AI セキュリティとは

AI セキュリティとは、ワークロードを弱体化させたり、データを操作したり、機密情報を盗み出そうとしたりする攻撃から AI アプリケーションを保護することです。AI のライフサイクルと技術的なエコシステムにおいては、機密性、完全性、可用性の原則が適用されます。 

Red Hat AI の詳細

AI ワークロードにより、従来の IT セキュリティではカバーできない新たな領域が生まれています。そのため AI セキュリティは、AI ワークロードを悪用や操作から保護することに重点を置いています。これは、サイバーセキュリティ (電子データの犯罪的または不正な使用からの保護) における AI の利用や、AI の安全性 (AI の使用から生じる有害な結果の防止) といった分野とは異なります。 

AI セキュリティとは、脆弱性を特定し、AI システムの整合性を維持することで、意図したとおりに中断なく稼働できるようにすることです。これには、改ざんされていないトレーニングデータの確保、モデルの来歴の管理、プラットフォーム内での GPU の隔離が含まれます(ほとんどの GPU はセキュリティや隔離を念頭に設計されておらず、攻撃者にとって狙いやすい標的となり得ます)。

AI ワークロードから生じる新たな攻撃対象領域に対応するには、既存のセキュリティポスチャの多くでアップグレードが必要です。この分野は急速に進化しており、新たな指針が策定されています。AI ワークロードとその実行基盤となるシステムを保護するには、柔軟なアプローチが役立ちます。

AI システムを保護するには、その仕組みを隅々まで理解することが不可欠です。理解が深まるほど、AI テクノロジーをより効果的に保護できるからです。 
 

AI インフラストラクチャとは 
 

従来の IT 構成は、言わば家のようなものです。家には、ドアや窓などのいくつかの脆弱性がありますが、いずれも施錠して閉鎖できます。それに対して AI ソリューションは、別の惑星にあるアパートのようなもので、数十のフロアや銀河にまたがる玄関を備えています。これまで考えもしなかった攻撃ポイントが数多く存在するのです。

AI ソリューションはユーザーと攻撃者の双方に豊富な機会を提供します。つまり、有用なツールであると同時に、セキュリティ上の悪夢にもなり得るのです。従来のソフトウェアが抱えるセキュリティ上の課題を考慮すると、複雑な AI には、現在のプロセスと連携可能な専門的なセキュリティ戦略が必要となります。

効果的な AI セキュリティ戦略は、すべての扉や窓を考慮に入れ、隙間をふさぎ、積極的な予防策によって侵入の機会を回避します。機密データの漏洩や不正流出を防ぐだけでなく、攻撃に対する防御態勢を整え、明示的なセキュリティポリシーや規制枠組み (EU人工知能法など) へのコンプライアンスを維持し、AI システムのセキュリティポスチャに対する可視性と信頼性を高める、といった役割もあります。

AI の操作を狙う攻撃者はより賢くなり、その手口はより狡猾になっています。AI を狙ったセキュリティ攻撃は多様ですが、特定の攻撃は他のタイプよりも頻繁に発生しています。一般的な攻撃の種類には以下が含まれます。  

• プロンプト注入攻撃： 攻撃者が不正なプロンプトを用いて、AI の出力を操作し、機密データの漏洩、意図しないアクションの実行、あるいは暗黙的・明示的なセキュリティポリシーやセキュリティ制御の回避を引き起こします。
• データ汚染： 悪意のあるデータやマルウェアを注入することで AI モデルを操作し、不正確、偏った、または有害な出力を引き起こします。これにより混乱が生じ、不適切な結果が出力される可能性があります。

AI システムは、攻撃と運用上の障害という両面でリスクに直面しています。デプロイされたシステムと同様に、AI モデルも適切に管理されなければドリフトや劣化が生じる可能性があります。モデルを低品質なデータでトレーニングしたり、継続的な更新を怠ったりすれば、データが不正確で古くなり、さらには有害になる危険性さえあります。パフォーマンスや精度の低下にもつながります。 

チームと技術を保護するには、戦略を多層化する必要があります。単一の防御ラインではおそらく不十分です。一般的な戦術には次のようなものが含まれます。

• 振る舞い分析： このタイプの脅威検出は、ネットワーク内の異常や逸脱を捕捉します。典型的なデータセット、パターン、および活動を追跡することで、AI システムの典型的な振る舞いを深く理解できるようになります。異常な振る舞い (偏ったコンテンツや、さらに深刻なケースとして平文形式で公開されたパスワードなど) を検知すると警告します。
• ランタイム脅威の検出： 攻撃者が環境をスキャンして侵入経路を探している場合、既存のランタイムセキュリティは繰り返されるプローブを検知して警告できます。この手法を AI で自動化・強化することで、脅威を早期に検知して警告できる体制を整えられます。
• 予測型脅威インテリジェンス： 過去のデータを参照して次に何が起こるかを予測することで、将来の脅威を予測します。 たとえば、FinTech システムがランサムウェアに狙われている場合、予測型脅威インテリジェンスは組織のセキュリティポスチャを評価し、攻撃が成功する可能性を判断します。
• 高度なデータ処理：AI ワークロードには、数十億、数百億ものデータポイントをはじめとする、膨大なデータが含まれています。AI セキュリティでは、そうしたデータを処理して、危険にさらされているか、機密であるか、利用可能かを判断する必要があります。高度なデータ処理により、人間や従来の処理技術よりも迅速に環境内の異常や脅威を検知できるため、チームは迅速に対応できます。
• 攻撃経路の分析：脅威に対する潜在的な脆弱性と機会を把握できます。たとえば、脅威がどのようにシステムに侵入し、機密データに到達するかを理解することで、攻撃経路を特定して遮断することができます。 

