米国 GAO 人工知能:国土安全保障省は重要インフラ部門のリスク評価ガイダンスを改善する必要がある (2024.12.18)
こんにちは、丸山満彦です。
2024年の宿題シリーズはまだまだ続く...(^^;;
米国のGAOが国土安全保障省に、重要インフラを所管する省庁のリスク評価ガイダンスを改善する必要があると勧告していますね...2024年1月までに拡充用インフラ分野に対する初期リスク評価を提出する必要があったのだが、その内容が不十分(例えば、帆潜在的なリスク、特にリスクの発生可能性を特定していない。)であったようですね...
● U.S. Government Accountability Office
・2024.12.18 Artificial Intelligence:DHS Needs to Improve Risk Assessment Guidance for Critical Infrastructure Sectors
Artificial Intelligence:DHS Needs to Improve Risk Assessment Guidance for Critical Infrastructure Sectors | 人工知能:国土安全保障省は重要インフラセクターのリスクアセスメント指針を改善する必要がある |
GAO-25-107435 | GAO-25-107435 |
Fast Facts | ファスト・ファクト |
Artificial intelligence is complex and evolving. It could be used to improve the systems that operate critical infrastructure, like water and energy. But it could also make them more vulnerable to cyberattacks. | 人工知能は複雑かつ進化している。水やエネルギーなどの重要インフラを運用するシステムの改善に利用できる可能性がある。しかし、サイバー攻撃に対する脆弱性を高める可能性もある。 |
Federal agencies that protect critical infrastructure had to assess AI risks to infrastructure sectors. But the Department of Homeland Security's guidance for assessments didn't have agencies fully measure how much harm an attack could cause or the probability of attacks. This information would help agencies address risks and foster responsible AI use. | 重要なインフラを防御する連邦機関は、インフラ部門におけるAIのリスクを評価しなければならなかった。しかし、国土安全保障省のアセスメントに関する指針では、攻撃がどれほどの被害をもたらす可能性があるか、また攻撃の確率を完全に測定することはできなかった。この情報は、機関がリスクに対処し、責任あるAIの利用を促進するのに役立つ。 |
We recommended that DHS quickly update its guidance to address this. | 私たちは、国土安全保障省がこの問題に対処するために、指針を迅速に更新することを勧告した。 |
Highlights | ハイライト |
What GAO Found | GAOの調査結果 |
Federal agencies with a lead role in protecting the nation's critical infrastructure sectors are referred to as sector risk management agencies. These agencies, in coordination with the Department of Homeland Security's (DHS) Cybersecurity and Infrastructure Security Agency (CISA), were required to develop and submit initial risk assessments for each of the critical infrastructure sectors to DHS by January 2024. Although the agencies submitted the sector risk assessments to DHS as required, none fully addressed the six activities that establish a foundation for effective risk assessment and mitigation of potential artificial intelligence (AI) risks. For example, while all assessments identified AI use cases, such as monitoring and enhancing digital and physical surveillance, most did not fully identify potential risks, including the likelihood of a risk occurring. None of the assessments fully evaluated the level of risk in that they did not include a measurement that reflected both the magnitude of harm (level of impact) and the probability of an event occurring (likelihood of occurrence). Further, no agencies fully mapped mitigation strategies to risks because the level of risk was not evaluated. | 米国の重要なインフラセクターの防御を主導する連邦機関は、セクターリスクマネジメント機関と呼ばれる。これらの機関は、国土安全保障省(DHS)のサイバーセキュリティ・インフラセキュリティ庁(CISA)と連携し、2024年1月までに、各重要なインフラセクターの初期リスクアセスメントをDHSに提出することが求められていた。各機関は、要求通りにセクターごとのリスクアセスメントをDHSに提出したが、効果的なリスクアセスメントと潜在的な人工知能(AI)リスクの緩和の基盤となる6つの活動すべてを網羅したものはなかった。例えば、すべてのアセスメントでAIのユースケース(デジタルおよび物理的な監視のモニタリングや強化など)が識別されていたが、ほとんどのアセスメントでは、リスク発生の可能性も含めた潜在的なリスクを完全に識別できていなかった。また、いずれのアセスメントも、被害の規模(影響レベル)と事象発生の確率(発生可能性)の両方を反映する測定値を含んでいないため、リスクのレベルを完全に評価できていない。さらに、リスクのレベルが評価されていないため、緩和戦略をリスクに完全にマッピングしている機関もない。 |
Extent to Which the Sector Risk Management Agencies (SRMA) Have Addressed Six Activities in Their Sector Risk Assessments of Artificial Intelligence (AI) | セクターリスクマネジメント機関(SRMA)が人工知能(AI)のセクターリスクアセスメントにおける6つの活動にどの程度取り組んでいるか |
![]() |
|
Lead agencies provided several reasons for their mixed progress, including being provided only 90 days to complete their initial assessments. A key contributing factor was that DHS's initial guidance to agencies on preparing the risk assessments did not fully address all the above activities. | 主導機関は、進捗状況がまちまちである理由として、初期アセスメントの完了までに90日間しか与えられていなかったことなど、いくつかの理由を挙げた。主な要因は、DHSがリスクアセスメントの準備に関して機関に最初に示した指針が、上記のすべての活動を十分に網羅していなかったことである。 |
