NRIセキュアテクノロジーズ(以下、NRIセキュア)は、「AIセキュリティ統制支援サービス」のラインナップの一つとして、生成AIを活用したシステムを対象にセキュリティ監視を行う「AI Blue Team」の提供を開始した。
同社が2023年12月にリリースしたセキュリティ診断サービス「AI Red Team」で、システム固有の脆弱性を洗い出したうえで同サービスを利用することで、大規模言語モデル(LLM)を活用したシステムのセキュリティ対策を包括的かつ継続的に実施できるとしている。
NRIセキュアは、生成AI(LLM)を取り巻くリスクを的確に検知することに加え、新種の攻撃手法やシステムの運用開始後に検出された脆弱性に対処するため、関連情報をインテリジェンスとして継続的に蓄積し、監視業務に適用していくことを重視しているという。今回、LLMに関連するリスクから導入企業のシステムを保護する仕組みを独自に開発し、アプリケーションとして同サービスに組み込んだと述べている(特許出願中)。
同サービスの導入にあたっては、はじめにAI Red Teamによるセキュリティ診断を実施。AI Red Teamの診断結果をもとに、システム固有の問題に対するインテリジェンスを同サービスのアプリケーションに適用することで、一般的なAI防御ソリューションでは対処することが難しいリスクにも対策を施すことができるという。
同サービスの特徴は以下のとおり。
生成AI活用システムを継続的にモニタリングし、AIリスクを回避
監視対象となるシステムと生成AI間で行われる入出力の情報を同サービスで提供する「検知API」に連携し、有害な入出力を検知した場合、導入企業の担当者に通知。前述したLLMが抱えるセキュリティリスクのモニタリングと対応にとどまらず、NRIセキュアのアナリストが検知結果をもとに攻撃傾向を分析し、新種の攻撃手法などにも対応できるようにインテリジェンスを蓄積し、継続的に最新化するとしている。アナリストがモニタリングする監視用画面は、導入企業の担当者もアクセスできるため、検知状況を直接確認することも可能だという。
AI Red Teamで検出したシステム固有の脆弱性を防御し保護レベルを強化
生成AIを活用したシステムの開発現場では、どのようなケースでAIを活用しているかなどのAIへの依存方式や権限委譲レベルに応じて、システム固有の脆弱性が作り込まれてしまうことがあるという。このような脆弱性は、汎用的な防御ソリューションでは対処できず、個別の対策が求められるとしている。
同サービスでは、AI Red Teamのセキュリティ診断で検出されたシステム固有の脆弱性にも対応できるよう、汎用的なインテリジェンスとは別に導入企業専用のインテリジェンスを蓄積。これにより、固有の脆弱性を攻撃から防御しつつ、システム全体の保護レベルを強化することが期待できると述べている。
【関連記事】
・NRIセキュア、サードパーティのサイバーセキュリティリスクを評価するデューデリジェンスを提供開始
・NRIセキュア、SBOM導入支援サービス開始 ソフトウェアサプライチェーンのセキュリティ向上へ
・日本企業の生成AI導入率は約2割──NRIセキュアが情報セキュリティ実態調査を発表
