NRIセキュアテクノロジーズ(以下、NRIセキュア)は、AIエージェントシステムを構築する企業向けに、設計段階で潜在脅威を洗い出し、対策案を提示するサービス「AI Yellow Team」を提供開始した。
同サービスは、AIエージェントシステムを設計する段階において、NRIセキュアの専門家が次の4つのステップに沿って、システム開発・運用段階で発生する可能性のある脅威を洗い出して分析し、セキュリティ対策の妥当性を評価し適切な対策を提案するもの。
- ヒアリング:設計書をもとに、システムアーキテクチャ、仕様をNRIセキュアの専門家がヒアリング
- 可視化:外部システムとの結合を含めた、各機能における脅威分析用のアーキテクチャとデータフロー図を作成
- 脅威分析:作成したアーキテクチャとデータフロー図を元に、システムに対する潜在的な脅威を洗い出します。脅威の埋め込みから発動までのシナリオを検討し、想定されるリスクを分析
- セキュリティ対策の提示:洗い出された脅威に対する具体的な対策を「セキュリティ要件一覧」として提示
同サービスの主な特徴は次のとおり。
- AIエージェントを組み込んだシステムに対する新たな脅威に対応:「OWASP Top10 for LLM」や「Agentic AI – Threats and Mitigations」といった国際的なガイドラインをもとに、最新動向やNRIセキュアのAIセキュリティに関する知見も融合して、最新の攻撃シナリオにも対応するという
- 開発者が潜在脅威を把握し、優先度の高いセキュリティ対策の検討が容易に:成果物には潜在的な脅威が一覧化されており、脅威ごとにリスクがどこで発生し、どのように顕在化するかまでの経過や、具体的な対策としてのセキュリティ要件がまとめられているという。そのため、開発者が潜在的な脅威を十分に把握したうえで、開発段階から優先して実行すべきセキュリティ対策を検討できるとしている。また成果物は、経営層などにリスク評価の結果や対策方針を説明し社内理解を得る際にも役立つとのことだ
【関連記事】
・トヨタグループのジェイテクト、「AIエージェント構想」を発表 専門部署への社内留学でAI人材育成へ
・SUBARU、「次世代アイサイト」のAI開発環境に「HPE Cray XD670」サーバーを導入
・翔泳社、AI情報専門メディア「AIdiver」を9月にローンチ 野口竜司氏を特命副編集長に迎える
この記事は参考になりましたか?
- 関連リンク
- この記事の著者
-
EnterpriseZine編集部(エンタープライズジン ヘンシュウブ)
「EnterpriseZine」(エンタープライズジン)は、翔泳社が運営する企業のIT活用とビジネス成長を支援するITリーダー向け専門メディアです。データテクノロジー/情報セキュリティの最新動向を中心に、企業ITに関する多様な情報をお届けしています。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
この記事は参考になりましたか?
この記事をシェア
