CIOやCISOにとってAIシステムのセキュリティ対策は、AIと大規模な言語モデル(LLM)がビジネスで不可欠になっているため、切実な問題です。そこで注目されるのが、ウェブアプリケーションのセキュリティガイドラインを提供するOWASPです。
OWASPでは、従来からウェブアプリケーションの脆弱性トップ10を発表しており、最近ではLLMに特化したセキュリティリスクトップ10も公開しています。しかし、LLMに関連するリスクは多岐にわたり、攻撃者にとっても収益性の高い攻撃対象となりうるのです。
AIモデルの操作や情報の拡散によって、犯罪者が金銭的利益を得る可能性がありますが、他の攻撃方法のほうがより金銭的に魅力的なことが多いです。LLM固有の脅威も存在し、組織は定期的なペネトレーションテストによってこれらのリスクを軽減することが可能です。
さらに、AIツールやインフラに関連するリスクも見逃せません。たとえば、SaaSプロバイダや広く使われているAIフレームワークであっても、完全無欠ではなく、それらのセキュリティ上の欠陥が犯罪者の攻撃経路となることがあります。
OWASP のLLM Top 10はAI関連のセキュリティ問題に対する意識を高めるのに役立ちますが、その実装と通常のITインフラ層におけるリスクの軽減が、攻撃者によるデータ窃盗や暗号通貨の不正採掘を防ぐための優先課題なのです。AIモデルの攻撃手法について詳細に検討するのは重要ですが、それは二の次になります。
出典 : Securing AI: What the OWASP LLM Top 10 Gets Right – and What It Misses https://www.datacenterknowledge.com/cybersecurity/securing-ai-what-the-owasp-llm-top-10-gets-right-and-what-it-misses
