AI開発のセキュリティを確保するガイドライン CISAなど23組織共同締結：セキュリティニュースアラート

CISAとNSCS-UKはAIシステムの開発者に向けて、不正アクセスからデータを守るためのセキュリティ対策についてまとめたガイドラインを発表した。

[後藤大地，有限会社オングス]

　米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）と英国立サイバーセキュリティセンター（NCSC-UK）は2023年11月26日（現地時間）、AI（人工知能）を使ったシステムの安全な開発に必要なセキュリティ対策と原則についてまとめたガイドライン「Guidelines for secure AI system development」を発表した。

Guidelines for secure AI system development（出典：NCSC-UKのWebサイト）

「AI開発はセキュリティが後回しになっている」　ガイドラインが指摘

　Guidelines for secure AI system developmentは、23のサイバーセキュリティ組織が共同で締結したもので、セキュアな設計を最優先し、ライフサイクル全体でセキュリティを統合することの重要性を訴えている。

　Guidelines for secure AI system developmentはNCSC-UKの以下のWebサイトで公開されている。

• Guidelines for secure AI system development - NCSC.GOV.UK
• Guidelines for secure AI system development（PDF）

　同ガイドラインはAIシステムの安全な開発に関する情報を提供するものであり、AIシステムが意図した通りに機能し、必要なときに利用可能で、かつ、無許可の当事者に対して機密データを公開しないようにすることを目的としている。

　同ガイドラインはAIにおけるセキュリティが従来とは異なることを説明しつつ、新たな対策が必要だと言及している。ガイドラインは「AIの分野はセキュリティが後回しにされがちであり、システムのライフサイクル全体（設計や開発、運用、保守）を通じてセキュリティを中核的な要件とすべきだ」と強調し、設計や開発プロセス、展開戦略、運用と保守に関する具体的なセキュアガイドラインを提供している。

　同ガイドラインはセキュリティのアウトカムをユーザーが所有することや透明性と説明責任の徹底、組織構造とリーダーシップを構築してセキュアな設計が最優先になるように努めることを推奨している。

　同ガイドラインは、主にAIモデルをホストする組織や外部のAPIを使用するAIシステム提供企業を対象としている。ただし、データサイエンティストや開発者、マネジャー、意思決定者、リスク所有者など、関係する全てのユーザーがガイドラインを読み、設計や開発、展開、運用に関する意思決定に利用することが望まれている。