DHS and CISA have made various improvements, including issuing new guidance and a revised risk assessment template in August 2024. The template addresses some—but not all—of the gaps that GAO found. Specifically, the new template does not fully address the activities for identifying potential risks including the likelihood of a risk occurring. CISA officials stated that the agency plans to further update its guidance in November 2024 to address the remaining gaps. Doing so expeditiously would enable lead agencies to use the updated guidance for their required January 2025 AI risk assessments. | DHSとCISAは、2024年8月に新たな指針と改訂版リスクアセスメントテンプレートを発行するなど、さまざまな改善を行ってきた。このテンプレートは、GAOが発見したギャップの一部(すべてではない)に対処している。具体的には、新しいテンプレートでは、リスク発生の可能性を含む潜在的なリスクの識別活動が十分にカバーされていない。CISA当局者は、残されたギャップに対処するために、2024年11月にガイダンスをさらに更新する計画であると述べた。迅速に更新すれば、主導機関は2025年1月に義務付けられているAIリスクアセスメントに更新されたガイダンスを使用できるようになる。 |
Why GAO Did This Study | GAOがこの調査を実施した理由 |
AI has the potential to introduce improvements and rapidly change many areas. However, deploying AI may make critical infrastructure systems that support the nation's essential functions, such as supplying water, generating electricity, and producing food, more vulnerable. In October 2023, the President issued Executive Order 14110 for the responsible development and use of AI. The order requires lead federal agencies to evaluate and, beginning in 2024, annually report to DHS on AI risks to critical infrastructure sectors. | AIは、多くの分野に改善をもたらし、急速に変化させる可能性がある。しかし、AIの展開は、水の供給、発電、食糧生産など、国家の重要な機能を支える重要なインフラシステムをより脆弱にする可能性がある。2023年10月、大統領はAIの責任ある開発と利用を目的とした大統領令14110を発令した。この大統領令は、主導的な連邦機関がAIの重要なインフラセクターへのリスクを評価し、2024年から毎年DHSに報告することを求めている。 |
GAO's report examines the extent to which lead agencies have evaluated potential risks related to the use of AI in critical infrastructure sectors and developed mitigation strategies to address the identified risks. To do so, GAO analyzed federal policies and guidance to identify activities and key factors for developing AI risk assessments. GAO analyzed lead agencies' 16 sector and one subsector risk assessments against these activities and key factors. GAO also interviewed officials to obtain information about the risk assessment process and plans for future templates and guidance. | GAOの報告書は、主導機関が重要インフラ部門におけるAIの利用に関連する潜在的なリスクをどの程度評価し、特定されたリスクに対処するための緩和戦略をどの程度策定したかを検証している。そのために、GAOは連邦政府の政策と指針を分析し、AIリスクアセスメント策定のための活動と主要な要因を識別した。GAOは、これらの活動と主要な要因に照らして、主導機関の16部門と1つのサブセクターのリスクアセスメントを分析した。GAOはまた、関係者へのインタビューを行い、リスクアセスメントのプロセスや今後のテンプレートやガイダンスに関する計画に関する情報を入手した。 |
Recommendations | 勧告 |
GAO is recommending that DHS act quickly to update its guidance and template for AI risk assessments to address the remaining gaps identified in this report. DHS agreed with our recommendation and stated it plans to provide agencies with additional guidance that addresses gaps in the report including identifying potential risks and evaluating the level of risk. | GAOは、本報告書で特定された残りのギャップに対処するために、AIリスクアセスメントのガイダンスとテンプレートを更新するよう、DHSが迅速に行動することを勧告している。DHSは、我々の勧告に同意し、潜在的なリスクの識別やリスクレベルの評価など、報告書で特定されたギャップに対処する追加のガイダンスを各機関に提供する計画であると述べた。 |
Recommendations for Executive Action | 行政措置に関する勧告 |
Agency Affected | 影響を受ける機関 |
Department of Homeland Security | 国土安全保障省 |
Recommendation | 勧告 |
The Secretary of Homeland Security should expeditiously update its guidance and template for AI risk assessments to address the gaps identified in this report, including activities such as identifying potential risks and evaluating the level of risk, and ensure that the updates are shared with all the SRMAs. | 国土安全保障長官は、潜在的なリスクの識別やリスクレベルの評価などの活動を含め、本報告書で特定されたギャップに対処するために、AIリスクアセスメントの指針とテンプレートを速やかに更新すべきである。また、その更新内容をすべてのSRMAと共有することを確実にすべきである。 |
全文
・[HTML]
目次...
Highlights | ハイライト |
Why GAO Did This Study | GAOがこの研究を行った理由 |
What GAO Recommends | GAOの提言 |
What GAO Found | GAOの調査結果 |
Letter | 書簡 |
Background | 背景 |
SRMAs' Initial AI Risk Assessments Did Not Incorporate All Aspects of Risk Identification and Mitigation | SRMAの初期AIリスクアセスメントでは、リスクの特定と緩和のすべての側面が組み込まれていなかった |
Conclusions | 結論 |
Recommendation for Executive Action | 行政措置に関する提言 |
Agency Comments | 政府機関のコメント |
Appendix I: Beneficial Uses for AI in Critical Infrastructure | 附属書I:重要インフラにおけるAIの有益な利用 |
Appendix II: Comments from the Department of Homeland Security | 附属書II:国土安全保障省からのコメント |
Appendix III: Comments from the Department of Defense | 附属書III:国防総省からのコメント |
Appendix IV: GAO Contacts and Staff Acknowledgments | 附属書 IV:GAO 連絡先およびスタッフ謝辞 |
GAO Contacts | GAO 連絡先 |
Staff Acknowledgments | スタッフ謝辞 |
・[PDF]
ハイライト
・[PDF]
Comments