CISA と NCSC が AI セキュリティ基準向上の取り組みを主導

英国の国家サイバーセキュリティ庁 (NCSC) と米国のサイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、AI アプリケーションのセキュリティを保護するための公式ガイダンスを発行しました。この文書は、AI の開発に安全性が内在していることを各政府機関が保証することを期待している文書です。

英国の諜報機関は次のように述べています。 ガイダンス文書 この種のものとしては初めてであり、他の 17 か国によって承認されています。

運転 出版物 AI システムのプロバイダーが AI 開発のペースに追いつくために努力する中で、セキュリティが後回しになるのではないかという長年の懸念です。

NCSCの最高経営責任者（CEO）リンディ・キャメロン氏は今年初め、ハイテク業界には技術開発のペースが速いときにセキュリティを二の次の考慮事項としてきた歴史があると語った。

本日、安全な AI システム開発のためのガイドラインがこの問題に再び注目を集め、AI も常に新たな脆弱性にさらされる可能性があると付け加えました。

キャメロン首相は「AIが驚異的なスピードで発展しており、これに追いつくためには政府や業界を超えた国際的な協調行動が必要であることは承知している」と述べた。

「これらのガイドラインは、セキュリティが開発の後付けではなく、開発全体の中核となる要件であることを保証するために、AI に関するサイバー リスクと緩和戦略について真にグローバルな共通理解を形成する上で重要な一歩となります。 

「NCSC が AI サイバー セキュリティの基準を引き上げるための重要な取り組みを主導していることを誇りに思います。より安全なグローバル サイバー スペースは、私たち全員が安全かつ自信を持ってこのテクノロジーの素晴らしい機会を実現するのに役立ちます。」

ガイドラインでは、 設計による安全性 理想的には、AI 開発者が開発プロセスのすべての段階でサイバー的に最も安全な意思決定を行えるように支援します。 これらは、ゼロから構築されたアプリケーションと、既存のリソース上に構築されたアプリケーションに適用されます。

このガイダンスを支持する国の完全なリストと、それぞれのサイバーセキュリティ機関は以下のとおりです。

• オーストラリア – オーストラリア信号総局のオーストラリア サイバー セキュリティ センター (ACSC) 
• カナダ – カナダサイバーセキュリティセンター (CCCS) 
• チリ – チリ政府 CSIRT
• チェコ – チェコ国家サイバー情報セキュリティ庁 (NUKIB)
• エストニア – エストニア情報システム庁 (RIA) およびエストニア国家サイバーセキュリティセンター (NCSC-EE)
• フランス – フランスサイバーセキュリティ庁 (ANSSI)
• ドイツ – ドイツ連邦情報セキュリティ局 (BSI)
• イスラエル – イスラエル国家サイバー総局 (INCD)
• イタリア – イタリア国家サイバーセキュリティ庁 (ACN)
• 日本 – 日本のサイバーセキュリティインシデント対応戦略センター (NISC、内閣府科学技術イノベーション政策局)
• ニュージーランド – ニュージーランド国立サイバーセキュリティセンター
• ナイジェリア – ナイジェリア国立情報技術開発庁 (NITDA)
• ノルウェー – ノルウェー国立サイバーセキュリティセンター (NCSC-NO)
• ポーランド – ポーランドの NASK 国立研究所 (NASK)
• 大韓民国 – 大韓民国国家情報院 (NIS)
• シンガポール – シンガポールサイバーセキュリティ庁 (CSA)
• グレートブリテンおよび北アイルランド連合王国 – 国家サイバーセキュリティセンター (NCSC)
• アメリカ合衆国 - サイバーセキュリティ・インフラストラクチャー庁 (CISA)。 国家安全保障局 (NSA; 連邦捜査局 (FBI))

このガイドラインは XNUMX つの主要な重点分野に分類されており、それぞれに AI 開発サイクルのあらゆる段階を改善するための具体的な提案が含まれています。

1.安心設計

タイトルが示すように、このガイドラインでは、開発を開始する前からセキュリティを考慮する必要があると述べられています。 最初のステップは、AI セキュリティ リスクとその軽減策についてスタッフの意識を高めることです。 

次に、開発者は、テクノロジーがより多くのユーザーを引き付けるにつれて発生するセキュリティ上の脅威の増加や、自動攻撃などの将来のテクノロジー開発を考慮するなど、将来の脅威も考慮して、システムに対する脅威をモデル化する必要があります。

セキュリティに関する決定も、機能に関するあらゆる決定とともに行う必要があります。 設計段階で開発者が AI コンポーネントが特定のアクションをトリガーすることを認識している場合は、このプロセスを保護する最善の方法について質問する必要があります。 たとえば、AI がファイルを変更する場合は、この機能をアプリケーションの特定のニーズの範囲内にのみ制限するために、必要な保護手段を追加する必要があります。

2. 安全な開発

開発段階の安全確保には、サプライチェーンのセキュリティ、堅牢な文書の維持、資産の保護、技術的負債の管理に関するガイダンスが含まれます。

サプライチェーンのセキュリティは、過去数年間、防御側にとって特に焦点となっており、注目を集める攻撃が相次ぎ、 膨大な数の犠牲者. 

AI 開発者が使用するベンダーが検証され、高いセキュリティ基準に従って動作していることを確認することは、ミッションクリティカルなシステムに問題が発生した場合の計画を立てることと同様に重要です。

3. 安全な導入

安全な導入には、API、モデル、データのアクセス制御など、AI システムのサポートに使用されるインフラストラクチャの保護が含まれます。 セキュリティインシデントが顕在化した場合、開発者は問題がいつか表面化することを想定した対応計画と修復計画を立てておく必要もあります。

モデルの機能とモデルがトレーニングされたデータは継続的に攻撃から保護される必要があり、徹底的なセキュリティ評価を受けた場合にのみ、責任を持って解放される必要があります。 

また、AI システムは、ユーザーがデフォルトで安全であることを簡単にできるようにする必要があり、可能な場合には、最も安全なオプションまたは構成をすべてのユーザーのデフォルトにする必要があります。 ユーザーのデータがどのように使用、保存、アクセスされるかに関する透明性も重要です。

4. 安全な運用・保守

最後のセクションでは、AI システムを展開した後にセキュリティを確保する方法について説明します。 

セキュリティに影響を与える可能性のある変更を追跡するシステムの動作であっても、システムへの入力内容であっても、監視がその中心にあります。 プライバシーとデータ保護の要件を満たすには、監視とデータ保護が必要になります。 ロギング 悪用の兆候の入力。 

また、更新はデフォルトで自動的に発行されるため、古いバージョンや脆弱なバージョンが使用されないようにする必要があります。 最後に、情報共有コミュニティに積極的に参加することで、業界が AI セキュリティの脅威について理解を深め、防御側が緩和策を考案するための時間を増やすことができ、潜在的な悪意のあるエクスプロイトを制限できる可能性があります。 ®

• SEO を活用したコンテンツと PR 配信。 今日増幅されます。
• PlatoData.Network 垂直生成 Ai。 自分自身に力を与えましょう。 こちらからアクセスしてください。
• プラトアイストリーム。 Web3 インテリジェンス。 知識増幅。 こちらからアクセスしてください。
• プラトンESG。 カーボン、 クリーンテック、 エネルギー、 環境、 太陽、 廃棄物管理。 こちらからアクセスしてください。
• プラトンヘルス。 バイオテクノロジーと臨床試験のインテリジェンス。 こちらからアクセスしてください。
• 情報源： https://go.theregister.com/feed/www.theregister.com/2023/11/27/uks_global_guidance_leads_international/