AI ライフサイクルの各段階には、対策が必要な脆弱性が存在します。堅牢な AI セキュリティ戦略では、AI モデル、データ、プライバシーを保護する必要がありますが、そこで役立つのが次のような要素です。

• AI ガードレール：ガードレールは、生成 AI モデルがヘイト、罵倒、卑猥な発言、個人を特定できる情報、競合情報を出力するのを防止し、その他のドメイン固有の制約を適用するのに役立ちます。
• 保護されたトレーニングデータ：AI システムの信頼性は、トレーニングに使用されたデータの信頼性によって決まりがちです。元のトレーニングデータには、モデルの整合性と出力を保護するため、改ざんや細工から守るファイアウォールなどの安全対策が欠かせません。
• 強固なプラットフォーム・セキュリティ：AI ワークロードが実行されるプラットフォームを保護し、健全性と信頼性を維持します。プラットフォームが安全であれば、攻撃者にとっての労力が増えることになります。
• サプライチェーンおよびシステムセキュリティ：サプライチェーンおよびシステムセキュリティにおける既存のベストプラクティスを、AI ワークロードにも応用します。従来のソフトウェア・サプライチェーンのセキュリティは、オープンソース ライブラリの整合性を検証します。AI サプライチェーンのセキュリティもこれと同様に、トレーニングデータ、事前トレーニング済みモデル、サードパーティ製 AI コンポーネントの出所と整合性を検証します。
• カスタマイズされた戦略：AI ワークロードは独自性が高く、画一的なセキュリティ ソリューションが役立つことは稀です。セキュリティ戦略は、個々の AI ワークロード、設計、データに合わせて調整する必要があります。 

これらのベストプラクティスは、AI システムを保護する、次のような一般的なツールやソリューションを使って実装できます。 

• アイデンティティとアクセスの管理：AI システムおよびインフラストラクチャへのアクセス権限、ならびにアクセスの方法とタイミングを制御します。たとえば、機密データを保護するために多要素認証を使用します。
• AI セキュリティポスチャの管理：セキュリティのデプロイ状況と運用を監視します。モデルとデータに対する可視性とインサイトを提供し、AI システムを監視できるようにします。
• 出力検証プロセス：汚染された出力や検証されていない出力は、ダウンストリーム・システムに問題を引き起こす可能性があり、機密データの漏洩を招く危険性さえあります。出力検証プロセスは、モデルの出力結果をダウンストリームへ送る前に再確認します。

AI セキュリティは、エンタープライズ AI 戦略に多様なメリットをもたらします。安心感もその 1 つです。また、AI ワークロードのスムーズな実行や、本来の重要業務に割く時間を確保するといった点で、AI 戦略をより強固なものにできるメリットもあります。主なメリットは次のとおりです。 

• 露出とリスクの低減： AI セキュリティはデータ侵害を防止することで、機密情報や個人情報が悪意ある第三者の手に渡るのを防ぎます。実害が出る前に攻撃を阻止すれば、AI システムは意図したとおりに機能し、業務への影響を避けられます。
• 時間とコストの節約：機密データの露出を減らすことで、障害が少なくなり、業務が円滑化します。攻撃を無効化または阻止することで、ダウンタイムを削減し、イノベーションに充てる時間を増やせます。
• 脅威インテリジェンスの強化：AI セキュリティは、潜在的な脅威に対処する過程で、一般的なリスクとその仕組みを学習します。時間が経つにつれ、それらの脅威に継続的に先手を打てるようになります。 

AI は比較的新しい技術であり、業界では成熟化に向けた取り組みが現在も続いています。AI は絶えず変化しているため、セキュリティ確保には柔軟なアプローチが欠かせません。業界が直面している共通の課題には、以下のようなものが含まれます。 

