アメリカの人工知能(AI)企業アンソロピックの新型モデル『クロードミトス』がサイバー攻撃に悪用される懸念が高まる中、日本政府は企業や公共機関の情報システムのセキュリティ点検にAIを活用する方針を進めている。
ミトスはソフトウェアの脆弱性を見つける能力が従来のモデルを圧倒する高性能AIである。企業や政府のセキュリティ点検には有用だが、ハッカーの手に渡ると、まだ知られていないセキュリティホールである『ゼロデイ』を見つける道具となる可能性がある。イギリスの政府機関人工知能セキュリティ研究所(AISI)のサイバー攻撃力試験では、約70%の確率で目的の情報を抜き出すことに成功した。アンソロピックのAIモデルは『ハイク』や『ソネット』など文学用語を名前に使用しており、ミトスは古代ギリシャ語で『神話』を意味する。
日本経済新聞(ニッケイ)は18日、日本政府が同日、関係省庁会議でクロードミトス対策を議論すると報じた。情報システム提供業者にAIを活用した脆弱性点検を求め、企業向けサイバー防御指針や政府・自治体システム点検、民間と公的機関の情報共有体制を整備する方針が含まれている。会議は松本尚デジタル大臣が主宰し、経済産業省、金融庁、厚生労働省、国土交通省などが参加する。
悪用の懸念から、アンソロピックはミトスを使用できる対象をアメリカ中心の約50社・機関に制限してきた。対象にはグーグル、アップル、エヌビディアなどのアメリカのビッグテックやサイバーセキュリティ企業クラウドストライクなどが含まれているとされる。日本政府傘下のAIセーフティインスティテュート(AISI)もアンソロピックにミトスの使用を打診したが、今月初めまでアクセス権を確保できていなかった。
一方、ミトスをすでに使用しているところでは具体的な成果が出ている。ブラウザFirefoxを支援しているアメリカのMozilla財団は、ミトスが最新のブラウザで271件の脆弱性を見つけたと発表した。Firefoxに報告される脆弱性が月に10~20件程度であったことを考慮すると、短期間で年間処理量を大きく上回る成果である。アンソロピックは日本を含む提供先を広げる計画だが、アメリカ政府が安全上の理由から公開範囲の拡大に反対しているため、日本のアクセス権確保は不透明である。
日本政府は以前からミトス関連の対策範囲を金融業界から社会インフラ全般に広げる方針を検討してきた。日本の三大銀行はすでにミトスのアクセス権を確保し、システムの安全点検に取り組んでいる。政府は金融・情報通信・電力・水道・ガス・空港・鉄道・医療・行政サービスなど15の重要インフラ分野に点検対象を拡大する方針である。
指針には高性能AIでシステムの脆弱性を見つけ出し、補完する手続きやサイバー防御体制の運用方法などが含まれる見込みである。ミトスを使用できない企業には他のAIを活用して脆弱性を点検するよう求め、脆弱性が発見された製品はパッチ適用などで補完した後、再提供するよう要請する方針である。
対象は民間企業にとどまらない。中央政府や地方自治体の情報システムも脆弱性点検の対象に含まれる。政府は国家サイバー総括室にAIを活用したサイバー防御関連情報を集め、機密性の高い情報を扱う際にAIをどのように活用するかも検討することにした。AISIと連携し、民間と公的機関が情報を共有する体制を構築し、アメリカ・イギリスなど主要国のAISI機関との協力も推進する。
電力会社や通信会社、鉄道・空港運営者、病院、金融機関など社会基盤サービスを担当する事業者も点検対象に上がる。日本政府はこれら事業者の経営陣に対し、セキュリティ体制の点検や予算・人員の確保を求め、サイバー攻撃によって製品やサービスの供給が中断されるリスクに備えるよう促す方針である。
ミトスの論争は、AIがサイバー攻撃の道具となる可能性と、それを防ぐ側もAIなしでは攻撃の速度に追いつくのが難しい現実を示している。日本政府がシステム提供業者や重要インフラ事業者にAIベースの点検を求めるのも、サイバー防御の軸が人による点検からAIによる常時点検へと移行しているとの判断によるものである。
* この記事はAIによって翻訳されました。
