本文の内容は、2025年3月28日に Marla Rosner が投稿したブログ(https://sysdig.com/blog/5-steps-to-securing-ai-workloads/)を元に日本語に翻訳・再構成した内容となっております。
過去 1 年間だけで、ワークロードで実行される人工知能 (AI) パッケージの数は500% 近く増加しました。つまり、AI はあらゆるところに存在し、長期的に定着しつつあるということです。当然ながら、これらの AI ワークロードは有用である一方で、データの漏洩、敵対的攻撃、モデルの改ざんなどのセキュリティ上の課題を伴います。そのため、AI の導入が加速するにつれて、セキュリティ リーダーは組織を保護しながらイノベーションを可能にする AI ワークロード セキュリティプログラムを構築する必要があります。
堅牢なAIワークロードセキュリティプログラムを実現するには、先を見据えた体系的なアプローチが必要です。以下に、AI環境におけるセキュリティとレジリエンスを確保するための5つの重要なステップを紹介します。
ステップ1: AIワークロードの可視性を獲得する
可視性はあらゆるセキュリティプログラムの基盤です。多くの組織では、AIワークロードがどこで実行されているのか、誰がアクセスしているのか、どのようなデータを処理しているのかについての把握が不十分です。
可視性を確保するには、クラウド、オンプレミス、ハイブリッド環境全体にわたってAIワークロードのインベントリを作成する必要があります。機械学習フレームワーク、API、データソースといったAIの依存関係を特定することは、潜在的なセキュリティギャップを理解するうえで不可欠です。さらに、AIワークロードをリアルタイムで監視することで、重大な脅威となる前に異常な活動、不正アクセス、露出リスクをセキュリティチームが検知することが可能になります。
ベストプラクティス:
- クラウドネイティブ アプリケーション保護プラットフォーム (CNAPP)を活用してAI ワークロードを検出します。
- セキュリティ分類のために AI モデルに資産タグ付けを適用します。
ステップ2: AI開発とデプロイメントパイプラインのセキュリティ保護
AIモデルは、トレーニングからデプロイメントまで複数の開発段階を経ます。それぞれの段階には、データポイズニング、モデルの窃取、構成の不備といったセキュリティリスクが存在します。
DevSecOpsの実践を取り入れることで、AIモデルの開発初期からセキュリティを組み込むことが可能になります。組織は、デプロイ前にAIコードや依存関係をスキャンし、脆弱性を特定することでリスクを最小限に抑えるべきです。また、モデルリポジトリやトレーニングデータセットに対して厳格なアクセス制御を施すことも、不正な改ざんやデータ漏洩を防ぐために不可欠です。
ベストプラクティス:
- AI ライブラリ (TensorFlow、PyTorch など) の脆弱性スキャンを CI/CD パイプラインに統合します。
- 誤った構成を防ぐために、インフラストラクチャーアズ コード (IaC) セキュリティ ツールを使用します。
ステップ3: 実行時においてAIワークロードを保護する
AIモデルは、デプロイ後も敵対的入力、モデル回避、不正な改ざんといった攻撃にさらされやすくなります。ランタイムセキュリティとは、ワークロードが実行中の状態において継続的に監視し、悪意ある活動が被害を及ぼす前に対処するための手法です。脅威をリアルタイムで検知・緩和することが不可欠です。
組織は、AIワークロードに対して振る舞い分析を活用したリアルタイムの脅威検知を導入し、異常や悪意ある活動を特定できるようにする必要があります。APIのやり取りを監視することで、AIモデルを危険にさらすような不審または不正なリクエストを検知できます。さらに、セキュリティチームは、AIモデルへの最小権限アクセスを徹底するといった予防的措置を講じることで、攻撃対象領域を減らし、データ漏洩やモデル改ざんのリスクを最小限に抑えることが可能です。
ベストプラクティス:
- 継続的な監視のためにクラウド検知および対応 (CDR)ソリューションを活用します。
- 異常検出を使用して、AI モデルに対する敵対的攻撃を識別します。
- ユーザーの役割と権限に基づいて AI API へのアクセスを制限します。
ステップ4: AIのリスクとコンプライアンスを管理する
世界各国の規制当局は、セキュリティ、プライバシー、倫理的課題に対処するためにAIガバナンスの枠組みを導入し始めています。組織は、自社のAIセキュリティプログラムをこれらのコンプライアンス基準と整合させなければなりません。
MITRE ATLASやOWASP AIガイドラインに基づくAIリスク管理フレームワークを採用することで、AIセキュリティに対して体系的なアプローチを確立できます。組織は、AIセキュリティリスクをリスク登録簿に記録し、緩和の優先順位を定めるべきです。EU AI法やNIST AIリスク管理フレームワークなどのAI規制に準拠することは、法的および業界標準を満たすために極めて重要です。
ベストプラクティス:
- 定期的に AI セキュリティ評価を実施して、ポリシーのギャップを特定します。
- AI モデルの決定を監査するためのツールを実装します。
- 機密性の高い AI トレーニング データを暗号化し、データ保護ポリシーを適用します。
ステップ5: AIの脅威についてセキュリティチームをトレーニングし教育する
AI セキュリティは急速に進化する分野であり、セキュリティ専門家は新たな脅威と防御戦略について常に情報を把握しておく必要があります。
セキュリティ チームと開発者向けの AI セキュリティ トレーニング プログラムを開発することで、担当者が AI 固有の脅威に十分対応できるようになります。AI 固有の脅威モデリングを実施し、脅威とベストプラクティスについてチームを教育することで、潜在的な攻撃ベクトルを予測できるようになります。AI セキュリティインシデント対応計画を確立することで、AI 関連の侵害に対処し、被害を最小限に抑えるための構造化されたアプローチが確保されます。
ベストプラクティス:
- 敵対的攻撃に対応するための AI セキュリティプレイブックを作成します。
- 業界フォーラムに参加して、AI セキュリティのトレンドを常に把握しましょう。
まとめ
AIワークロードの保護は一度限りの取り組みではなく、継続的なプロセスです。可視性の確保、パイプラインの保護、ランタイム環境の防御、リスク管理、チームの教育という5つのステップを実行することで、組織はリスクを軽減しつつイノベーションを可能にする、強固なAIセキュリティプログラムを構築できます。
AIの導入が進む中で、セキュリティリーダーはAIワークロードを保護し、AIに基づく意思決定への信頼を確保するために、積極的な対策を講じる必要があります。AIセキュリティの未来は、進化し続ける脅威をリアルタイムで予測し、対処する私たちの能力にかかっています。
AIワークロードセキュリティについてさらに詳しく知りたい方は、Sysdigがリアルタイム検知、リスク管理、コンプライアンスソリューションを通じてAI環境をどのように保護できるかをご覧ください。eBook(英語版)をダウンロードいただけます。