フランス ANSSI サイバーリスクに基づくアプローチによるAIへの信頼構築 (2025.02.07)
こんにちは、丸山満彦です。
パリでのAIアクションサミットに先立って、国家情報システムセキュリティ庁 (Agence nationale de la sécurité des systèmes d'information; ANSSI) がAIシステムに対する情報セキュリティ対策についてのガイダンス、「サイバーリスクに基づくアプローチによるAIへの信頼構築」を公表していましたね...
● Agence nationale de la sécurité des systèmes d'information; ANSSI
・2025.02.07 Développer la confiance dans l’IA par une approche par les risques cyber.
| Développer la confiance dans l’IA par une approche par les risques cyber. | サイバーリスクに基づくアプローチによるAIへの信頼構築 |
| Sur la base d’une analyse des risques cyber réalisée sur les systèmes d’intelligence artificielle, ce document met en évidence les risques cyber auxquels sont exposés les systèmes d’IA et les principales recommandations stratégiques afin de favoriser une meilleure prise en compte de la cybersécurité dans le développement et l’intégration de ces systèmes. | 本書は、人工知能システムで実施されたサイバーリスク分析に基づき、AIシステムがさらされているサイバーリスクと、これらのシステムの開発と統合においてサイバーセキュリティへの一層の配慮を促すための主な戦略的提言を明らかにしている。 |
| Cette publication menée sous l’égide de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) résulte de travaux collaboratifs avec des experts institutionnels français du domaine (CNIL, INRIA, LNE, PEReN, AMIAD) et a été cosignée dans sa version anglaise par les partenaires internationaux. | フランス国家情報システム安全保障庁(ANSSI)の庇護のもとに作成された本書は、この分野のフランス政府機関の専門家(CNIL、INRIA、LNE、PEReN、AMIAD)との共同作業の成果であり、英語版では国際的なパートナーの共同署名を得ている。 |
| Les agences internationales et autorités gouvernementales cosignataires du présent document soutiennent une approche par les risques afin de favoriser l’usage des systèmes d’IA de confiance et de rendre plus sûre leur chaine de valeur. Ils appellent à poursuivre les discussions au-delà du Sommet IA, en ayant une approche équilibrée prenant en considération les opportunités, les risques de l’IA et l’évolution de la menace cyber dans le cadre de l’adoption de cette technologie. | この文書に共同署名している国際機関や政府当局は、信頼できるAIシステムの利用を促進し、そのバリューチェーンをより安全なものにするためのリスクベースのアプローチを支持している。彼らは、AIサミットを超えて、AIの機会、リスク、そしてこの技術の採用における進化するサイバー脅威を考慮したバランスの取れたアプローチで、さらなる議論を行うことを求めている。 |
| En constant développement depuis les années 1950, l’intelligence artificielle (IA) est une technologie susceptible d’influencer tous les secteurs, de la défense à l’énergie, en passant par la santé et la finance, etc. L’adoption rapide de l’IA et la dépendance accrue à ces technologies, notamment l’usage des modèles de langue (LLM), devraient encourager les parties prenantes à évaluer les risques connexes, dont ceux liés à la cybersécurité. | 1950年代から絶えず発展している人工知能(AI)は、防衛からエネルギー、ヘルスケア、金融など、あらゆる分野に影響を与える可能性を秘めた技術である。AIの急速な普及と、言語モデル(LLM)の利用を含むこれらの技術への依存の高まりは、関係者にサイバーセキュリティに関するものを含む関連リスクの評価を促すはずである。 |
| Sans mesures adéquates, et compte tenu du fait que les utilisateurs tendent toujours à sous-estimer l’importance des risques cyber, des acteurs malveillants pourraient exploiter les vulnérabilités des technologies d’IA et à l’avenir compromettre leur usage. Il est donc impératif de comprendre et limiter ces risques, afin de promouvoir le développement de l’IA de confiance et d’en saisir pleinement les opportunités | 適切な対策を講じなければ、また、利用者がいまだにサイバーリスクの重要性を過小評価する傾向にあることを考慮すれば、悪意のある行為者がAI技術の脆弱性を悪用し、将来的にその利用を危険にさらす可能性がある。したがって、信頼できるAIの開発を促進し、その機会を最大限に活用するためには、これらのリスクを理解し、制限することが不可欠である。 |
| Ce document met l’accent sur la cybersécurité des systèmes d’IA et constitue une analyse haut niveau des risques cyber. Il présente des premiers éléments pour permettre à chaque organisation d’apprécier les risques cyber liés aux systèmes IA et d’identifier les mesures de sécurité à mettre en œuvre pour les maitriser, en s’appuyant sur les précédentes recommandations du NCSC-UK et de la CISA relatives à la sécurisation du développement des systèmes d’IA, publié en novembre 2023. | 本書は、AIシステムのサイバーセキュリティに焦点を当て、サイバーリスクのハイレベルな分析を提供する。2023年11月に発表されたAIシステムの安全な開発に関するNCSC-UKとCISAの勧告に基づき、各組織がAIシステムに関連するサイバーリスクを評価し、それらを制御するために実施すべきセキュリティ対策を特定できるようにするための初期要素を提示している。 |
| Cette analyse des risques vise les systèmes intégrant des composants d'IA, et non la sécurité individuelle des composants d'IA. Elle propose une synthèse globale des risques pesant sur ces systèmes plutôt qu’une liste exhaustive de leurs vulnérabilités. | このリスク分析は、AIコンポーネントを統合したシステムを対象としており、AIコンポーネントの個々のセキュリティを対象としていない。脆弱性の網羅的なリストではなく、これらのシステムに対するリスクの全体的な要約を提供している。 |
・[PDF]
英語...
