サイバー速報
掲載日:2025.04.11
生成AIを利用する組織に向け「生成AIを利用するうえでのセキュリティ成熟度モデル」を公開 JNSA
日本ネットワークサービスセキュリティ協会はこのほど、「生成AIを利用するうえでのセキュリティ成熟度モデル」を公開しました。生成AIを安全に利用するうえで必要な対策などを解説しています。
それによると、例えば、適切なアカウント管理の必要性が示されました。生成AIを利用したデスクトップアプリケーションの利用においては、アカウント盗難によるなりすましなどを防ぐため、適切な管理が有効です。しかし、他所でアカウント情報が漏れたり、フィッシングやマルウェアでログイン情報が盗まれたりするなどの脅威が考えられるため、対策として▽多要素認証の利用▽長く推測されにくいパスワードの設定▽パスワードを使いまわさない▽不要アカウントの削除▽APIキーの適切な管理が必要だとされました。
また、生成AIに対するサイバー攻撃手法の一つとして「プロンプトインジェクション」が紹介されました。攻撃者が悪意のある入力を行い開発者の意図しないプロンプトを実行させるもので、攻撃者がプロンプトを上書きしたり、開発者が用意したプロンプトを不正に取得したりする直接的なもの(ジェイルブレイク)と、攻撃者が用意したWebサイトやファイルなどの外部コンテンツを読み込ませることで、意図しない操作を行う間接的なものがあります。対策としては、プロンプトに対するフィルタリングや、モデルの動作制限、アクセス権の付与を最小限にするなどが挙げられました。
ほかにも、想定される生成AIへの攻撃手法や、それらを未然に防ぐために重要となるさまざまな事項が記されており、生成AIの利用形態ごとにどの情報が有用かは概要図で確認することができます。
