AIがサイバーセキュリティに与える影響

IPA 銭谷 謙吾

独立行政法人情報処理推進機構 セキュリティセンター サイバー情勢分析部 調査グループ
(併)AIセーフティ・インスティテュート セキュリティチーム
エキスパート

銭谷 謙吾

サイバーセキュリティ戦略に見るAIセキュリティ3つの観点

サイバーセキュリティ戦略に見るAIセキュリティ3つの観点

1. AIが登場したことでサイバー脅威にどんな影響が出ていますか?

 大きく2つの影響があります。
 第一の影響は、従来からあるフィッシングや標的型攻撃などのサイバー攻撃が、AIの悪用によって悪化していることです。例えば、翻訳能力が高まったことで、海外のサイバー犯罪者が巧妙な詐欺メールを日本人向けに送信する事例が大幅に増えています。また、ランサムウェア攻撃のように遂行に技能を要する攻撃が、AIの知恵を借りることで、技能なしでも実践できたり、実行速度を上げたりといったことが可能になっているほか、半自動化された標的型攻撃の事例も報告されています。(図中の「AIを悪用したサイバー攻撃」)
 第二の影響は、新しく登場したAIがサイバー脅威による攻撃の対象になっているということです。例えば、メールを用いたアンケート調査を行う時に、受信した回答メールの集計をAIに任せたとしましょう。この時、AIを騙すようなメッセージを回答メールに紛れ込ませることで、情報漏洩や改ざんなどの被害を及ぼす、間接プロンプトインジェクションと呼ばれる攻撃手法があります。いわゆる生成AIと共に新たに登場した攻撃の例であり、今後、AIの応用が広がるにつれて、AIを狙い撃ちにしたこの種の攻撃も増えると見込まれます。(図中の「AIに係る安全性確保(Security for AI)」)

2. どんな対策が有効なのでしょうか?

 従来からのセキュリティ対策が引き続き有効です。AIによるサイバー攻撃の悪化は主には従来と同種の攻撃の速度や量の増大といった形で表れており、想定外と言えるような新しい攻撃が多発しているわけではありません。新しく登場したAIを狙い撃ちにした攻撃も、AIの持つ脆弱性だけですべてが決まるわけではなく、AIを取り囲むITインフラや日常的なシステム運用などの全体の中で成否が左右されます。例えば、AIに弱点があっても、そのAIに外部からアクセスする経路が全くなければ、大きな問題にはなりません。
 加えて、今後の発展が期待されるのは、サイバーセキュリティにおけるAIの活用です。セキュリティ管理業務の省力化や、インシデント発生時の対応迅速化、より高度なシステム監視、システム開発工程でのセキュリティレビューの自動化など、様々な技術の開発が進んでいます。(図中の「AIを活用したサイバーセキュリティ確保(AI for Security)」)

3. 国や公的機関による関連の取り組みはありますか?

 サイバー脅威にAIが関わっているかどうかは、攻撃の様子だけを見ても判別できないのが通例です。ですから、従来からのサイバーセキュリティの取り組みが基本であって、その中にAIとの関わりの深い部分が含まれるとお考え下さい。サイバーセキュリティに関する各種の取り組みは、国家サイバー統括室(NCO)や情報処理推進機構(IPA)セキュリティセンター他の連携の下で推進されており、インターネット上で多くの情報が公開されています。
 他方で、AIを業務等に導入する場合には、それらのAIをサイバー脅威から守る必要があり、そのための取り組みの中には、対象がAIならではのものも含まれます。AIシステムの安全性確保については、AIセーフティ・インスティテュート(aisi.go.jp)から各種の手引きを含む多くの情報が提供されています。AIとセキュリティの全体的なトレンドについては、IPAセキュリティセンターでも随時調査を行っています。総務省などその他の情報源も併せ、これら公的機関からの情報を適宜ご参照ください。

4. AIの安心・安全な利活用に向けた考え方のポイントを教えてください。

 AI利活用に伴うリスクを抑え利益を最大化するためのマネジメント活動は、AIガバナンスと言われます。AIガバナンスの考え方は「AI事業者ガイドライン」にまとめられており、このガイドラインを起点に、他の関連文書を辿ることもできます。重要なのは、AI利活用に伴うリスクとメリットをなるべく正確に理解することです。そのために必要な知識は、必ずしも高度で専門的なものではありません。サイバーセキュリティに関して言えば、自分たちが利用するAIをサイバー攻撃から守ることは、自分たち自身を守るだけでなく、攻撃を経て乗っ取られたAIが他者への攻撃に悪用されることを防ぎます。これまで以上にセキュリティに対する意識を高めつつ、有効とされる各種の対策を適切に組み合わせながら、AIのメリットを引き出していきましょう。

5. 最後に、コラムを読んだ方にメッセージをお願いします。

 AIの発展は目覚ましく、毎週のように新たな技術的進展が見られます。今後の推移を断言することは難しく、最新の状況に対するキャッチアップが欠かせません。予断を持つことなく視野を広く保ちましょう。AIセーフティ・インスティテュートやIPAでも、皆様の安心・安全なAI利活用の一助となるよう、色々の情報を提供してまいります。