【サイバーインテリジェンス】AIビジネスのリーダーが認識すべき「AIセキュリティ対策で重要な3つの視点」（岡山大学共同執筆）

2022-02-14

1．AIとセキュリティリスク

機械学習、深層学習など人工知能（AI）の社会実装が進んでいます。PwCが2020年12月に実施した調査では、日本企業の43%が何らかの形で業務にAIを導入していると回答しました^*1。多くのビジネスシーンでAI利活用の広がりが期待されていますが、米国ではAIによる誤認逮捕^*2が既に社会問題になっているなど、AI特有の新たな課題へと向き合う必要が生じています。

公正性（非差別）や悪用、誤用などの問題と並び、大きく懸念されるリスクにセキュリティリスクがあります。AIは、人間による敵対的な攻撃（サイバー攻撃）に対して脆弱です。このセキュリティリスクにより、AIの動作に悪影響がもたらされます。昨今ではAIを活用したサイバー防御への認識は徐々に高まってきており、EDRなどの実装が進んでいますが、AIへのサイバー攻撃は大きな被害につながるリスクであるにもかかわらず、その対策の必要性は十分に認識されていません。

例えば、道路標識を認識することで速度調節を行う自動運転車に対し、細工を施した停止標識を認識させるという実証実験を行ったところ、ブレーキが動作しなかったという結果があります。これは人の知覚による認識とAIによる認識の違いによるものであり、この違いを悪用し、AIが誤認識するよう意図的に生成したノイズを加える攻撃のことを「敵対的AI攻撃」と呼んでいます。こうした誤認識を防ぐ技術も同時に研究されていますが、正しいセキュリティ対策が自動運転車に施されていない場合、乗客の安全にかかわる深刻なリスクを抱えることになってしまいます。

2．AIのセキュリティリスクが顕在化する

幸い現在はこうしたAIへのサイバー攻撃は日常的に見聞きするものではありません。しかし、DXが進行する社会において、AIが扱う対象の経済的・社会的価値が増していくと、AIそのものがサイバー攻撃の標的になることが予想されます。

米国では国防高等研究計画局などがAIセキュリティの研究開発への予算を年々増やしています。また、中国も2021年8月4日に「機械学習アルゴリズムのセキュリティ評価に関する情報セキュリティ技術仕様書」のドラフトを公開しており、実践的な知識体系を確立する努力をしていることが分かります。

日本の場合は2021年9月に閣議決定された「サイバーセキュリティ戦略」において、中長期的な対応が必要な領域としてAIセキュリティを挙げています^*3。将来を見越した危機意識の高まりを伺うことができますが、現状の進捗としては他国に比べると一歩出遅れているともいえそうです。

AIの普及が進めば進むほど、敵対者にとってAIは魅力的なターゲットとなります。そして、敵対者の関心や試みを高める可能性のあるBlackHatやDEFCONのようなセキュリティカンファレンスでもAIセキュリティのセッションが増え続けています。ある日、敵対者のインフラが確立された時点で、セキュリティの甘いAIへの攻撃が一斉に行われることも十分考えられます。

3．AIへのサイバー攻撃は従来のITシステムへの攻撃とは異なる性質をもつ

AIと従来のITシステムにはそれぞれの弱点や、サイバー攻撃への対策方法において大きな違いがあります。従来型のITシステムは条件分岐や繰り返しなどの論理アルゴリズムで記述された処理を実行するものでした。一方で多くのAIは、データを学習することで訓練した確率モデルに基づき予測や分類といったタスクを実行します。AIを用いた検索エンジンの表示順を不正に操作する目的をもつ敵対者がいた場合、複数の偽サイトを巧妙に公開するような手口でサーチアルゴリズムの弱点を突かれてしまうことがあります。こうした攻撃に対応するためには、敵対的AI攻撃の特徴をよく理解する必要があります。

敵対的AI攻撃は、そのステージによって大きく分けて、トレーニング中の攻撃と本番運用中の攻撃の2つに分類することができます。それぞれのステージにおける、代表的な攻撃手法は次の通りです。