• 進化する AI 特有の脅威：AI は変化し続けているため、悪用される機会が生まれやすく、AI のアプリケーションやモデルは攻撃者にとって魅力的な標的となります。AI が変化し進化するにつれて、セキュリティ要件も変化しています。
• 複雑なソフトウェア・サプライチェーン：AI のライフサイクルは、オープンソースライブラリからサードパーティのアプリケーション・プログラミング・インタフェース (API)、事前トレーニング済みモデルに至るまで、数多くのパズルのピースで構成されています。これらのパズルのピースのそれぞれが、攻撃者の侵入経路となる可能性をはらんでいます。複雑な AI サプライチェーンには、多様な構成要素を考慮した多層的な AI セキュリティアプローチが必要です。
• AI の安全性に関する重要な要件：モデルのバイアスやドリフトを除去するためのデータクリーニングは、モデルを意図したとおりに運用するうえで極めて重要です。AI トレーニングデータを理解してクリーニングするには、業界にとって新たな専門スキルが必要になります。
• 既存のセキュリティツールとの統合： 既存のツールに AI などの新技術を統合するには、AI ワークロードとそれを支えるインフラストラクチャの両方を保護して監視できるシステムが不可欠です。
• 可視性とガバナンスのギャップ：新たな AI 向けのセキュリティおよびポリシーのソリューションを構築しようと、多大な努力が払われていますが、多くの予期せぬリスクは積極的に対処されていません。そうしたリスクが初めて発生するケースなどもあるからです。AI セキュリティポリシーを機能させるには、新たな推奨事項が発表されるたびに、更新し続ける必要があります。

データとユーザーのプライバシーには常にリスクが存在してきましたが、AI は多くの新たなリスクを生み出しています。AI を使用する際の主なガイドラインには、次のようなものが含まれます。 

• AI プライバシー： AI プライバシーの保護とは、個人データやプロプライエタリーなデータを不正使用から保護することです。機密データが安全に保たれるよう、抜本的なセキュリティ対策を講じることを検討してください。
• AI コンプライアンス： AI が変化するにつれ、法的コンプライアンスや法規制もそれに伴って変化しています。これにより、AI の活用方法を改善できる業界標準が生まれる可能性があります。 

AI セキュリティの範囲内ではないものの、AI 倫理は、全体的な AI リスクを左右する可能性があります。AI を活用するには、ユーザーは各自のモデルの出力を認識し、それらを意思決定にどのように活用するかを理解すべきです。

AI の倫理的な使用とは、人権、公平性、透明性といった社会的価値観を尊重することを意味します。AI 倫理方針にモデルが準拠していることを確認できるよう、モデルの開発方法やトレーニング方法を確認してください。また、ポリシーから逸脱しないよう、継続的に AI の出力を監視する必要もあります。

オープンソースは透明性とコミュニティの信頼を高めます。 Red Hat のソリューションは、オープンソース技術を活用してハイブリッドクラウド向けに構築されており、エンドツーエンドの AI ライフサイクルを保護するのに役立ちます。 

Red Hat® AI は、革新的なアプリケーションの実験、拡張、提供を支援します。AI セキュリティに対する包括的かつ多層的なアプローチを提供します。これは、Red Hat のプラットフォーム・セキュリティと DevSecOps プラクティスを基盤として構築されています。 
 

Red Hat AI の詳細 
 

Red Hat のソリューションは、お客様が信頼性の高い AI アプリケーションを構築・展開することを可能にし、あらゆる段階でセキュリティおよび安全上のリスクを軽減します。具体的には、Red Hat OpenShift® AI は、AI セキュリティにおける公平性、安全性、スケーラビリティを維持するための、以下のようなメリットを提供します。

• 可視性の向上：モデルが結論に至る過程を見えない状態にし、アルゴリズムをわかりにくくする (およびユーザーにとってわかりにくくする)、「ブラックボックス」現象を解消します。Red Hat Trusted Profile Analyzer から、脆弱性、悪意のあるコード、ライセンス問題、および AI の潜在的な安全リスクについての知見を得られます。
• 統合された開発ワークフロー： 開発の早い段階で一貫して AI セキュリティのベストプラクティスを適用することで、脆弱性を早期に発見し、コストのかかる重複作業を削減できます。Openshift AI に統合されている Red Hat Advanced Developer Suite は、開発ワークフローに実装可能な Red Hat Developer Hub などのツールを提供します。これはモデルの来歴追跡と評価に役立ちます。
• ハイブリッドクラウドによる一貫性： ハイブリッドクラウドの柔軟性を実現する AI ソリューションにより、あらゆる場所で推論できます。オンプレミス、クラウド、エッジのいずれで運用する場合でも、AI ワークロードのセキュリティとパフォーマンスは同じであるべきです。
• モデルの整合性： モデル出力とトレーニングデータ間の整合性を監視することで、一貫したデータの正確性とモデルの整合性を確保します。 OpenShift AI は、LoRa/QLoRA を用いた大規模言語モデル (LLM) の効率的なファインチューニングもサポートし、計算のオーバーヘッドとメモリーフットプリントを削減します。
• ドリフト検出ツール：モデルの入出力を、誹謗中傷や卑猥な発言、個人データ、その他のドメイン固有のリスクといった有害な情報から保護します。AI のガードレールとリアルタイム監視システムは、モデル推論に使用されるライブデータが元のトレーニングデータから逸脱し、有害な AI スロープに陥った際に検知できます。 

Red Hat OpenShift AI の詳細はこちら