Suggested region and language based on your location

    Your current region and language

    夜道に立ち、スマートフォンを使う、拡張現実メガネをかけた女性
    • ブログ
      デジタルトラスト

    AIのダークサイドから身を守る

    組織を欺いたり、操ったり、組織に危害を加えたりする目的でAIがどのように悪用されるかを学んでください。

    人工知能(AI)はまだ新しい概念であり、刺激的ではありますが、他のテクノロジーと何ら変わりはありません。組織にAIを導入することを決めた場合は、潜在的なエクスポージャーリスクを認識しておく必要があります。

    私たちはAIの利点を認識していますが、 35%の企業がすでにAIを導入している今、何か問題が起きたときにどう備えるかに焦点を移さなければなりません。ここには、組織を欺いたり、操ったり、組織に危害を加えたりする目的でAIがどのように悪用されるかを学ぶことや、リスクの防御および軽減のためのツールも含まれます。

    不誠実な方法で使われるAI

    AIに付随する大きなリスクは、人が自分を偽ることができるようになることです。例えば、AIは履歴書(または職務経歴書)の見栄えを素晴らしくし、短時間で作成することを可能にします。競争が激化する就職市場において、卒業生たちはOpenAIやChatGPTのようなものを使って、履歴書だけでなくカバーレターも書いています。これにより、採用審査は少し有利に進むかもしれませんが、候補者が面接に進んだとき、書類に書かれている資格とデスクの向こうに座っている人物との間に不一致があることに企業は気づきます。

    同様に、金融機関はしばしば、オンラインフォームやAIを利用して融資やクレジットの可否を判断します。このようなプロセスの自動化は、企業が必ずしも本人と対面しないことを意味します。つまり、システムを悪用しようとする輩にとって絶好のターゲットです。

    伝統的なホエーリング攻撃(上級管理職をターゲットにしたスピアフィッシング攻撃の一種)にひねりを加える形で、最近、最高財務責任者(CFO)を名乗ってAIを使用し、ディープフェイク・リクエスト を行う詐欺師が報告されています。

    これらの事例は、企業が慎重を期し、強固な審査プロセスを導入し、利害関係者向けの研修を実施する必要性を浮き彫りにしています。

    非倫理的なビジネス慣行

    AIは、オンラインダイナミックプライシング戦略の改善を通じて、ビジネス上の優位性を最大化することができます。買い物客の94%は、オンラインショッピング中に商品の価格を比較します。アルゴリズムはそれらのユーザー行動を監視し、消費習慣に基づいてパーソナライズされた価格を提供します。しかし、企業は適切な価格を提示する代わりに、消費者の支出意欲を測定するアルゴリズムを悪用し、欺瞞的な価格戦略に手を染めたい誘惑に駆られるかもしれません。

    ここでいう操作は価格調整だけにとどまりません。企業は消費者の行動を予測し、影響を与えるために高度なアルゴリズムを採用し、個人の嗜好や脆弱性を利用することによって倫理的な境界を越える可能性があります。

    インサイダーリスクとサードパーティリスク

    インサイダーの脅威は、複雑性の層をもう一つ増やします。不満を抱く従業員がAIアルゴリズムへのアクセス権を持っている場合には、業務を妨害したり、機密データを漏洩させたりする可能性があります。従業員は、機密データを意図的に生成AIシステムに送り込むことにより、組織の機密をハッキングにさらし、重大なセキュリティリスクで企業や顧客を脅かすおそれがあります。2023年年初には、一人の従業員が業務に関わる目的でAIを使用したことにより、社内の機密情報が漏洩したことが判明したことから、ある世界的エレクトロニクス企業が全従業員のAI使用を禁止しました

    多くの企業は、最も重要なデータやサービスをサードパーティプロバイダーに委ねています。しかしながら、このパートナーシップはリスクをもたらします。なぜなら、サードパーティのバイアスとリスク許容度はそれぞれ異なり、自社の期待事項や基準と合致しない可能性があるためです。こうした不一致は、慌ただしい開発でセキュリティ対策が組み込まれていなかったり、他者に操作されやすくなったりといった脆弱性につながるおそれがあります。

    リスク防衛

    セキュリティの土台は、機密保持、完全性、可用性の3原則です。どのようなセキュリティコントロールも、その目的はこれらを守ることです。これらの原則を攻撃する能力が技術的に進歩した以上、守りもまた高度にならざるを得ません。企業は、次のような方法でリスクを軽減することができます。

    • 総合的な防衛戦略:企業がAIシステムを吟味し、監視するとともに、第三者関与の信頼性を評価し、不誠実なユーザーおよび間違ったアルゴリズムがもたらす脅威等、幅広い潜在的脅威に対応することが重要です。
    • 責任あるガバナンスと情報開示:サイバーセキュリティへの脅威、およびモラルリスクに対しては、バランスの取れたガバナンスが必要です。積極的な対策を講じなければ、風評被害が起きるだけでなく、業界全体の信頼を損なうことにもつながりかねません。
    • 責任あるAIの実践:開発者から企業に至るまで、人間中心の設計アプローチ、データのプライバシーおよびセキュリティ、透明性、ならびに説明責任といった責任あるAIの実践を、バリューチェーンの全段階において根付かせなければなりません。
    • 規制遵守:ISO/IEC 27001、または米国標準技術局(NIST)サイバーセキュリティ・フレームワーク等、AIとサイバーセキュリティに関わる規制および規格の変更に常に通じていなければなりません。法的リスクおよび規制リスクを回避するため、関連する規制を確実に遵守しなければなりません。

    AIが持つ変革力は否定できません。しかし、AIの責任ある運用には、集団的努力、および技術の進歩と倫理的責任の間のバランスが要求されます。企業と社会が内在するリスクから身を守りつつ、そのポテンシャルを最大限に活用する手段は、積極的かつ堅牢な防衛策と、AIの倫理的実践に対する業界全体のコミットメントしかありません。