高性能AIに危機感、新サイバー対策「Project YATA-Shield」を発表 政府
政府は18日、「AI性能の高度化を踏まえたサイバーセキュリティ対策に関する関係省庁会議」を開催し、AIの急速な進化に伴うサイバー攻撃の脅威に対応するための新たな政策パッケージ「Project YATA-Shield」を取りまとめました。同日、政策パッケージの全体方針を記した文書のほか、重要インフラ事業者とソフトウェア・ベンダーに向けた2つの「注意喚起」文書と、各府省庁担当者向けの「事務連絡」文書を公開しました。
今回の新対策策定の背景として、政府の各公開文書内では、今年4月に米Anthropicが公表した「Claude Mythos Preview」をはじめとするフロンティアAIモデルの存在が名指しで言及されています。こうした高性能AIの登場により、ソフトウェアの脆弱性を発見する能力が急速に向上しており、攻撃者に悪用された場合はサイバー攻撃が従来よりも高速かつ大規模に行われるリスクが高まっていると強い危機感を示しています。
このためProject YATA-Shieldでは高性能AIによる悪用リスクを前提としつつ、防御側でも高性能AIを積極的にサイバー防御へ活用していく方針を示しています。重要インフラや政府機関への対応強化、ソフトウェア開発における早期の脆弱性対応、外国政府機関との連携などを政府一体となって迅速に進めていく全体方針がまとめられています。
電力や通信などの重要インフラ事業者等に向けては、経営層のリーダーシップの下で基本的なセキュリティ対策を「必要な投資」と位置づけて確実に行うことを求めています。公開された注意喚起文書では、英国のAIセーフティ・インスティテュート(AISI)による「Claude Mythos Preview」の評価においてもアクセス制御など基本対策の重要性が示されている点に触れ、脆弱性情報を積極的に収集し、修正プログラム(パッチ)の適用などを速やかに行えるようプロセスを構築することを呼びかけています。
ソフトウェアを開発・提供するベンダーに対しては、企画段階からセキュリティを組み込む「セキュア・バイ・デザイン」の原則に基づき、開発の全工程でベンダー自らが率先して高性能AIを活用するよう求めています。リリース前の脆弱性低減を図ることに加え、リリース後も脆弱性を早期に把握し、速やかに修正パッチを作成して顧客へ提供することを要請しています。
各政府機関に対しても、政府統一基準に基づく基本的な対策(資産管理、脆弱性対策、アクセス制御など)の徹底を指示しています。とりわけセキュリティパッチの速やかな適用が極めて重要であるとし、対策ファイルの適時適用を前提とした運用設計(パッチマネジメント)への見直しを図るよう求めています。また、インシデントやその予兆を確認した際は、国家サイバー統括室(NCO)へ速やかに報告するよう求めています。
