AI使用に関する国際ガイダンス

こんにちは、丸山満彦です。

AIシステムの「使用」に関するガイダンスとして、オーストラリア、米国、英国、カナダ、ニュージランドとともに作成した「AI使用に関する国際ガイダンス (Engaging with Artificial Intelligence（AI）) について、11カ国が署名をしたようですね。。。

オーストラリア

● Australia signals Derectorate; ASD

・2024.01.24 Engaging with Artificial Intelligence (AI)

・[PDF] 

 

参加団体

米国	・サイバーセキュリティ・インフラストラクチャー安全保障庁（CISA）』 ・米国連邦捜査局（FBI） ・国家安全保障局（NSA）
英国	・国家サイバーセキュリティセンター (NCSC-UK)
カナダ	・サイバーセキュリティセンター (CCCS)
豪州	・通信電子局（ASD） ・豪州サイバーセキュリティセンター（ACSC）
ニュージーランド	・国家サイバーセキュリティセンター (NCSC-NZ)
ドイツ	・連邦情報セキュリティ庁 (BSI）
イスラエル	・国家サイバー総局 (INCD）
日本	・内閣サイバーセキュリティセンター (NISC）　 ・日本内閣府科学技術・イノベーション推進事務局
ノルウェー	・国家サイバーセキュリティセンター (NCSC-NO）
シンガポール	・サイバーセキュリティ庁 (CSA）
スウェーデン	・国家サイバーセキュリティセンター

 

日本

● 内閣府

・2024.01.24 AI使用に関する国際ガイダンスへの共同署名について

内容について、次のように説明していますね。。。

---

（１）本文：AIシステムに対する脅威を6つ列挙の上、これに対する12の緩和策を注意喚起するもの。

　（ア）導入
この文書はAIシステムを安全に「使用」するガイダンスを提供。なお、安全なAIシステムの「開発」については、（英米が主導した）文書”Guidelines for Secure AI System Development”を参照願いたい。

　（イ）AIとは
機械学習、自然言語プロセス、生成AIを説明し、AIが意図的又は過失で被害をもたらすリスクがあり、リスク管理の必要性を強調。

　（ウ）AIに関する課題
脅威として、①データポイズニング、②インプット改ざん攻撃（プロンプトインジェクション・敵対的サンプル）、③生成AIハルシネーション、④プライバシー・知的財産に関する懸念、⑤モデル窃取攻撃・学習データ漏えい、⑥匿名化データの再特定を列挙。

　（エ）緩和策
AIシステムに関し、それぞれ、①サイバーセキュリティ枠組みの実施、②プライバシー・データ保護義務への影響評価、③多要素認証の実装、④特権アクセスの管理、⑤バックアップ、⑥試行、⑦サプライチェーンを含むセキュアバイデザイン確保、⑧限界や制限の理解、⑨関係スタッフの能力・資格、⑩検査・ヘルスチェック、⑪ログ監視、⑫インシデント対応を列挙。

（２）参考文献：各国のサイバーセキュリティ枠組み、AIセキュリティに関する文書を列挙。(例えば、広島AIプロセス包括的政策枠組みや、米国NISTのCybersecurity Framework, AI Risk Management Framework等。)

---

 

6つの脅威

①データポイズニング、
②インプット改ざん攻撃（プロンプトインジェクション・敵対的サンプル）、
③生成AIハルシネーション、
④プライバシー・知的財産に関する懸念、
⑤モデル窃取攻撃・学習データ漏えい、
⑥匿名化データの再特定

 

12の緩和策

①サイバーセキュリティ枠組みの実施、
②プライバシー・データ保護義務への影響評価、
③多要素認証の実装、
④特権アクセスの管理、
⑤バックアップ、
⑥試行、
⑦サプライチェーンを含むセキュアバイデザイン確保、
⑧限界や制限の理解、
⑨関係スタッフの能力・資格、
⑩検査・ヘルスチェック、
⑪ログ監視、
⑫インシデント対応

 

仮訳

・[PDF]

 

---

 

 

セキュア開発についてのガイドは

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2023.11.28 米国 CISA 英国 NCSC 安全なAIシステム開発のための共同ガイドライン

 

を参考に...