科学技術情報通信部の庁舎。写真=科学技術情報通信部

科学技術情報通信部と韓国インターネット振興院(KISA)は8日、AIサービスのセキュリティ脅威に対応するための「AIセキュリティ脅威対応マニュアル」と「AIセキュリティ・レッドチーミングガイド」を公表した。AIサービスの安全性向上と、現場でのセキュリティ点検能力の強化につなげる。

AI技術は幅広い産業やサービスに急速に浸透している一方で、プロンプト注入や権限の不正利用、データ流出といった新たな脅威も増えている。

こうした状況を受け、攻撃者の視点から脆弱性を洗い出し、対策を検証する「AIレッドチーム」の重要性が高まっている。AIレッドチーミングは、AIモデルに意図的に問題行動を誘発し、潜在的な脆弱性やリスクを特定する取り組みを指す。

今回公表した2種類の資料は、AI環境で想定される主要なセキュリティ脅威と事例を体系的に整理したものだ。実務で活用できる点検項目や対応策、レッドチームの運用方法の提示に重点を置いた。

「AIセキュリティ脅威対応マニュアル」には、脅威の分類と診断、産業別の脅威シナリオ、脅威ごとの対応策を盛り込んだ。データに関する脅威、モデルに関する脅威、エージェントに関する脅威、サプライチェーン上の脅威、高性能モデルに関する脅威など、AIに特有のリスクを分類し、実務中心の対応策を示した。

「AIセキュリティ・レッドチーミングガイド」は、AIセキュリティ分野でレッドチームを運用する実務担当者向けにまとめた政府の指針だ。AIレッドチーミングの国際標準案であるISO/IEC 42119-7を踏まえて構成し、国際的な基準との整合性も意識したとしている。

同ガイドでは、レッドチームの企画・編成から、レッドチーミング準備、実行、結果報告まで、運用の全工程を案内する。チェックリストや点検ツール、レッドチーム要員の職務記述書も盛り込んだ。科学技術情報通信部は、関係者の意見や学界の専門家の助言を反映し、現場での活用性と専門性を高めたとしている。

イム・ジョンギュ科学技術情報通信部情報保護ネットワーク政策官は「AI技術の普及とともにセキュリティ脅威も急速に進化している」としたうえで、「今回のガイドがAIサービスのセキュリティ水準を引き上げ、現場で活用できる実務基準になることを期待する」と述べた。

キーワード

#AI #セキュリティ #レッドチーミング #KISA #ISO/IEC 42119-7
Copyright © DigitalToday. All rights reserved. Unauthorized reproduction and redistribution are prohibited.