PwCコンサルティング、「AIレッドチーム」でAIサービスのリスク回避を支援

　PwCコンサルティング合同会社は19日、AIサービスのビジネスリスクを特定し、改善を支援する「AIレッドチーム」によるサービスを同日より提供開始したと発表した。企業のAIサービスに対して疑似的なサイバー攻撃を行い、想定される脅威などを把握、インシデントを未然に防ぐという。

　PwC Japanグループ サイバーセキュリティ＆デジタルオペレーショナルレジリエンス リーダー 兼 PwCコンサルティング 上席執行役員 パートナーの林和洋氏は、PwC Japanグループが発表した2024年の10大地政学リスクの一部として、サイバー脅威が継続していることや、エマージングテクノロジーに対する規制への競争が繰り広げられていること、また2024年春のPwCコンサルティングの調査にて、90％以上の企業が生成AIを活用しているか、活用を検討中であることなどを挙げ、「こうしたトレンドの中、サイバーリスクを管理するにあたって大きな役割を果たすのが今回発表するAIレッドサービスだ」と述べた。

PwC Japanグループ サイバーセキュリティ＆デジタルオペレーショナルレジリエンス リーダー 兼 PwCコンサルティング 上席執行役員 パートナー 林和洋氏

　PwC コンサルティング 執行役員 パートナーの村上純一氏は、AIレッドチームについて、「顧客のAIサービスの脆弱性やリスクを診断し、サービスのリリース前や運用中に、特定したリスクへの対策を講じる組織だ」と説明する。

AIレッドチームとは

　具体的には、PwCコンサルティングのAIセキュリティに特化したエンジニアとセキュリティコンサルタントがチームを組成し、顧客のAI活用のユースケースを特定、リスクを分析する。その内容に基づいてテストを計画し、実施。検出した脆弱性やリスクを報告し、対策を定義するという。

PwCのアプローチ

　同サービスの特徴のひとつは、AIの不正利用に伴うビジネスリスクを特定することだ。攻撃や悪用といったAIの不正利用に伴うリスクの種類とインパクトは、そのビジネスユースケースに大きく依存することから、テスト対象となるAIを用いたサービスのビジネスケースを分析した上で、想定されるリスクやリスクシナリオを洗い出し、シナリオに沿ったテストを設計する。これにより、発見された課題がどのようなビジネスリスクに影響するかを特定するという。

AIの不正利用に伴うビジネスリスクの特定

　リスクの洗い出しにあたっては、従来のサイバーインテリジェンスをAIリスク領域にも拡張した、AIリスクインテリジェンスを活用する。「例えば、当社が蓄積したAIインシデントデータベースを基に、業界によってどのようなインシデントが多いか把握する。事例情報も蓄積していることから、顧客のAIサービスの特性をデータベースと突き合わせ、コンサルタントがその顧客特有のリスクを分析する」と村上氏は話す。

PwC コンサルティング 執行役員 パートナー 村上純一氏

　また、同サービスでは、独自のリサーチに基づき、AIセキュリティに精通したエンジニアによるテストを実施することも特徴だ。サイバーセキュリティ分野の研究機関や団体が公開するフレームワークなどのベストプラクティスを網羅するだけでなく、日々報告される新たな攻撃手法のリサーチ結果も取り入れた上で、最新の脅威を模したテストを行う。テストの設計や実施においては、イスラエルのセキュリティ企業Adversa AI社などと技術連携してサービスを提供するという。

独自リサーチおよびAIセキュリティに精通したエンジニアによるテストの実施

　さらに、テストの結果、問題が発見された場合も、対症療法だけでなく、サービスの設計から運用までカバーする広範なアドバイスを提供する。具体的には、AIレッドチームが発見した課題に対し、ガイドラインと照らし合わせて対症療法を伝えることはもちろん、AIガバナンスの整備や改善、人材育成も支援。また、開発や運用プロセスなど、MLOpsの改善も支援するという。

　「PwCコンサルティングには、データサイエンス専門チームも存在する。多様な専門性を生かし、AIサービスの企画や設計など上流に至るまで支援できることが特徴だ」と、村上氏は同サービスの強みをアピールした。

サービス設計、実装、運用にわたる改善のアドバイス