AI時代でも変わらないセキュリティの本質｜AIシステムに潜むリスクと設計段階での対策｜MBSD×NRIセキュア対談｜ブログ

169_7_Blogtop (850 x 478 px)

今や毎日のように生成AIという言葉を目にするようになったが、同時に、AIならではのセキュリティ事故も報じられ始めている。AIのポテンシャルを生かしつつ、リスクに備えるにはどういったポイントに留意する必要があり、どのような対策を講じていけばいいのだろうか。

10年ほど前からAIとセキュリティというテーマに関心を抱き、常に最新動向を追いかけつつ、日本企業からのさまざまな相談に答えてきた三井物産セキュアディレクションの高江洲勲とNRIセキュアテクノロジーズの柿本健司という二人の凄腕エンジニアが、未来に向けた指針を語った。

高江洲勲
三井物産セキュアディレクションプロダクト＆ソリューション事業部
システムインテグレーターで開発業務を経験した後、セキュリティの社会的重要性の高まりを考えセキュリティ専業の企業に転職。MBSDに入社し、Webアプリケーションの脆弱性診断業務を担当していた最中に精度の高い画像識別AIが登場したことがきっかけで機械学習とセキュリティというテーマに取り組み始める。その後、機械学習やLLM、AIに対する攻撃とその防御方法やAIを用いたセキュリティ業務の効率化・高度化といった切り口での研究開発に携わっている。
柿本健司
NRIセキュアテクノロジーズ研究開発センターサービス開発推進部セキュリティコンサルタント
情報工学を専攻した後、セキュリティ関連業務に興味を抱いてNRIセキュアテクノロジーズに入社。Web・メールアクセスの監視・運用業務に携わる中、社内で開催されていた「生成AI勉強会」をきっかけに、LLMや生成AIの仕組みとそれらへの攻撃手法に強い関心を抱くようになった。問題意識をさらに深めるため現在の部署に異動し、「AI Red Team」をはじめとするAI関連の新規セキュリティサービスの開発に携わっている。

攻撃側と防御側の非対称性をさらに拡大させるAIの存在

Q：AIがこれほど注目されるようになったターニングポイントは何だと見ていますか？

柿本：

2012年に、ImageNet の大規模画像認識コンテスト（ILSVRC 2012）でディープラーニングを応用した畳み込みニューラルネットワーク（Convolutional Neural Network：CNN）という手法を採用した畳み込みニューラルネットワーク（Convolutional Neural Network：CNN）を用いた手法が従来の機械学習の従来手法を圧倒的に引き離す精度を示しました。これが私の中で一番最初に印象に残った、技術的なブレークスルーです。その後、皆さんもご存じのChatGPTが登場し、質問に自然言語で回答したり、プログラムを作成してくれたりするようになり、「これはすごいものが出てきた」とあらためて感じるようになりました。

Q：そんなAI技術ですが、セキュリティ面ではどのようなリスクが存在するのでしょうか。

柿本：

生成AIが登場し、企業でも採用が広がるにつれ、会社の中でどのように使うべきかという議論が浮上してきました。

問題の1つは、生成AIを介した情報漏洩です。

たとえば2023年春、韓国サムスンでソースコードや会議メモが外部AIに入力される事案が報道されました。さらに、会話の“共有リンク”の設計・設定、あるいはバグ等が原因で、意図せず第三者から閲覧可能（検索に露出する場合もある）になった事例も報告されています。これらは依然として注意し続けなければいけない事柄でしょう。

高江洲：

クラウドサービス登場時から、安易に翻訳などのサービスに機微情報を入力すると情報漏洩のリスクがあることは指摘されていました。生成AI時代になってもその点は基本的に変わらないと思います。

生成AIサービスの場合はさらに、設定次第ですが、ユーザーが入力したデータを学習されてしまうリスクがあるという別の問題もあります。一度学習されてしまうと裏側のエンジンに取り込まれ、ピンポイントで消すことはほぼできません。結果として、第三者のプロンプトを介して、学習されてしまった機微情報が漏洩するリスクがあります。

これは、うっかりクラウド系サービスへ機微情報を入力してしまう従来の問題と、少し毛色が異なるように思いますし、誰が入力したデータが学習されたのかを特定するのは非常に困難です。同様のリスクは各所で指摘されています。

こうした事象を防ぐためのユーザー教育やルール作りといった部分はまだ十分に整備されていない状況だと感じています。

柿本：生成AIにはセーフガード機構が組み込まれていますが、国際的なカンファレンスでは、どのようにすればそれをかいくぐり、AIをだませるかといったコンセプトが紹介されていたりします。その気になってインターネット上を探せば、生成AIに組み込まれているセーフガードをジェイルブレイクする手法についての情報が入手できる状態です。

Q：一方で、サイバー攻撃を仕掛ける側が生成AIを活用する事例も指摘されています。

高江洲：

そうですね。たとえばフィッシングメールの文面作成のように、これまで人間が手作業や簡単なツールで行っていた作業がさらに高度化しています。昔の日本語のフィッシングメールにはどこかおかしいところがありましたが、おそらく生成AIを使うことにより、文面の自然さがかなり高まっています。

