解説
さらに詳しく解説
AIセキュリティ(AI Security)は、AIシステム自体の安全性確保と、AIを悪用した攻撃への防御を扱う総合的な分野です。「AIを守るセキュリティ」と「AIを使ったセキュリティ」の両方を含みます。
2つの側面
1. AIシステムを守る(Security FOR AI)
2. AIを使って守る(Security WITH AI)
AIシステム特有の脅威
| 脅威 | 内容 |
|---|---|
| プロンプトインジェクション | 悪意の指示でAIを誤動作させる |
| データポイズニング | 学習データに毒を混ぜる |
| モデル抽出 | API経由で内部知識を盗む |
| 敵対的サンプル | 入力に微小な摂動を加えて誤判定 |
| ジェイルブレイク | 安全装置の回避 |
| 機密漏洩 | 学習データに含まれる秘密情報の出力 |
主要な対策レイヤー
レイヤー1:入力検査
- プロンプトの危険語フィルタ
- サイズ制限
レイヤー2:モデル・推論
- [ガードレール](/glossary/guardrails)
- 出力検査・後処理
レイヤー3:周辺システム
- APIキー管理
- レート制限
- 監査ログ
レイヤー4:ガバナンス
- 利用ポリシー
- インシデント対応AIを使ったセキュリティ製品
| 領域 | 例 |
|---|---|
| EDR/XDR | 端末・ネットワークの異常検知 |
| メールセキュリティ | フィッシングメール検知 |
| SOC自動化 | アラート分析・対応提案 |
| 不正検知 | 金融取引の異常パターン |
| 認証 | 行動ベース異常検知 |
ビジネスインパクトの大きいリスク
- **生成AIへの機密入力**:社外サービスへの社外秘情報送信
- AIなりすまし詐欺:AIフィッシング、ディープフェイク
- モデル悪用:マルウェア生成、偽情報拡散
- 法令違反:個人情報・著作権の取り扱い
- 可用性:AI APIの障害が業務に直結
企業での整備項目
利用ポリシー
- 入力してよい/ダメな情報の線引き
- 利用可能なAIサービスの一覧
- 業務外利用の扱い
技術対策
- 法人向けAIサービス(学習に使われない契約)
- ログ監査・利用状況の可視化
- DLP(データ漏洩防止)の整備
教育・運用
- 社員向けセキュリティ研修
- インシデント発生時の連絡フロー
- 定期的なリスク評価
関連する規制・標準
- ISO/IEC 42001:AIマネジメントシステムの国際規格
- NIST AI RMF:米国のAIリスク管理フレームワーク
- EU AI Act:欧州のAI規制法
- 日本のAI推進法・AI事業者ガイドライン
AIセキュリティは「攻撃者もAIを使う時代」の必須要素であり、生成AIを業務利用するすべての組織で、ガバナンス・技術・運用の三方向から備える必要があります。
この用語が登場した記事(2件)
【物流・運送業向け】AI時代のサイバー攻撃から会社を守る!「倒産リスク」を回避する実践的セキュリティ・BCP対策
物流DXの裏で急増するサイバー攻撃。生成AIを悪用した高度な攻撃により、中小物流企業が倒産に追い込まれるケースが発生しています。IT専門家がいなくても、低コストで明日から実践できる具体的な防衛策とBCP策定のステップをわかりやすく解説します。
【テックトレンド】OpenAIが防衛特化AI「GPT-5.4-Cyber」を電撃発表!自律型セキュリティで中小企業の防衛力が劇的に変わる
OpenAIがサイバー防衛に特化した最新AI「GPT-5.4-Cyber」を発表しました。専門家不要でAIが自律的に企業を守る新時代へ。中小企業にとっての劇的なコスト削減と、大企業から求められる「デジタル選別」への対策をわかりやすく解説します。