ガイドラインの概要

IPAが公開した「生成AIの利活用と開発におけるセキュリティガイドライン」は、企業が生成AIを安全に利用・導入・開発するためのセキュリティ対策を体系的にまとめたガイドラインです。生成AI固有のリスクを整理し、ライフサイクル全体を通じた対策を示しています。

利活用時のセキュリティ

  • 機密情報の入力禁止:顧客情報、営業秘密、個人情報を生成AIに入力しないルールの策定
  • 出力内容の検証:AIの出力を鵜呑みにせず、事実確認(ファクトチェック)を実施
  • 著作権への配慮:生成コンテンツの著作権侵害リスクの認識と対策
  • プロンプトインジェクション対策:外部からの悪意ある入力によるAIの誤動作を防止
  • AI利用ポリシーの策定:利用可能な生成AIサービスの範囲、禁止事項、報告手順を明文化

導入・構築時のセキュリティ

  • サービス選定基準:データの取扱い方針(学習への利用有無)、セキュリティ認証の有無を確認
  • 入出力の制御:入力データのフィルタリング、出力内容のモニタリング・ログ記録
  • RAG(Retrieval-Augmented Generation)利用時:参照データへのアクセス制御、データの鮮度管理
  • APIキーの管理:APIキーの漏洩防止(環境変数やシークレット管理ツールの利用)

開発時のセキュリティ

  • 学習データの品質管理:偏りのないデータセット、不正データの混入防止(データポイズニング対策)
  • モデルのセキュリティテスト:レッドチーミングによる脆弱性の検証
  • モデルの更新管理:バージョン管理、変更履歴の記録
  • サプライチェーンリスク:外部モデルやライブラリの利用時のリスク評価(SBOM的な管理)

AIガバナンス

生成AIの利活用にあたっては、技術的な対策だけでなく組織的なガバナンス体制の構築が重要です。AI利用ポリシーの策定、責任者の指定、インシデント発生時の対応手順、定期的なリスク評価を行う体制を整備しましょう。

まとめ

IPAの生成AIセキュリティガイドラインは、利活用・導入・開発の各段階でのセキュリティ対策を網羅的にまとめた指針です。機密情報の入力禁止、出力の検証、プロンプトインジェクション対策が最初に取り組むべき基本対策です。

参考リンク
IPA DX推進 ↗経産省 DX ↗
E

BTNコンサルティング 編集部

株式会社BTNコンサルティング|情シス365 運営

Microsoft 365・Google Workspace導入支援、IT-PMI(M&A後のIT統合)、セキュリティ対策を専門とするITコンサルティング企業。中小企業の「ひとり情シス」を支援し、ITの力で経営課題を解決します。