1. トレーニング中の攻撃

トレーニング中のステージでは、学習データへ不正データを混入させることでAIの性能劣化や誤分類などを誘発するデータポイゾニング（中毒）攻撃が主なリスクとなります。

また、巧妙に細工された不正データを学習させ、特定の入力データが狙い通りのクラスへ誤分類されるように仕組む攻撃をバックドアと呼びます。

例えば、顔認証型の入館システムに、侵入者の顔を施設管理者として認識するようなバックドアを仕掛けられてしまうと、施設内への不正な立ち入りを許してしまうおそれがあります。あらかじめバックドアを仕込んだ学習済モデルを配布し、二次利用したユーザーが作成した学習モデルにバックドアを継承させる手口も脅威であると指摘されています。

2. 本番運用中の攻撃

本番運用中の攻撃は、AIが稼働するシステム環境に直接関与する必要がなく、入力データの細工のみで実行できるため、対策する側にとってはより困難になります。

学習済のモデルに対して不正なデータを入力することで、モデルや学習データの情報を読み取ろうとする攻撃（推論）や、本来とは異なる結果を得ようとする攻撃（回避）などが代表的なリスクといえます。

例えば、顔の特徴点を覆い隠す特殊な眼鏡をかけることで、人物を認識する監視カメラシステムの顔識別器を欺き、人物として検出されることを回避できることが知られています。顔だけではなく、衣服などにシールとして貼り付けるバリエーションも存在します。

さらに、敵対的AI攻撃で生成した模様をフレームに印刷した眼鏡をかけることで、特定の人物としての識別を回避し、他の人物への誤認識を誘発する実験が成功したとの例もあります。推論攻撃でモデルの情報が盗まれてしまうと、こうした攻撃は実験の世界に閉じない脅威となってしまいます。

これらの攻撃は、学習、予測・分類といったAIに特徴的なタスクそのものへの攻撃といえます。主なAIセキュリティ対策としては、信頼性の高いデータの利用、アウトプットを必要最小限にする、不正データに耐性の強いモデルを訓練する（敵対的学習）などの方法が挙げられます。この点について、米国の国立標準技術研究所が、AIに特有の脅威と対策をまとめたレポートNISTIR 8269のドラフトを公開しています^*4。欧州でもENISAから同様のレポートが発行されています。^*5

また、いくつかのベンダーではAIの脆弱性スキャンを行うサービスや、AIへの不正なデータの入力を検知・防御するファイヤウォールなどの開発が進められており、ソリューション導入による防御という選択肢も今後の拡大が期待できます。

4．AIセキュリティ対策で重要な3つの視点

実際にAIを利用したサービスを提供する際は、AIモデルをITシステムに組み込んだAIシステムを構築することになります。複雑なAIシステムを脅威から守るためには、戦略的な視点が不可欠です。

AIビジネスに携わる日本企業が費用対効果の高い対策を実践するためには、3つの視点から検討することが重要です。

1. AIシステムのリスクアセスメントを実施する

AIシステムが実現するビジネスアプリケーションはさまざまであり、全てにおいて完全な対策を目指すことは非現実的です。AIシステムのリスク分析を行うことで、対策とコストのバランスを客観的に検証すべきです。

AIシステムが侵害される確率とその際に生じる被害の大きさを掛け合わせることで、リスクを評価することが可能です。AIシステムはその利用環境やアクセス経路によって外部からの脅威へ晒される度合いが異なります。また、AIモデルが担うタスクや扱うデータに応じて被害の種類・性質に違いがあり、これを考慮した影響評価を行うことがポイントになります。評価軸の設定にあたってはAI原則やガイドラインなどが参考になります。

例えば、自動運転車は実環境でオープンアクセスが可能なさまざまな脅威に晒されるAIシステムですが、敵対的AI攻撃によって人体や生命に危機が及ぶ可能性があるため、徹底したセキュリティ対策が求められます。一方で、社内利用のチャットボットなどのクローズドな環境で限定的タスクを実行するAIシステムは、攻撃者の動機に乏しく、攻撃を実行することも難しいため、最低限の対策で済ませるという判断が考えられます。

