日米英を含む18カ国は、生成AIの進化が今後も期待される中、「安全で安心できる信頼性の高いAI」を構築するための新たなガイドラインに署名し、企業に必要な措置を講じるように促すとしている。
法的拘束力を持たない基本的な原則ではあるが、20ページに及ぶ文書の中でAIを設計・利用する企業は顧客や公衆への悪影響がなされないように、開発・導入をする必要があるとされている。このガイドラインは、ゼロから開発されたシステムだけでなく、サードパーティのツールやサービスに基づくシステムにも適用される。
ガイドラインの目的は、AIにおけるサイバーセキュリティのレベルを引き上げ、AIが安全に設計、開発、導入されるようにすることである。このガイドラインは、サイバーセキュリティがAIシステムのセキュリティにとって不可欠な要件であり、開発当初から開発プロセス全体にわたって統合されることを保証する「セキュリティ・バイ・デザイン」アプローチを推進している。
ガイドラインは、セキュアな設計、セキュアな開発、セキュアな実装、セキュアな運用と保守の4つの主要分野に分かれている。これらのガイドラインは、セキュリティを向上させるために推奨される行動を示している。
- セキュアな設計と開発では、リスクの理解、脅威のモデル化、サプライチェーンセキュリティ、文書化などの問題を扱う。
- セキュアな実装では、インフラストラクチャーとモデルの保護、インシデント管理、責任あるリリースの必要性を強調している。
- セキュアな運用と保守では、ロギングと監視、更新管理、情報共有に関するガイダンスを提供する。
一般的な勧告ではあるが、米国Cybersecurity and Infrastructure Security Agency(CISA)のJen Easterly局長は、「AIシステムは安全性を第一に考える必要があるという考えに多くの国が名前を連ねたことは重要だ」と述べ、これがいかに正しい方向への一歩であるかについて言及している。
NCSCのLindy Cameron最高責任者は、このガイドラインを「AIにまつわるサイバーリスクと緩和策について、真にグローバルで共通の理解を形成するための重要な一歩であり、セキュリティが開発への追記ではなく、全体を通して中核的な要件であることを保証するものだ」と評した。
ガイドラインはNCSCとCISAとが共同で策定した。業界の専門家や、G7やGlobal Southの全メンバーを含む世界中の21の国際機関や省庁も起草プロセスに参加した。
署名国には、オーストラリア、カナダ、チリ、チェコ共和国、エストニア、フランス、ドイツ、イスラエル、イタリア、ニュージーランド、ナイジェリア、ノルウェー、ポーランド、シンガポール、韓国、英国、米国、日本が含まれる。一方、AIが脅威とならないよう、欧州は新しいAIシステムの開発とリリースを管理する具体的な法律に着手する予定だ。つまり、EUでシステムを実現するすべての企業は、ユーザーがAIを悪用できるような脆弱性がないことを確認しなければならなくなる。
AIの利用が止められないことは否定できない。特に、我々の技術や、ある程度は日常生活の進歩や改善を期待するのであれば。この合意はもっと重要だ。同時に、人工知能の利用を規定する法律を作ることは簡単なことではなく、実際にある程度実現するまでには何年もかかることを理解しておく必要がある。同時に、AIにはその過程で開発される能力があることを理解しなければならない。つまり、現在のAIモデルに適用される規制やルールを作ることは、同じモデルがより多くのことを学んだ数年後には十分でないかもしれないということだ。
Sources