セキュリティ&レジリエンシー

AIセキュリティの時代でも基本が大切

お知らせ 2025/04/24 読み取り時間: 1

 

※原文のお知らせ記事はこちらをご覧ください。

Kyndryl Consult、シニアバイスプレジデント、
イスマイル・アムラ(Ismail Amla)
 

キンドリルが何百人もの経営幹部に対して調査したKyndryl Readiness Report」(※)よると、AIに対する企業の準備状況について最も大きな懸念として挙げられたのがセキュリティでした。新しいテクノロジーパラダイムがサイバーセキュリティ攻撃の可能性を生み出し、その結果、新しいリスクが生じることを考えると、これはまったく驚くべきことではありません。

AIがサイバーセキュリティの状況に及ぼす変化については、刻々と状況が変わるため、予測するのが困難です。そのため、AIセキュリティの問題に関する最近の調査では、新しいセキュリティ対策を行うよりも、基本的なセキュリティ衛生と既存のベストプラクティスを強化することの重要性が強調されています。このことは、興味深いと同時に常識では考えが及ばないとも言えます。具体的に言うと、AIセキュリティは、既存のサイバーセキュリティのアプローチの範囲内で構築し、保護対象の価値を単純計算した上で適用するのが最も効果的です。また、AIセキュリティは、他のサイバーセキュリティ対策と統合することで、最大限の効果を発揮します。

この記事では、CEOやテクノロジーチームのために、健全でコストパフォーマンスが高く、現実的なAIセキュリティ対策を策定するための3つのガイドラインをご紹介します。

 

関連レポート
Kyndryl
Readiness
Reportを
詳しく読む

まずサイバーセキュリティ衛生に重点を置く

AIが業務プロセスに深く取り入れられるようになっても、手動プロセスや人間の行動など、攻撃者が悪用しようとする基本的な脆弱性の多くが変わることはありません。

新しいAIツールやセキュリティ管理に一定の投資を行うことは有意義と言えますが、AIセキュリティにおいては、セキュリティの基本を継続的に改善していく方が、ROIの向上につながる可能性が高いでしょう。実のところ、高度なAIセキュリティ防御に過剰な投資をすると、リソースと実際の脅威の不整合が起こり、逆効果になる可能性があります。

企業の皆さんは、勾配ベースのサイバー攻撃や、複雑な数学的悪用に対する最先端の防御策を導入したくなるかもしれませんが、現実に起こる侵害のほとんどが、基本的なプロンプトインジェクションや、分かりやすい脱獄のようなシンプルな方法を利用しています。複雑な防御システムは多くのリソースを消費することになり、複雑性が増すことで新たな脆弱性が生まれる可能性もあります。包括的なサイバーセキュリティトレーニング、堅牢な入力検証、モデルインタラクションの異常パターンを検出できる効果的な監視システム、サイバーレジリエンスの重視など、基本的な取り組みに集中することで、企業はより優れたセキュリティ対策の成果を得られるでしょう。

 

中央集中型のAIセキュリティチームを作らない

AI対策として、新たなセキュリティの枠組みを構築することは魅力的に感じるかもしれませんが、結局のところ、企業の利益にならない可能性が高いでしょう。現在、AIは広く分散されており、ネットワーク、アプリケーション、インフラ、APIなど、テクノロジーのあらゆる側面に影響を与えるため、AIシステムのセキュリティは分散された責任のもとで構築されることになります。具体的には、分散型AIセキュリティのアプローチは、コンテキスト固有の脆弱性に適切に対処できるので、中央集中型のアプローチよりも優れている可能性が高いでしょう。同じAIモデルでも、アプリケーションによってリスクプロファイルが根本的に異なる可能性があります。例えば、ヘルスケア分野での展開においては、創作ツールとは異なるセキュリティを検討する必要があります。

