーセキュリティ確保(AI for Security)、AIを悪用したサイバー攻撃への対処の3つの観点があると考えられますが、なかでも「Security for AI」は、企業の理解や取組みが未成熟であり、組織内のAIの急速な普及に追いついていない可能性があります。
システムがAIを含むことで考慮すべき、AIモデルの学習もしくは推論過程への介入、および、AIモデルの入出力の利用・改ざんを伴う攻撃に対して、政府や関係機関、普及団体等が警鐘を鳴らす一方、多くの企業等においては、検討が進んでいない状況です。
AIに対するサイバーセキュリティの脅威
AIモデルを構成要素に含むシステム(以下、AIシステム)は、既知の攻撃手法と従来のセキュリティ対策は必要不可欠ですが、AIをターゲットとした攻撃やAI特有のセキュリティ対策も検討・実装していかなければ、攻撃によってAIモデルや学習データの漏洩、AIモデルの誤動作や計算資源の浪費などの被害に繋がってしまいます。以下のようなサイバー攻撃が検出されたり、学術論文で発表されたりしています。
KPMGのAIセキュリティ態勢構築支援について
KPMGは、Trusted AIのフレームワークに基づき、企業等におけるAIガバナンス構築を幅広く支援しています。AIセキュリティは、AIガバナンスのきわめて重要な要素として位置付け、サイバーセキュリティに焦点をあてた各種対応をサポートします。また、各企業等における既存のサイバーセキュリティの取組みやその体制・ルール等とも整合させ、継続的な改善に貢献します。
| 支援メニュー | 支援概要 |
1 | AIセキュリティ体制整備 | AIガバナンスおよびサイバーセキュリティの管理態勢における各組織の役割・機能、実施すべき事項等の設計や計画策定等を実施します。 |
2 | AIセキュリティガイドライン策定 | AIシステムの開発、提供、利用等における社内手続きや各組織が順守すべきルール、AIガバナンス部門やセキュリティ部門のAIセキュリティに関する役割を明文化します。 |
3 | AIセキュリティ評価プロセス構築 | AIシステムの企画・計画、設計・開発、運用・保守段階でのセキュリティ評価の基準や実施手順等を定めます。 |
4 | AIレッドチーム演習 | KPMGがAIレッドチームを組成し、攻撃者のプロファイル設定、攻撃シナリオの策定、AIシステムに対する疑似攻撃などを実施し、脆弱点等を改善提案を含めて報告します。 |
5 | AIエージェントのインベントリ管理、可観測性(Observability)実現施策、ヒューマンインサイト実施基準、システム基盤整備やガイドライン策定を支援します。 |
AIエージェントのセキュリティ課題への対応
現在、多くの企業がAIエージェントを導入し、AIの利活用を積極化させています。AIエージェントをノーコード/ローコードで容易に実装可能な開発プラットフォームが提供され、企業内でAIエージェントが飛躍的に増加する可能性があります。増え続けるAIエージェントや接続するシステムが攻撃対象となることや、AIエージェントの認証・認可のあり方、人の監視下におくことの重要性、システムの実行環境とモニタリングを容易にするアーキテクチャなど、企業が検討すべき課題は山積しています。KPMGは、AIエージェントを含むAIセキュリティ(Security for AI)の取組みを幅広く支援します。
