生成型人工知能(GenAI)によるディープフェイクやAI生成テキストの悪用が加速する中、オープンソースセキュリティプロジェクトOWASPは、新たにAIに対する防御ガイダンスを発表した。メールの12%がAI生成とされ、AIを活用した攻撃の脅威が急増する現状を背景に、2023年10月31日にリリースされたこのガイダンスは、AI技術を使用する企業やセキュリティ組織向けに提供されている。
新しいガイドラインには、ディープフェイク対応の準備ガイドやAIセキュリティの枠組み、AIセキュリティソリューションのデータベースなどが含まれ、競争上の差別化を図るためにAI技術を安全に活用する方法が提示されている。
生成AIによる攻撃の進化とその背景
生成型AI技術が急速に普及する中、ディープフェイクや偽のAI生成テキストを利用した攻撃が新たな段階に突入している。特にメールによる詐欺や偽情報の拡散が顕著で、ある分析では全メールの約12%がAIにより生成されているとされている。
この増加の背景には、大規模言語モデル(LLM)などの技術発展があり、詐欺者がこれらを駆使して人間と見分けがつかないようなテキストや映像を生成し、組織内のセキュリティシステムや受信者の判断を欺こうとしている。
一方で、Exabeamの事例が示すように、ディープフェイクは採用プロセスにまで影響を及ぼしている。同社では面接を装ったディープフェイクを用いた攻撃を受け、最終的にセキュリティ担当者が異常に気づくことで被害を回避できたが、これが一般的なビジネス活動にも及び得ることを示唆している。
これらの事実は、生成AIによる攻撃が多岐にわたる分野において多様化しており、今後ますます高度化する可能性を示している。
OWASPの新たなガイダンスが示す方向性
OWASPが発表した最新のガイダンスは、AI技術を利用する組織に向けて、生成AIによる攻撃に対する防御策を体系的に示すものである。このガイダンスには、ディープフェイクに対応するための準備ガイドや、AIセキュリティ・センター・オブ・エクセレンスの構築フレームワーク、さらにAIセキュリティソリューションのデータベースが含まれている。
これにより、企業はAIを安全に活用する方法を明確に把握し、競争力を高めつつリスクを最小限に抑えることが可能となる。OWASPの共同プロジェクトリーダーであるスコット・クリントンは、企業が競争上の差別化のためにAI技術の安全な利用を重視する必要があると述べている。
この視点から、OWASPのガイダンスは、生成AIによるサイバーリスクが現実のものとなっている現在において、AI活用を推進する企業にとって重要な指針となる。一方で、このガイダンスがAI技術を開発する側の「Top 10」ガイドとは異なり、利用者側の対策に特化している点が特徴である。
これは、リスクの多様性に対応するために現実的かつ実用的な対応が求められていることを示唆している。
ディープフェイク脅威への対応策とその課題
生成AIの進化に伴い、ディープフェイクは企業のセキュリティにとって重要な課題となっている。メールセキュリティ企業Ironscalesの調査によると、48%の専門家が現在ディープフェイクを「非常に懸念している」と回答し、将来的な脅威としても74%が懸念を示している。
このような状況下で、ディープフェイクへの対応策として技術面だけでなく、人的リソースや教育によるセキュリティ強化が求められている。一方で、ディープフェイク対策は技術的ハードルが高い。音声や映像を伴うディープフェイクの検知は、従来のスパムフィルターやアンチウイルスソフトでは対応が難しく、専用のディープフェイク検知技術が必要となる。
また、AI技術が進化するスピードは速く、それに対応するための技術革新と学習が不可欠である。これにより、企業はセキュリティ対策を講じながらも、日々進化するリスクに備えるために柔軟かつ継続的な改善が求められている。