NTTデータは1月20日、企業におけるAIの安心・安全な活用を支援する「Responsible & Secure AI」サービスの本格展開を開始することを発表し、記者説明会を開催した。説明会ではAIのセキュリティを守る同サービスのほか、AIにおけるセキュリティリスクの変遷とNTTデータの取り組みの紹介が行われた。

  • 「Responsible & Secure AI」サービスの概要図

    「Responsible & Secure AI」サービスの概要

AI運用を支援する「Responsible & Secure AI」の特徴

今回提供を開始する「Responsible & Secure AI」サービスは、既存のAIガバナンスコンサルティングサービスに加え、AIの評価や保護に関する機能を強化したトータルソリューション。

具体的には、AIの安全性や信頼性を評価するための「AI Assuranceサービス」と、AIに対する攻撃やAI利用者を保護するための「AI Protectionサービス」を提供する。両サービスにより、より広範なAIリスクへの対応と運用上の安全性確保を支援する。

なお、規制に対するコンプライアンス確保や、ライフサイクル全体のAIリスク軽減を支援する「AIガバナンスコンサルティングサービス」は先んじて提供を開始している。

AIガバナンスコンサルティングサービスは、組織・人・ルール・プロジェクトに内在するAI活用リスクを体系的に評価し、顧客企業のAIガバナンスの課題を可視化する。加えて、抽出されたリスクへの対策実行や、必要なAIガバナンスの整備をサポートする。

  • 「Responsible & Secure AI」サービスの概要図

    AIガバナンスコンサルティングサービスの概要

AI Assuranceサービスはセキュリティ検証と監視を通じて、AIモデル単体や、AIモデルを含むシステムの信頼性や安全性を確保する。また、AIモデルの比較検討によるモデル選択のための評価、AIシステム全体の安全性評価や脆弱性診断、保護機能の比較評価によるソリューションの選定を支援する。

  • AI Assuranceサービス

    AI Assuranceサービス

AI Protectionサービスはセキュリティ対策と脅威の検出により、AIを実行するために必要なリソース、処理フロー、データを保護する。具体的には、AIサービスへのアクセス管理およびAIサービスへの入出力をリアルタイムで監視して制御するAIガードレールにより、AI利用者とAIシステム自身の保護や、AIが生成した偽情報による詐欺被害からの保護などを実現する。

  • AI Protectionサービス

    AI Protectionサービス

NTTデータでセキュリティ&ネットワーク事業部長を務める鴨田浩明氏は「これらの3サービスは、基本的には世の中の各種サービスを組み合わせて最適なものを当社が提供する。ただし、AI関連のサービスは無数に存在するので、グローバル全体で当社をクライアントゼロ、つまり実験台として実績のあるサービスとしてマネージドして提供していきたい」と語っていた。

  • NTTデータ ソリューション事業本部 セキュリティ&ネットワーク事業部長 鴨田浩明氏

    NTTデータ ソリューション事業本部 セキュリティ&ネットワーク事業部長 鴨田浩明氏

従来のセキュリティとは異なるAIセキュリティ

近年の生成AIの普及やAIエージェントの普及により、複雑なタスクをAIが自動で実行できるようになったため、AIガバナンスの在り方が変わってきている。

特に企業で生成AIを使用する際には、AI活用を推進する「アクセル」だけでなく、安全に活用する「ハンドル」の制御も必要だ。このハンドルには、AIガバナンスガイドラインの策定やAIリスク検知と対策の実行、AIガバナンス組織の整備、社員の育成などが該当する。

AI利用における具体的なリスクとしては、意図しない差別的な表現や、機密情報の漏えい、虚偽情報の出力など、多岐にわたる。そのため一言で「AIガバナンス」と言っても、可用性やセキュリティなどのシステム的な視点だけではなく、学習データの機械学習的な視点や、法制度やルールに適合した社会的な視点、公平性や差別を踏まえた倫理的な視点が求められる。

  • AIのリスクが多様化している

    AIのリスクが多様化している

また、企業がAIを活用する際のリスクは、大きく2つに分けられる。1つ目は誤情報を用いた業務遂行による品質の低下や、機密情報・個人情報の漏えいなど、従業員のAI利用におけるリスク。2つ目は誤情報による顧客への損害・訴訟、顧客データの不適切な利用によるプライバシー侵害など、顧客向けのAIサービスに関するリスクだ。

  • AI活用における2つのリスク

    AI活用における2つのリスク

AIの活用が進む中で、従来のセキュリティの考え方に対し、AIセキュリティは異なるものになりつつあるという。

従来のセキュリティの考え方は、境界型セキュリティやゼロトラストセキュリティを基本としており、守る対象はITシステムやシステムの境界だった。想定する脅威は外部にあり、不正侵入の防止や正常なシステムの動作を目指していた。

対して、AI時代のセキュリティでは、ハルシネーションやAIの意図しない挙動がシステム障害や情報漏えいと同等か、またはそれ以上のリスクとなっている。リスクはAIの出力だけでなく、入力・学習データ・プロンプト・モデルの挙動などにも潜んでいる。想定困難なAIの挙動を制御する必要がある。

  • AIセキュリティに関する考え方の変化

    AIセキュリティに関する考え方の変化

  • AIサービスも攻撃の対象となっている

    AIサービスも攻撃の対象となっている

鴨田氏は「従業員のAI利用におけるリスクと顧客向けAIサービスに関するリスクで、それぞれ対策が必要。まずはどうAIサービスを使うのか、運用面での統制をしなければいけない。その次に、AIそのものへの攻撃を防ぐ堅牢化のために、事前にモデルを検査したり、AIへのアクセス制御をしたりする。それだけでは不完全で、想定外の攻撃やAIの挙動をチェックするために、運用中も定期的に監視してほしい」と説明した。

NTTデータが実践するAIガバナンスの取り組み

NTTデータではAIガバナンスを担保するため、AIガバナンス室を設置してAI利用やAIプロジェクトのリスクチェックや社員教育を実施している。なお、同社はOpenAIと連携し全社的にChatGPTを活用している。また、開発や営業など個別の組織で必要なAIサービスも導入しているという。

AIガバナンスの運用だけではカバーできないリスクに対応するため、同社はAI活用を支えるAIガードレールを整備した。これは、AIの入力と出力データを自動でリアルタイムに監視する仕組みだ。問題がある入力・出力を検出した場合には停止措置を講じる。

鴨田氏は「AIガードレールは完成したわけではなく、誤検知や見落としもあるので手放しで運用するわけにはいかない。今はグローバルで専門家がノウハウを蓄積している段階」とコメントしていた。

  • NTTデータのAIガバナンスの取り組み

    NTTデータのAIガバナンスの取り組み