また、簡単なプロンプトでコードを生成できるようになり、サイバー攻撃のためのコード作成に要する技術的なハードルもだいぶ下がっていると思います。以前、国内で未成年による不正アクセス事件が発生しましたが、この攻撃コードも生成AIを用いて作成したと報道されていました。この例のように、さほど技術を持たない人でも気軽にサイバー攻撃ができるようになったのは、大きな脅威だと思います。

元々、技術を悪用する側は法律や規制を無視してやってくる一方、防御する側はそれらを遵守しながらシステムを守らなければならないという非対称性がありました。AI技術の進展でその不利がさらに大きくなっているかもしれません。

2_01 写真左から NRIセキュアテクノロジーズ研究開発センターサービス開発推進部セキュリティコンサルタント柿本健司
三井物産セキュアディレクションプロダクト＆ソリューション事業部高江洲勲氏

従来対策と同様、リスクベースで、早期からセキュリティを考慮することが重要に

Q：作ることが優先され、セキュリティが後回しになったのはWebセキュリティの世界で起きたことと同じですね。

高江洲：

Webの場合に比べると、まだ、初期からセキュリティの必要性が叫ばれてはいます。しかしそれでも技術先行でセキュリティが追いついていないと感じています。

OWASPをはじめとするガイドラインが出され、関係者が努力してはいるものの、AI関連技術はそれを置き去りにするほど早く進化しています。また、ガイドラインの考え方は理解しても、具体的にどう実践していくかとなると、現状では「これさえ入れれば安全だ」というような回答が存在しません。また、何が脅威なのかを理解するのも困難な状況といえるでしょう。

柿本：

生成AIやエージェント周りの脆弱性を調査する機会が増えていますが、「またこの問題か、このパターンは前にも見たぞ」という報告が非常に多いと感じています。

Q：具体的にはどのような問題でしょうか？

柿本：

1つは間接プロンプトインジェクションです。生成AIは、RAG（Retrieval-Augmented Generation：検索拡張生成）と呼ばれる仕組みを用いることで外部の情報を参考情報として回答を生成できますが、その外部の情報の中に悪意ある命令が仕込まれていると、元々のLLMへの命令が上書きされて意図せぬ動きをしてしまう、という攻撃です。

また、アプリケーションの作りによってはLLMの応答に含まれるマークダウンをそのままレンダリングしてしまうようなケースもあります。特定の画像を表示させるリクエストをマークダウン形式で出力させ、URLのパラメータに何らかの機微情報を埋め込むことで外部に流出させる、という脆弱性もあり、非常によく見かけます。

Q：こうした問題は何らかの手法で検知できないのでしょうか？

柿本：

マークダウンの部分だけであれば、Webの脆弱性に近い性質もあるため、外部の画像を特定のドメインからしか取得できないように制限をかけたり、レンダリングを防いだりといった手法によって防ぎやすい部分があります。

ただやはり、LLMやAIの利便性を享受したいという勢いが非常に強いため、Webでよくある脆弱性を元にデータ流出につながる脆弱性が作り込まれるケースがよくあるように思います。

2_02

Q：では、どのように対策していけばいいのでしょう。

高江洲：

「何かこれ1つをやっておけば守れます」というソリューションは現時点では存在せず、従来のセキュリティ対策の上に、AIならではのリスクに備えた多層防御を通して攻撃の成功率を下げていくかがポイントになります。LLMに入ってくる悪意あるものをいかに検知・ブロックするか、やられてしまった場合でも何か危ない情報が出る前にいかに検知するか、そして、LLM自体をいかに強くするかーーつまり、入口と出口とLLM本体という3つの観点でとらえていくことが重要だと思います。

柿本：

一番最初に確認すべきは、その生成AIが機微情報を扱うかどうかの判断です。次に、エンドユーザー向けに公開するサービスかどうかです。それらによって、どのレベルまでセキュリティ対策を実施しなければならないかが決まってきます。

こうした確認を通して生成AIの用途が明確になってきたら、OWASPの「OWASP Top 10 for LLM」や経済産業省の「AI事業者ガイドライン」などと照らし合わせながら、どんな対策を抑えていくべきかを話し合っていきます。

こうしてみると、どういった脅威があるかを特定し、そこから守るためにどのようなデザインが求められるかを検討する基本的な流れは、AIだからといって何か特別なところがあるわけではなく、これまでのシステム構築とそれほど変わらないと思います。

高江洲：

おっしゃるとおりですね。何のために生成AIを使うのかを明確にした上で、その際守らなければいけない情報が何かを洗い出す、つまりデザインを明確にした上で、リスクベースで進めていくやり方はこれまでのセキュリティと変わりません。それが明確になれば、どのようなシステムと連携するのか、どんなユーザーがそのシステムを使うのかを検討し、それらが安全かどうかを確認していくことができます。

もう一つ付け加えるならば、生成AIが出す回答はあくまでも確率に基づいて出すものであり、必ずしも事実ではない点に注意が必要です。ついつい見逃されがちですが、そうした生成AIの特質もきちんと啓発し、利用者側を教育することも重要でしょう。必要に応じてガイドラインを作成することになるかもしれません。社内横断的なチームを作って進めるのでもいいですし、不安があれば知見を持ったベンダーに協力を依頼するなど、いろいろな選択肢があると思います。

