AIサービスのリスクを特定する「AIレッドチーム」

  • 2024-11-07

はじめに

過去2回のコラム(「AIサービスを取り巻く環境とAIレッドチームの必要性」、「AIレッドチームに関する世界の動向」)では、AIサービス特有のリスクおよび世界の規制強化の側面から、「AIレッドチーム」の必要性に迫りました。

本稿では「AIレッドチーム」が具体的にどのように機能するかを解説します。

AIレッドチームを成功に導くために

「AIレッドチーム」で効果的な成果を挙げるためには次の点が重要と考えられます。

1. AIサービスに関わるビジネスリスクを特定できるか

AIリスクは「技術リスク」に留まることなく、「法律リスク」や「倫理リスク」と多岐にわたります。そのため、AIシステムの「技術リスク」のみに視点を当ててテスト計画を立案すると、「法律リスク」「倫理リスク」などを想起できず、テスト計画から蓋然性のあるリスクシナリオが漏れてしまう懸念が生じます。

AIの不正利用に伴って考慮すべきリスクとインパクトは、そのビジネスユースケースに依存するため、AIシステムのみに視点を当てるのではなく「ビジネスユースケース」から想起されるリスクシナリオを特定できるかが重要です。

2. AI特有のリスクを特定するためのテスト(疑似攻撃)を実施できるか

AIは確率的プロセスに基づいて動作するなど、仕組み・挙動・脆弱性を生むポイントなどが従来のITサービスとは異なります。また、AIに関する新たな攻撃手法は日々発見・報告されています。このためAIサービスのリスク特定に求められる専門性やその手法も従来のITサービスとは異なります。AI独自のリスクを効果的に特定するためには、AIに精通するエンジニアによるテストが必要不可欠と言えるでしょう。

3. 多角的な対策(サービス設計、実装、運用)を定義できるか

検出された課題に対して対症療法となる対策のみを講じるのではなく、将来的にリスクを生みづらい管理態勢の整備や全体最適を踏まえたROIの高い対策などを検討することも重要です。例えば、課題の表面だけを見て直接的な実装レベルの対策(例:入出力のフィルター)のみを行うのではなく、AIガバナンスの整備・改善、MLOps(Machine Learning Operations)の改善・高度化も含めサービス設計、実装、運用と多角的に対策を検討していくことが重要です。

上記のポイントを考慮すると、一般的に「AIレッドチーム」を既存の内部リソースのみで実施することは容易ではありません。「AIレッドチーム」の実施にあたっては、AIリスクを効率的・効果的に特定するために、外部リソースの活用も検討すべきでしょう。

執筆者

村上 純一

パートナー, PwCコンサルティング合同会社

Email

渕 遼亮

マネージャー, PwCコンサルティング合同会社

Email

金子 泰人

シニアアソシエイト, PwCコンサルティング合同会社

Email


インサイト/ニュース

40 results
Loading...

航空サイバーセキュリティの強化 ―EASA Part-ISが求める情報セキュリティ要件―

航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。

医薬品の安定供給を支える、OTセキュリティ実装の道筋とは

近年、製造設備などの制御系システムを守るOT(運用技術:Operational Technology)セキュリティの重要性が高まっています。第一三共株式会社でOTセキュリティ強化の活動に従事する江口武志氏に、実際の導入から運用立ち上げをどのように進めたか、現場への浸透における難しさやチャレンジについて聞きました。

Loading...

本ページに関するお問い合わせ

We unite expertise and tech so you can outthink, outpace and outperform
See how