PwC、「AIレッドチーム」を組織し、AIサービスのビジネスリスクの特定・改善サービスを開始
2024年9月19日、PwCコンサルティング合同会社(以下、PwCコンサルティング)は、顧客企業が提供するAIサービスに対し、同社の技術者が疑似攻撃を行うことで、当該サービスのビジネスリスクの特定および改善を支援する「AIレッドチーム」によるサービスをスタートした。
■背景
生成AIの普及に伴い、ビジネスにおけるAI活用の機運が高まっているが、確率的プロセスに基づいて動作するAIは、誤った情報の提示や不適切なコンテンツの生成などのリスクを孕んでいる。実際、AIサービスに関連するインシデントは2023年2月より急増傾向にあり、1か月あたり100件に満たなかったものが2024年2月には800件を超えたことがOECDにより報告されている。
そこで、国際的にAIに関する規制やガイドラインなどの整備が進められている。2023年12月に公開された広島AIプロセスの成果文書では、「AI ライフサイクル全体にわたるリスクを特定、評価、軽減するために、高度な AI システムの開発全体を通じて、その導入前及び市場投入前も含め、適切な措置を講じる」という原則が示されており、そのための具体的な取り組みの一つに、「レッドチーム(※)」を組織することが提唱されている。
※実際に想定される攻撃をサイバー攻撃者の立場で疑似的に行うことで、セキュリティ対策の有効性を確認する組織
■サービス概要
PwCコンサルティングの得意領域である、AI脅威やAIの活用例に関する豊富なノウハウを活かし、AIを利用したサービスに対して疑似攻撃を行うことで、その脆弱性とビジネスリスクを特定・改善するサービス。AIセキュリティに精通した技術者およびコンサルタントが一体で対応するチームを組織することで、対策定義までの一貫したサービスを提供している。
■特長とアプローチ
①AIの不正利用に伴うビジネスリスクの特定
AIサービスのビジネスケースを分析したうえ、想定されるリスクの洗い出しとそのシナリオに沿ったテスト設計の実施
②独自リサーチおよびAIセキュリティに精通したエンジニアによるテストの実施
最新の脅威を模したテストの実施
③サービス設計、実装、運用にわたる改善のアドバイスの提供
テストにより検出されたAIサービスの脆弱性・リスクの報告、及び、それに対する対策の定義