2. 攻撃シナリオ分析に基づき対策をデザインする

より具体的なセキュリティ対策を実装するためには、AIシステムの特性を理解して設計を行う必要があります。これまで見てきたように、AIモデルにはトレーニング中と本番運用中にそれぞれの脅威が存在し、AIモデルに固有の対策と従来のITシステム用の対策を組み合わせることが重要でした。

AIシステムへの詳細な攻撃シナリオは、米国の非営利団体が「ATLAS」（アトラス）という体系的ナレッジベースにまとめています^*6。AIシステムに対する偵察、攻撃手段の用意、モデル情報への不正アクセス（物理・デジタル）、攻撃（中毒・回避）の実行といったステージ別の手口と事例が整理されています。

攻撃シナリオを読み解き、対策をデザインする際には、攻撃者目線の考え方と技術を理解することができる、サイバーセキュリティの専門家が必要になります。AIセキュリティ対策の実装は、AIの専門家もしくはサイバーセキュリティの専門家がどちらか単独で行うことは不可能です。チームとしてAIセキュリティの能力を持たなければなりません。

3. AIサプライチェーンのセキュリティを保護する

最後に、AIシステムへの脅威を理解した企業との協力体制を構築することが重要となります。AIモデルの訓練には学習データや学習済モデル、AIフレームワークといった多くの外部リソースを活用するため、サプライチェーンリスク管理が大きな課題となります。できる限り多くのデータを学習させることがAIモデルの性能を高めるといった誤った考えに基づいて、出自の不確かなデータを収集してしまうことは、かえってセキュリティリスクを高めることになってしまうということです。

学習データなどの外部リソースのセキュリティを確保するためには、それぞれのリソースの提供元が信頼性を保証する必要があります。つまり、AIシステムへの脅威を理解した信頼できるパートナーとの協力体制を構築することが重要となります。PwCが実施した調査からは、データトラストリーディングカンパニーは、ベンダーがデータ処理、セキュリティ、プライバシーについて求められる基準を確実に遵守するよう、積極的に管理を行っているという傾向が見て取れます^*7。

AIシステムのセキュリティ対策は技術的視点に留まらず、事業への影響や企業間のパートナーシップを考慮した経営的視点の判断が重要になります。ある企業では一度提供を開始したAIシステムに問題が発生したため、AIへの一からの再学習を強いられ、事業継続に致命的な影響を受けてしまいました。こうした事態を防ぐことができるかは、事前にどれだけ対策ができていたかにかかっています。今のうちからAIシステムのセキュリティ対策を実践していくことで、手遅れになる前にサービスを救うことができるはずです。

※本稿におけるAIは「機械学習および深層学習（ディープラーニング）によって実装されたシステム」のことを指します。

*1 PwC, 2021, 「2021年AI予測（日本）」
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/2021-ai-predictions.html

*2 The New York Times, 2020, “Wrongfully Accused by an Algorithm”
https://www.nytimes.com/2020/06/24/technology/facial-recognition-arrest.html

*3 内閣サイバーセキュリティーセンター, 2021, 「サイバーセキュリティ戦略（閣議決定）」
https://www.nisc.go.jp/active/kihon/pdf/cs-senryaku2021.pdf

*4 NIST, 2019, “A Taxonomy and Terminology of Adversarial Machine Learning”
https://csrc.nist.gov/publications/detail/nistir/8269/draft

*5 ENISA, 2021, “Artificial Intelligence: How to make Machine Learning Cyber Secure?”
https://www.enisa.europa.eu/news/artificial-intelligence-how-to-make-machine-learning-cyber-secure

*6 MITRE, 2021, “ATLAS”
https://atlas.mitre.org/

*7 PwC, 2020, “データトラストリーディングカンパニーが示すデータ価値の創出・保護方法”
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/data-trust-pacesetters2010.html