PwCコンサル、ビジネスリスクを特定し改善を支援する「AIレッドチーム」提供開始

画像提供：マイナビニュース

PwCコンサルティングは9月19日、AIサービスのビジネスリスクを特定・改善する「AIレッドチーム」による新サービスを開始した。同日には記者説明会を開催し、PwCコンサルティング パートナーの林和洋氏と村上純一氏が新サービスについて解説した。

「AIレッドチーム」の概要

AIレッドチームは、同社のAIセキュリティに精通したエンジニアがクライアント企業のAIサービスに対して疑似攻撃を行うことで、その脆弱性や想定される脅威、生じ得るビジネスリスクを特定し、改善に向けて支援するというもの。

同サービスにより、企業はAIを利用したサービスを正式に始める前に、想定されるリスクを予見することができるとともに十分な対策を講じることで、インシデントを未然に防ぐことが可能となる。

レッドチームとは一般に、サイバー攻撃者の立場で実際に想定される攻撃を疑似的に行うことで、セキュリティ対策の有効性を確認する組織を指し、リスクベースのアプローチによるセキュリティ対策の手法の1つ。

2023年12月に公開された広島AIプロセスの成果文書「全てのAI関係者向けの広島プロセス国際指針」および「高度なAIシステムを開発する組織向けの広島プロセス国際行動規範」では、「AIライフサイクル全体にわたるリスクを特定、評価、軽減するために、高度なAIシステムの開発全体を通じて、その導入前及び市場投入前も含め、適切な措置を講じる」という原則が示されており、その行動を遵守する具体的な取り組みの1つとして、レッドチームが提唱されている。

今回発表されたサービスは、AIを利用したサービスに対してリスク起因者(サイバー攻撃者、犯罪者、愉快犯など)の観点から疑似攻撃を行うことで、脆弱性とそれに伴うビジネスリスクを特定し、その改善のためのアドバイスを提供するもの。企業が、自社のAIサービスの正式リリース前や運用中に同サービスを利用することで、実際にインシデントが発生する前にビジネスリスクを把握し、能動的に対策を講じることが可能となる。

同社は、AI脅威やAIのユースケースに関する知見を強みとしていことに加え、AIセキュリティに精通したエンジニアとコンサルタントが一体となって対応するチーム体制により、疑似攻撃の実施にとどまらず、現状把握、脅威分析から対策定義までを支援するとしている。
「AIレッドチーム」の特徴

同サービスの特徴としては、テスト対象となるAIを用いたサービスのビジネスケースを分析した上で、想定されるリスクおよびリスクシナリオを洗い出し、当該シナリオに沿ったテストを設計。これにより発見された課題がどのようなビジネスリスクに影響するかを特定できるという点が挙げられている。