リスクとアプリケーションに関する最善のコンテキストを把握しているIT専門家にAIセキュリティを任せることで、企業は開発から実稼働までのあらゆる段階において、コンテキストに関連するリスクや脅威をより容易に特定し、軽減することができます。分散型のアプローチを採用することで、企業は理論上の脆弱性ではなく、現実の使用パターンに合わせたセキュリティ対策を実施することができます。

AIがサイバーセキュリティの状況におよぼす変化については、刻々と状況が変わるため、予測するのが困難です。そのため、AIセキュリティの問題に関する最近の調査では、新しいセキュリティ対策を実装するよりも、基本的なセキュリティ衛生と既存のベストプラクティスを強化することの重要性が強調されています。このことは、興味深いと同時に常識では考えが及ばないとも言えます

イスマイル・アムラ(Ismail Amla)

Kyndryl Consult、シニアバイスプレジデント

 
モデルの価値よりもデータとコンテキストの価値を優先する

次の場合を考えてみてください。ある金融サービス会社が、ユーザーの行動を分析し、製品の変更や新機能の推奨を行うために、大規模で高額なAIモデルを構築しました。また、この会社は、大口顧客の財務活動を分析し、流動性に関する推奨を行うために、小規模で比較的シンプルなAIモデルも使用しています。この場合、どちらのモデルのセキュリティを優先するべきでしょうか?

このコンテキストを踏まえると、正解はより小規模なAIモデルです。なぜなら、金融サービス会社は増加を続ける危険なBEC(ビジネスメール詐欺)やスピアフィッシング攻撃から、お客様を守りたいと考えているからです。攻撃者が侵害を試みる前に費用対効果について分析することを踏まえると、お客様を守るためには、モデルの機能ではなくデータの価値に合わせてセキュリティ投資を行うべきです。クリエイティブなコンテンツを生成する最先端のAIモデルよりも、機密性の高い金融データを処理する比較的単純なAIモデルに対して、強固なサイバーセキュリティと保護が必要になります。

サイバー攻撃者は、高度なAIシステムを標的にするよりも、一番簡単に有益な成果を得られる方法を選択します。このような価値に基づくセキュリティ投資のアプローチでは、技術的な複雑性よりも実際のビジネスリスクにリソースを調整します。企業は、基盤となるAIシステムの複雑性にとらわれるのではなく、最も価値のある資産を確実に保護することで、サイバーセキュリティとレジリエンスへの支出を最適化できるのです。

 


AIセキュリティの課題は困難に思えるかもしれませんが、適切なアプローチを取ることで対処できるようになります。ここで重要なのは、AIセキュリティを、革新的なソリューションが必要な未知の領域として扱わないことです。その代わりに、企業は既存のサイバーセキュリティ対策を強化し、関連するコンテキストを持つチーム全体にセキュリティの責任を分散し、モデルの複雑性ではなくデータの価値に合わせて保護レベルを調整する必要があります。AIのビジネスシステムに対するバランスの取れた戦略と、AI機能の進化に伴う継続的な警備と適応を組み合わせることで、企業は万全のサイバーセキュリティ体制を維持しながらAIのメリットを活用できるようになるでしょう。

※原文。日本版レポート「明日への備えのパラドックス」はこちらをご参照ください。

イスマイル・アムラ(Ismail Amla)
Kyndryl Consult、シニアバイスプレジデント、
Topics
セキュリティ&レジリエンシー
データ&AI

おすすめコンテンツ

Minimal high angle view at African American software developer working with computers and data systems in office
セキュリティ&レジリエンシー

Protecting data availability in the age of cloud

お知らせ 2025/04/24
Typing, research and computer with business man in office for profit margin report, client review and advisory. Online, stakeholder proposal and reading with person at night for investment portfolio.
セキュリティ&レジリエンシー

Inside the dangerous rise of synthetic identity fraud — and the ways banks can fight it

お知らせ 2025/04/16
メインフレーム

Wüstenrot transforms IT with Kyndryl’s mainframe modernization services

プレスリリース 2025/03/20