2032 年には市場規模が 1020 億ドルになると推定されているほど、人工知能(AI)があらゆる産業に旋風を巻き起こしていることは周知の事実です。AI の基本的な概念については、私たちもみな知っています。たくさんの写真を見せて、写真に何が写っているかを教え込み、その写真から学習させた上で自分自身で理解できるようにすることで、本当に賢いコンピュータを作るようなものです。
しかし、AI にはデータが必要であり、そのデータがどこから来るのか、どう処理されるのか、その処理から何が出力されるのかを把握するには、アイデンティティとセキュリティの感覚が必要です。多くの人がそのデータの安全性に懸念を抱いているのは無理もありません。2023 年のある調査によると、回答者の 81% が ChatGPT などの生成 AI に関連するセキュリティリスクを懸念しており、AI ツールがインターネットの安全性を高めると楽観視しているという回答はわずか 7% でした。そのため、
AI 技術では強力なサイバーセキュリティ対策がいっそう重要になります。
一方、サイバーセキュリティに AI を適用して、脅威の検知と予防、インシデント対応を改善できる可能性も無限です。したがって、企業はサイバーセキュリティにおける AI の可能性と弱点を理解し、今後予想される脅威に先手を打つ必要があります。この記事では、企業がサイバーセキュリティにおける AI の導入を検討する際に知っておくべき重要な事柄と、
AI に存在する新たな脅威からどのように身を守るべきかについて掘り下げていきます。
良い面もあります。AI は、これまでより効果的で正確、迅速な対応によって、サイバーセキュリティを変革することができるということです。AI をサイバーセキュリティに応用するには、以下のような方法があります。
攻撃者が攻撃に AI を利用する実例がすでに確認されています。以下のような例があります。
しかも、AI は多くのデータを必要とし、第三者のところでデータが侵害される可能性もあるため、企業はデータを共有する対象を厳密に制限する必要があります。ChatGPT 自体も、Redis オープンソースライブラリの脆弱性が原因でデータ侵害を受け、ユーザーが他のユーザーのチャット履歴にアクセスできる事態を招きました。OpenAI はこの問題を速やかに解決しましたが、チャットボットとユーザーにとっての潜在的なリスクが浮き彫りになりました。機密データを保護するために ChatGPT の使用を全面的に禁止する企業もあれば、AI と共有できるデータを制限する AI ポリシーを導入している企業もあります。
ここでの教訓は、攻撃者が新たな攻撃で AI を使用するよう進化している一方で、企業は侵害の潜在的な脅威から身を守るためにそれを熟知する必要があるということです。
サイバーセキュリティにおける AI の導入を語るとき、倫理的な配慮について振れないのは怠慢といえるでしょう。セキュリティとプライバシーを確保するには、責任ある AI の実践と人間の監視を用いることが重要です。AI は学んだことしか再現できませんし、学んだ内容に欠落があることもあります。したがって、企業は AI ソリューションを導入する前に、以下のような点を倫理の観点から検討する必要があります。
データバイアスの増幅:AI のアルゴリズムは過去のデータから学習するので、学習に使われるデータにバイアスがあれば、アルゴリズムは意図せずそのバイアスを引きずり、増幅させてしまうおそれがあります。そのため、アルゴリズムが偏ったデータに基づいて判断したり予測したりすると、不公平あるいは差別的な結果を招くことも考えられます。
意図しない差別:学習データやアルゴリズムが考慮する特徴にバイアスがあると、AI アルゴリズムは特定の集団や個人を差別するおそれがあります。これは雇用、融資、法執行のような分野で不公平な扱いにもつながり、そうなったら制御できない要因に基づいた決定が人の命さえ左右しかねません。
透明性と説明責任:AI アルゴリズムの多く、特にディープニューラルネットワークのような複雑なアルゴリズムは、解釈と理解が難しい場合があります。透明性が欠如しているため、どのような経緯でバイアスが混入し、決定が下されたかを見極めるのは難しく、偏った結果や不公平な結果が発生した場合の説明責任が懸念されます。
AI の世界は今なお開拓時代の様相を呈していますが、プライバシーや倫理的な問題に対処するために、これからは透明性と説明責任を求める規制が新たに導入されることになるでしょう。たとえば、欧州委員会はすでに、Google、Facebook(Meta)、TikTok といった大手ハイテク企業に対して、インターネット上の偽情報拡散に対抗する取り組みの一環として、AI が生成したコンテンツにラベルを付ける措置を講じるよう求めています。EU のデジタルサービス法 に従って、プラットフォーマ―は近い将来、わかりやすい指標で偽物を明確に識別できるようにすることを義務化されるでしょう。
AI の限界を踏まえると、AI が意思決定のプロセスをスピードアップする一方で、最終的な意思決定者は常に人間でなければなりません。企業は AI を使って複数の選択肢を確保できるので、主な意思決定者が迅速に行動できるようになるかもしれません。だからこそ、AI は人間の意思決定を補うものであって、取って代わるものではないのです。AI と人間が手を取り合えば、単独で成し遂げられる以上のことができるようになります。
AI |
人間 |
|
|
公開鍵基盤(PKI) のような技術の活用は、ディープフェイクのような AI 関連の新たな脅威を防ぎ、デジタル通信の完全性を維持するうえで基本的な役割を果たすことができます。
たとえば、Adobe、Microsoft、デジサートなど業界をリードする企業のコンソーシアムが、C2PA(Coalition for Content Provenance and Authenticity)という標準に取り組んでいます。この構想では、デジタルファイルの正当性を検証して確認するという課題に取り組むべく設計されたオープン標準が採用されました。C2PA は PKI を活用して議論の余地のない証跡を生成するので、ユーザーは本物と偽物のメディアを見分けられるようになります。この仕様には、デジタルファイルのソース、作成者、作成日、場所、および変更を確認する機能が設けられています。C2PA の最大の目的は、デジタルメディアファイルの透明性と信頼性を促進することであり、特に今日の環境では AI 生成コンテンツを現実と区別するのが難しくなっていることが前提になっています。
要約すると、AI はサイバーセキュリティの分野で多くの可能性を生み出し、私たちはまだその可能性の表面をなでているにすぎないということです。AI は、サイバー攻撃をしかける側と、その攻撃を防ぐ側のどちらでも利用されるでしょう。しかし重要なのは、AI が完全に人間に取って代わることはできないということを念頭に置きつつ、企業がリスクを認識し、今すぐ解決策を導入し始めることなのです。