EYが生成AIリスクを攻撃者視点で徹底検証する新サービスを開始

新たな生成AIリスク評価サービス

EYストラテジー・アンド・コンサルティング株式会社は、生成AIや大規模言語モデル（LLM）を取り入れたアプリケーションの安全性を評価する新しいサービス「エンドツーエンドAIレッドチーミング」を発表しました。このサービスは、攻撃者の視点から生成AIに特有のセキュリティリスクを洗い出し、企業が直面する可能性のある危機を見える化することを目指しています。

新サービスの目指すところ

昨今、生成AIを活用したサービスが急増する中で、そのセキュリティリスクも肝心な課題となっています。個人情報や機密情報が不適切に開示される危険性や、意図しない情報の漏えいなどが実際に起こる可能性があります。このサービスは、ユーザーの入力から出力結果に至るまでの一連の流れを視野に入れ、リスクを徹底的に評価することで、企業が新たな脅威に直面しないよう支援します。

具体的な評価手法

「エンドツーエンドAIレッドチーミング」では、以下のような観点からの検証が行われます。

- 脅威シナリオに基づく検証: 実際の利用を想定したシナリオを作成し、それに基づいて様々なリスクをチェックします。具体的にはプロンプトインジェクションやジェイルブレイクなどのケースが挙げられます。
- 現実的な影響度の検証: 検証の結果を基に、どのような攻撃が成立するか、その影響範囲や深刻度を明確にします。これは単なる机上の計画ではなく、実際に起こりうる攻撃シナリオを考慮したものです。
- ガバナンス視点のレポーティング: 提供される報告書は、セキュリティ部門だけでなく経営層や法務部門にも理解された形で整備されるため、企業全体でのリスク管理に貢献します。

サービスの特長

1. 実践的な検証方法
- 想定されるリスクを基にしたシナリオを設定し、実際のシステムでテストを行うことで、リアルなリスクを浮き彫りにします。

2. 悪用可能性の明確化
- 机上の分析だけではなく、実際に考えられる攻撃経路を探ることで、現実的なリスクを把握します。

3. わかりやすいレポート
- 関連部門で共通認識を持てるような形でリスク情報を整理し、優先順位をつけて対応策を立案します。

4. 再評価のオプション
- 対応策実施後には再度評価を行い、リスク低減の効果を確認することが可能です。

このサービスは、企業が生成AIを安全に活用できるよう支援するものであり、特に生成AIを業務に取り入れている企業にとっては非常に重要なツールとなるでしょう。

EYの方針とビジョン

EYは、クライアント及び社会全体に対して新たな価値を創造することを目指し、資本市場での信頼を確立するために努力しています。また、データやAI、先進テクノロジーを駆使し、クライアントが今後直面する課題への解決策を提案しています。これにより、企業はより安全で持続的な成長を実現できるのです。

この新サービスの詳細は、EY公式ページを訪れることで確認できます。