・2025.02.07 Building trust in AI through a cyber risk-based approach
| Building trust in AI through a cyber risk-based approach | サイバーリスクに基づくアプローチによるAIへの信頼構築 |
| The international agencies and government authorities behind this document advocate for a risk-based approach to support trusted AI systems and for secure AI value chains, and call for the discussion to continue beyond the AI Summit, to equally address opportunities, risks and evolving cyber threat in the context of AI adoption. | この文書の作成に携わった国際機関および政府当局は、信頼できるAIシステムと安全なAIバリューチェーンをサポートするためのリスクに基づくアプローチを提唱し、AIサミット後も議論を継続し、AIの導入に伴う機会、リスク、進化するサイバー脅威に平等に対処するよう呼びかけている。 |
| AI, a transformative technology under development since the 1950s, now impacts almost every sector from defence to energy, health to finance and many others. Its rapid adoption, including the use of large language models (LLM) and increasing reliance on AI, should encourage stakeholders to assess related risks, including the ones associated to cybersecurity. | 1950年代から開発が進められてきた変革技術であるAIは、現在では防衛からエネルギー、医療から金融など、ほぼすべての分野に影響を与えている。 大規模言語モデル(LLM)の使用やAIへの依存度の高まりなど、AIの急速な普及に伴い、利害関係者はサイバーセキュリティに関連するリスクも含め、関連するリスクをアセスメントすることが求められる。 |
| Without adequate measures – and given that users still tend to underestimate AI-related cyber risks – malicious actors could exploit vulnerabilities of AI systems and jeopardize the use of AI technology in the future. It is therefore crucial to understand and mitigate these risks, to foster trusted AI development and fully embrace the opportunities that this technology offers. | 適切な対策が講じられなければ、また、ユーザーがAI関連のサイバーリスクを依然として過小評価する傾向にあることを踏まえると、悪意のある行為者がAIシステムの脆弱性を悪用し、将来的にAI技術の利用を危険にさらす可能性がある。したがって、これらのリスクを理解し緩和することが重要であり、信頼性の高いAI開発を促進し、この技術が提供する機会を十分に活用することが不可欠である。 |
| While the matter of AI-enhanced solutions, whether defensive or offensive, is already well addressed both in academic papers and in various frameworks currently being developed, this document focuses on the cybersecurity of AI systems. It aims to provide a high-level synthetic and comprehensive analysis of related cyber risks and to offer guidance to assess threats and implement adequate security measures building on the Guidelines for Secure AI Systems Development, developed in collaboration with over 20 international organizations and jointly released on November 2023. | AIを強化したソリューションの問題は、防御策であれ攻撃策であれ、すでに学術論文や現在開発中のさまざまな枠組みで十分に議論されているが、本書ではAIシステムのサイバーセキュリティに焦点を当てる。本書は、関連するサイバーリスクに関するハイレベルな統合的かつ包括的な分析を提供し、20以上の国際機関と共同で作成され、2023年11月に共同発表された「安全なAIシステム開発のためのガイドライン」を基に、脅威のアセスメントと適切なセキュリティ対策の実施に関する指針を提供することを目的としている。 |
| This risk analysis aims to consider not only the vulnerabilities of individual AI components, but also the security of broader AI systems integrating these components. Its purpose is to provide a wide overview of AI-related cyber risks rather than an exhaustive list of vulnerabilities. | このリスク分析は、個々のAIコンポーネントの脆弱性だけでなく、それらを統合したより広範なAIシステムのセキュリティについても考慮することを目的としている。その目的は、AI関連のサイバーリスクの包括的な概要を提供することであり、脆弱性の網羅的なリストを作成することではない。 |
・[PDF]
「セキュアな AI システム開発のためのガイドライン」関連...
● まるちゃんの情報セキュリティ気まぐれ日記
・2023.11.28 米国 CISA 英国 NCSC 安全なAIシステム開発のための共同ガイドライン
● 内閣官房サイバーセキュリティセンター (NISC)
報道発表
・2023.11.28 [PDF] セキュア AI システム開発ガイドラインについて
仮訳
・2023.11.28 [PDF] セキュアな AI システム開発のためのガイドライン
Comments