[ニュース]

IPAが「AI利用時の脅威・リスク調査報告書」を公開

進むAIの利用、進まないセキュリティ対策
2024/07/31
(水)

AIを業務利用中/利用予定の1,000人を対象に調査

 生成AI(Artificial Intelligence、人工知能)などの急速な普及によって、新たなセキュリティリスクが発生し、大きな社会問題となっている。情報セキュリティ対策の強化やIT人材育成を行っている独立行政法人 情報処理推進機構(以下、IPA注1)、は、そうしたAIのセキュリティ上の脅威やリスクの実態把握のために企業や組織にアンケートを実施、その結果をまとめた「AI利用時の脅威・リスク調査報告書」を7月4日に公開した。調査は、企業・組織に従事する4,941人の中からAIを業務で利用または予定があると回答した1,000人を対象とし、Webアンケートによって、2024年3月18日~21日に行われた。

AIセキュリティの重要性は認識しているが、対策は進んでいない

 今回の調査では、
 (1)企業や組織において業務でAIを利用/許可している、今後予定ありと回答したのは22.5%
 (2)AIを利用していない/利用する予定はない、不明がと回答したのは77.4%
となった(図1)。
 (1)のAIを利用している/利用予定の回答者のうち60.4%がAIの脅威を認識し(図2)、75.0%がセキュリティ対策は重要と回答している(図3)。その一方、内部でセキュリティ関連の規則策定や明文化、組織的な検討等がされているのは20%未満、規則策定中をあわせても40%に留まった(図4)。
 IPAでは調査のまとめとして、セキュリティ対策が担当者個人任せになっている組織が多いこと、特に中小規模の組織では対応の遅れを指摘している。

図1 AIの利用状況

出所 独立行政法人 情報処理推進機構「AI利用時の脅威・リスク調査報告書」

図2 AIのセキュリティに関する脅威の度合い(n=1,000)

出所 独立行政法人 情報処理推進機構「AI利用時の脅威・リスク調査報告書」

図3 導入・利用可否のセキュリティ重要度(n=1,000)

出所 独立行政法人 情報処理推進機構「AI利用時の脅威・リスク調査報告書」

図4 生成AIの規則、体制整備状況(n=1,000)

出所 独立行政法人 情報処理推進機構「AI利用時の脅威・リスク調査報告書」

世界ではAI利用環境の各種整備が急ピッチで進行中

 AIは、2010年代にディープラーニング注2が開発され、さらに近年はテキストや画像、音声、映像などで新たなデジタルコンテンツを作り出す生成AI(ジェネレーティブAI)ヘと進化。オフィス文書の作成やコールセンターでの自動電話応答、デザイン開発など幅広い領域に応用され、業務改善や顧客サービスで成果をもたらしている。
 その急激な進化と利用拡大の一方で、AIシステムそのものの弱点(脆弱性)を突くサイバー攻撃や、サイバー攻撃者側が攻撃にAIを悪用する事例が急増している。加えて誤用や利用体制の未整備などによる虚偽情報の拡散、情報漏えい、プライバシーや著作権などの侵害といった各種の問題も発生し、新たな課題として対策が急がれている。
 2023年5月に広島で開催されたG7サミット注3では、生成AIに関する国際的なルール制定を進める首脳声明が発表されたほか、EUや米国等各国でAIに関する法整備が進行中であり、日本では2024年度中に法制度の基本方針が発表される予定となっている。
 また、すでにAIセキュリティのガイドラインを米国国立標準技術研究所(NIST)注4がNIST AI RMF(Risk Management Framework、2023年1月)を発表しているほか、マネージメントシステムの国際標準規格としてISO/IEC 42001注5が2023年12月に公開されている。


注1:IPA:Information-technology Promotion Agency
注2:ディープラーニング:Deep Learning、深層学習。AI技術の一分類。情報分析の入力と出力の間に中間層を多数設けることで、複雑な分析や分析精度の向上を実現する。
注3:G7サミット:フランス・米国・英国・ドイツ・日本・イタリア・カナダの7か国の他、欧州理事会議長と欧州委員会委員長が参加。
注4:NIST:National Institute of Standards and Technology、米国国立標準技術研究所。所在地はメリーランド州ゲーサーズバーグ、1901年設立。米国の商務省の傘下にあり、産業技術に関する規格の標準化の促進や、調達仕様の策定などを行っている政府機関(標準策定機関ではない)。情報セキュリティに関する部門をもち、そのガイドラインなどの発行を行っている。
注5:ISO/IEC 42001:ISOはInternational Organization for Standardization(国際標準化機構)で国際標準規格策定機関。IECはInternational Electrotechnical Commission(国際電気標準会議)という電気・電子に関する国際標準規格策定機関。ISO/IEC42001では、AIによる製品やサービスを提供する組織に対する要求事項がまとめられている。

参考サイト

独立行政法人 情報処理推進機構 プレスリリース 2024年7月4日「AI利用時の脅威・リスク調査報告書を公開」

独立行政法人 情報処理推進機構 テクニカルウォッチ「AI利用時の脅威・リスク調査報告書」

独立行政法人 情報処理推進機構 中核人材育成プログラム 卒業プロジェクト 第5期生「セキュリティ関係者のためのAIハンドブック」

国立研究開発法人 産業技術総合研究所 産総研マガジン2024/06/05「AIのセキュリティリスクとは?―安全にAIを設計・開発・運用するためのガイドライン―」
 

新刊情報
5G NR(新無線方式)と5Gコアを徹底解説! 本書は2018年9月に出版された『5G教科書』の続編です。5G NR(新無線方式)や5GC(コア・ネットワーク)などの5G技術とネットワークの進化、5...
攻撃者視点によるハッキング体験! 本書は、IoT機器の開発者や品質保証の担当者が、攻撃者の視点に立ってセキュリティ検証を実践するための手法を、事例とともに詳細に解説したものです。実際のサンプル機器に...
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...