「AIに自社データを学習させない」は本当に守られている？“SaaSに隠れたAI”を炙り出す4つの観点

国内外のガイドラインも適用：SaaSセキュリティ評価の勘所

　隠れAIリスクへの対応策として、定期的なセキュリティ評価の実施を実現すべくアシュアードが提供しているのが、クラウドサービスのセキュリティ信用評価「Assuredクラウド評価」だ。取引元企業からの依頼に基づき、SaaS/ASPなどのクラウドサービスの安全性を可視化するプラットフォームを通して、クラウドサービス事業者を対象にセキュリティ調査を実施し、評価レポートを作成・納品する仕組みとなる。植木氏はこれを「帝国データバンクのセキュリティ版といったイメージだ」と例える。

　Assuredクラウド評価にて提供される評価レポートは、100点満点の総合スコア、128項目におよぶリスク評価、専門メンバーによるサマリコメントの3要素で構成される。評価項目には「NIST SP 800-53」「ISO27001」「ISO27017」などの国際的なフレームワークをはじめ、総務省のクラウドセキュリティに関する各種ガイドライン、金融庁の「金融機関等コンピュータシステムの安全対策基準・解説書」、AI事業者ガイドラインなどといった国内のトレンドも反映されている。調査から評価まで専任のセキュリティチームが対応し、回答に矛盾や虚偽の疑いがある場合は差し戻しを行うことで、品質を担保する体制が整っている。

　植木氏は、アシュアードが最終的に目指す姿として「業界全体の最適化」を掲げる。現状は各社が利用サービスのセキュリティ評価を行うために独自のチェックリストを作成し、クラウドサービス事業者や業務委託先に個別に送付するという「個別最適」の評価が主となっている。「Assuredをプラットフォームとして、こうした評価業務を一元化することで、回答側の負荷を下げると同時に、利用企業側も統一的なリスク評価基準でサービスを評価できるようになる」とし、最後に次のように述べた。

　「AI活用が加速する中、AIに起因するリスクは複数顕在化しており、多くの企業にとって身近な問題になりつつあります。まずは自社がAIに対してどのような立場・役回りにいるのかを理解し、リスクと対策を考えるべきです。そしてそこでは、定期的な評価がカギを握るでしょう」（植木氏）