その上で、構築したシステムについても、従来のシステムと同じようにリリース前、あるいは直後にセキュリティテストをしっかり実施することも1つの手だと思います。

AIの将来も見据え、セキュリティベンダーが果たせる役割とは

柿本：

MBSDさんもそうした支援をされていると思いますが、NRIセキュアでも2023年12月に、生成AIを利用したシステムを対象としたセキュリティ診断サービスとして「AI Red Team」をリリースしています。

AI Red Teamがチェックする観点は大きく2つあります。1つは、セキュリティの観点です。プロンプトインジェクションのように、AIから連携しているシステムに対して危険なコマンド実行や情報流出が行われないかなどが主な確認観点です。また、本来外部に出すべきではない機微情報などをAIモデルに学習させていないかどうかという観点もあります。

もう1つは生成AIによる応答の品質です。有害な情報を返してしまう恐れはもちろん、場合によっては公平性が担保されていない、たとえば偏見にまみれた回答をしてしまう可能性があります。直接的な被害は生じないかもしれませんが、「この企業のチャットは変な応答をしてくる」とレピュテーションリスクにつながる恐れがあるため、セキュリティ以外のこうした側面もよく確認しています。

セキュリティベンダーというと前者のセキュリティ部分の評価を重視していると思われがちですが、お客様のユースケースによって後者のようなセキュリティ以外の面も含め、AIを取り巻くリスク全般に対しサポートをさせていただいております。

Q：AI Blue Teamとはどのようなサービスになりますか？

柿本：

AI Blue Teamは、AIを活用したシステムに対してモニタリングを行い、入出力を監視するサービスです。これは、高江洲さんがおっしゃっていた「入口」、「出口」の部分に当たるといえるでしょう。正規表現によるマッチングだけでなく、我々が独自に作成した生成AIに特化した攻撃データベースと付き合わせ、類似するものがあれば危険であると判断したり、LLMそのもので判定を行うなど、複数のツールを組み合わせ、多層防御的にAIをモニタリングし、生成AIシステムへの攻撃がないか、変なものが出力されていないかを見ています。

生成 AI を用いたシステムと一口に言っても、利用用途はお客様によって様々です。そのため、各システムによってどういった攻撃に備えるべきか、も異なってきます。ですので、最新の攻撃に対応できるようシグネチャを集めて脅威インテリジェンスを構築しつつ、お客様ごとに検知機能をカスタマイズする機能もあります。AI Red Teamと組み合わせ、検出した脆弱性を防御することで、よりよい対策が実現できると考えています。

Q：この先、生成AIとセキュリティのあり方はどのように変化していくでしょうか。

高江洲：

今、急速にエージェントが普及しています。

ChatGPTが登場した当初は、人間がプロンプトを入力し、回答をもらって何かをするという比較的単純なモデルでした。しかし、エージェントとLLMが合体し、LLMを思考基盤にしたエージェントが実際の行動を取るようになり、2024年末ごろからエージェントを使ったサービスが増えてきました。2025年に入ってからは、複数のエージェントを協調させ、より複雑なタスクを自律的に実行するマルチエージェントが登場しています。

これまでは、1つのLLMが侵害されても影響するのは1人のユーザー、1つのアプリケーション程度でした。しかしエージェントはさまざまなコンポーネントにつながってくるため、侵害された場合の被害が非常に拡大してくることが懸念されます。その意味で、Security for AIの重要性は今後いっそう増してくるのではないかと思います。

2_03

Q：脅威モデリングなどの手法は、解決の一助になるでしょうか？

柿本：そうですね、設計などなるべく前の段階でリスクを見ていくことが重要であり、AIエージェントの設計においても、システムを作っていく前の段階で脅威モデリングを実施するのは効果的ではないかと思います。

高江洲：

LLMをベースにしたエージェントが社会に普及していくと、この先のWebは、人間が操作してきた従来のWebとは異なり、エージェントが自律的にいろいろなWebやシステムと連携して情報を収集し、処理を実行し、結果だけを人間に返すようなエージェントベースの「エージェンティックWeb」になっていくでしょう。SFっぽい世界ですが、すでに「AIブラウザ」が登場し始めていることから、Web全体がエージェントを前提した世界になる可能性があるのではないでしょうか。

これが実現されれば業務がさらに高度化・効率化する一方で、システムが複雑化しすぎて、どこにどのような脅威があるのかがわかりにくくなります。そして、エージェント自体にも、意図しない動きをしてしまうリスクがあります。そんな中でエージェント一個一個の動きをどう見える化し、監査し、セキュリティを担保していくのかが、セキュリティベンダーに求められていくと考えています。

ベースのLLM、その上に乗って動作するエージェント、エージェント同士がつながって形成されるマルチエージェントシステムーーそれらに対し、脅威モデリングやAIレッドチーミングによってセキュリティを担保するといった役割を果たしていきたいと考えています。

2_04