PwCコンサルティング、AIサービスのビジネスリスクを特定・改善する「AIレッドチーム」によるサービスを開始

2024年9月19日
PwCコンサルティング合同会社


PwCコンサルティング、AIサービスのビジネスリスクを特定・改善する
「AIレッドチーム」によるサービスを開始
疑似的なサイバー攻撃で脆弱性を予見、インシデントを未然に防ぐ


PwCコンサルティング合同会社（東京都千代田区、代表執行役CEO： 安井 正樹、以下「PwCコンサルティング」）は本日から、当社のAIセキュリティに精通したエンジニアがクライアント企業のAIサービスに対して疑似攻撃を行うことで、その脆弱性や想定される脅威、生じ得るビジネスリスクを特定し、改善に向けて支援する「AIレッドチーム」によるサービス（以下、本サービス）を開始します。これにより、企業はAIを利用したサービスを正式に始める前に、想定されるリスクを予見することができるとともに十分な対策を講じることで、インシデントを未然に防ぐことが可能となります。


生成AIの普及に伴い、ビジネスにおけるAI活用の機運が高まっています。企業は、AIを利用した新たなサービスを開発したり提供したりする一方で、AI特有のリスクに直面しています。AIは従来のITサービスとは異なり確率的プロセスに基づいて動作するため、誤った情報の提示や不適切なコンテンツの生成など、想定外の結果を招く恐れがあります。また、そのリスク領域は「技術リスク」のみならず、「倫理リスク」、「法律リスク」と広範に及びます。
経済開発協力機構（OECD）が公開している「OECD AI Incidents Monitor」によると、2023年2月頃からAIサービスに関連するインシデントが急増しており、それまで1カ月あたり100件に満たなかったのが2024年2月には800件を超えたことが報告されています。こうした状況を受けて、国際的にAIの信頼に関する議論が活発に行われ、さまざまな規制やガイドラインなどの整備が進んでいます。
2023年12月に公開された広島AIプロセスの成果文書「全てのAI関係者向けの広島プロセス国際指針」および「高度なAIシステムを開発する組織向けの広島プロセス国際行動規範」では、「AI ライフサイクル全体にわたるリスクを特定、評価、軽減するために、高度な AI システムの開発全体を通じて、その導入前及び市場投入前も含め、適切な措置を講じる」という原則が示されており、その行動を遵守する具体的な取り組みの一つとして、レッドチームが提唱されています。
レッドチームとは一般に、サイバー攻撃者の立場で実際に想定される攻撃を疑似的に行うことで、セキュリティ対策の有効性を確認する組織を指し、リスクベースのアプローチによるセキュリティ対策の手法の一つとして注目されています。