PwCコンサルティング合同会社は、AIセキュリティに精通したエンジニアがクライアント企業のAIサービスに対して疑似攻撃を行い、その脆弱性や想定される脅威、生じ得るビジネスリスクを特定し、改善に向けて支援する「AIレッドチーム」によるサービスを2024年9月19日より開始する。
レッドチームとは一般に、サイバー攻撃者の立場で実際に想定される攻撃を疑似的に行うことで、セキュリティ対策の有効性を確認する組織を指し、リスクベースのアプローチによるセキュリティ対策の手法の一つだ。
今回PwCコンサルティングが提供する「AIレッドチーム」によるサービスは、AIを利用したサービスに対してリスク起因者(サイバー攻撃者、犯罪者、愉快犯など)の観点から疑似攻撃を行うことで、脆弱性とそれに伴うビジネスリスクを特定し、その改善のためのアドバイスを提供する。
具体的には、テスト対象となるAIを用いたサービスのビジネスケースを分析したうえで、想定されるリスクおよびリスクシナリオを洗い出し、当該シナリオに沿ったテストを設計する。これにより発見された課題が、どのようなビジネスリスクに影響するかを特定する。
また、AIセキュリティエンジニアが、サイバーセキュリティ分野の研究機関や団体が公開するフレームワークやレポートなどのベストプラクティス(業界標準)や、日々発見・報告される新たな攻撃手法のリサーチ結果に基づいて、最新の脅威を模したテストを実施する。
そして、検出された課題に対して、各種ベストプラクティスとの紐づけを行い、AIモデル構築や精度評価といったデータサイエンスに長けた専門チームと連携し、改善に向けたアドバイスを提供する。
アドバイスは、入出力のフィルタといった実装レベルのものに加え、MLOps(Machine Learning Operations)の改善・高度化や、AIガバナンスの整備・改善といったサービス設計・運用のアドバイスも提供する。
これにより、AIを利用したサービスを開発または提供する事業者は、AIを利用したサービスを正式に始める前に、想定されるリスクを予見することができるとともに、十分な対策を講じることができるのだという。
無料メルマガ会員に登録しませんか?
IoTに関する様々な情報を取材し、皆様にお届けいたします。