ガイドラインだけでは安心できない──生成AI時代のセキュリティリスクに対抗できる“仕組み”とは？

ガイドラインだけでは不十分、AIリスクは“仕組み”で潰せ

　リスクは外部からの攻撃だけではない。内部から意図せず情報が流出するリスクも存在する。社員が生成AIに議事録を要約させたり、顧客情報を含むExcelデータを加工させたりすると、そのデータが生成AIの外部環境に送信される可能性があるのだ。たとえ「データをAIモデルの学習には使わない」と設定されていたとしても、短期的にそれらのデータが保持されるリスクは避けられない。

　「生成AIサービス側の不具合で、ユーザーの情報が学習に使われてしまう可能性もあります。すると、そのサービスが他社ユーザーへ出力する回答に、自社の機密情報が含まれてしまう危険性があるのです。これは特に、金融やヘルスケアなどといった厳格なコンプライアンス要件を持つ業種にとっては、致命的なリスクとなります」（高木氏）

　チャットボット型の生成AIサービスにも落とし穴がある。大半のLLMは、インターネット上に公開されているデータを学習してモデルが構築されているため、非公開の内部情報に関する知識は持っていない。そのため、社員からの問い合わせに答える社内チャットボットを生成AIで実現する際には、RAG（Retrieval-Augmented Generation）などの仕組みを使って、別途データベースから該当する内部情報を検索して回答を生成する必要がある。

　この仕組みに攻撃者が目を付けることがあり、被害に遭えば、内部情報を不正に引き出されてしまう可能性があるという。知らぬ間に、誤情報や機密漏えいを含む回答を、生成AIが外部に向けて発信してしまっているかもしれない。

　とはいえ、生成AIの回答内容を一つひとつ人間が監視するのは現実的ではない。そこでA10ネットワークスが新たに開発したのが、「A10 Defend AI Firewall」というソリューションだ。生成AIに対する入出力を自動的に検査することで、安全性を担保する仕組みを備えている。2025年6月のInteropで発表され、「Best of Show Award」のセキュリティ（for AI）部門で審査員特別賞を受賞した。

　本ソリューションは、ユーザーによる入力の内容を検査する「インプットガードレール」と、AIからの出力内容を検査する「アウトプットガードレール」の二層構造から成る。この仕組みを通じて、プロンプトインジェクションやシステムプロンプト漏えい、機密情報の暴露などといったリスクを排除するという。また、ユーザーとAIとの間のすべてのやり取りはログとして残され、コンプライアンス遵守や説明責任を果たすための情報として提供されるとのことだ。

　「たとえ生成AI利用のガイドラインを作成しても、社員ごとに解釈が異なるケースも多く、その実効性には不安が付きまといます。しかし、A10 Defend AI Firewallのような“仕組み”を導入して、ポリシーを画一的に適用することで、組織全体の安全性を確実に担保できるようになります」（高木氏）

　なお、同ソリューションの導入形態としては、インターネットへの出口にフォワードプロキシとして設置して全社的に利用状況を管理する方式と、チャットボットなどのアプリケーションにリバースプロキシ的に組み込んでAPI通信を監視する方式の2つがある。前者はシャドーAIの防止などを含む従業員利用の一元的な監視に適しており、後者はサービス提供事業者が顧客向けに利用する場面に適用できるという。