<<発信元のニュースをそのまま掲載しています>>
■生成AIや大規模言語モデル(LLM)を組み込んだアプリケーションを対象に、攻撃者の視点からリスクを検証する新たなサービス
■ユーザー入力から生成AIの出力に至るまでの利用の流れ全体を想定し、従来の診断では見えにくかった生成AI特有のリスクの把握・可視化を支援
■技術的な検証にとどまらず、経営層とも共有可能な評価結果を分かりやすい形で提示し、対応・改善など意思決定に資するレポーティングを提供
EYストラテジー・アンド・コンサルティング株式会社(東京都千代田区、代表取締役社長:近藤 聡、以下EYSC)は、攻撃者視点で生成AIのセキュリティリスクを把握・評価する新サービス「エンドツーエンドAIレッドチーミング」の提供を開始します。本サービスは、生成AIやLLMを組み込んだアプリケーションを対象に、ユーザー入力から生成AIによる出力に至る一連の挙動を俯瞰的に分析します。その上で実際に起こり得る攻撃や悪用のシナリオを想定した検証を通じて、従来の診断手法では把握しづらかった生成AI特有のリスクとその想定される影響の把握・評価を支援します。
生成AIを組み込んだアプリケーションでは、入力内容や外部データ連携の方法によっては、個人情報や機密情報、知的財産の漏えいといった意図しない情報開示や許可された権限を越えた回答など不適切な挙動が生じる可能性があります。こうしたリスクは、個々の機能や設定だけでなく、利用の流れ全体に起因するケースも多く、既存の診断手法では実態を十分に把握しにくい場合があります。
EYSCが提供する「エンドツーエンドAIレッドチーミング」は、こうした課題に対し、攻撃者の視点から生成AIの利用を捉え直すことを重視したサービスです。クライアントの合意のもと、実際に起こり得る悪用や不正利用のシナリオを想定して検証を行うことで、従来の評価手法では見えにくかった生成AI特有の代表的なリスクとその影響の把握・評価を行います。
■「エンドツーエンドAIレッドチーミング」サービス概要
生成AIやLLMを組み込んだアプリケーションを、シナリオベースで検証し、ユーザー入力から生成AIによる出力結果に至る一連の挙動を確認した上で、AI特有のリスクを特定するとともに、その影響を可視化する支援をします。検証結果は、技術部門だけでなく関係部門が共通理解を持てる形で整理し、優先順位を付け、是正策の検討につなげます。
サービスの特長:
1. 脅威シナリオに基づく実践的な検証
実際に想定されるリスクをシナリオ化し、以下のような観点で検証します。
● プロンプトインジェクション、ジェイルブレイク
● RAG*の汚染・不正誘導
● ツール/APIの不正利用
● 危険なエージェント挙動や権限逸脱
2. 悪用可能性と影響度の現実的な検証
机上のリスク整理にとどまらず、実際に成立する攻撃経路(アタックパス)を検証し、信頼境界の弱点、影響範囲、深刻度の根拠を明確にします。
3. 対応・実行判断など意思決定に資するガバナンス視点のレポーティング
セキュリティ部門だけでなく、法務部門や経営層とも共有できる形でリスクを整理し、優先順位付けと具体的な対応検討の参考となる情報を提供します。
4. 再検証(オプション)
対策後に再評価を行い、リスク低減の実効性を確認することも可能です。
*RAG(Retrieval Augmented Generation)とは
RAGとは、LLMの回答精度や関連性を高めるために、内部または外部のデータソースから情報を動的に取得し、生成プロセスに組み込むアーキテクチャです。一方で、データソースや埋め込みの管理状況などに依存するものの、これらが汚染された場合には、誤情報生成や意図しない判断誘導につながるリスクがあります。
評価の手順
EYSC テクノロジーコンサルティング サイバーセキュリティ アソシエートパートナー 佐藤 拓也 のコメント:
「生成AIは、プロンプト、RAG、ツール連携、エージェント挙動など複数の要素が連鎖してリスクが顕在化するため、従来のセキュリティ診断と同じ考え方だけでは実態を捉えにくい領域です。本サービスでは、攻撃者の視点から生成AIの利用全体をエンドツーエンドで検証し、実際に成立する悪用シナリオとその影響を可視化します。私たちは、企業の皆さまが生成AIをどこまで業務に活用できるのかを判断し、安全かつ持続的な活用を進められるよう支援してまいります」
本サービスの詳細は下記をご覧ください。
https://www.ey.com/ja_jp/services/cybersecurity/e2e-ai-application-red-teaming
本サービスによる検証は一定の前提条件および想定シナリオのもとで実施されるものであり、すべてのリスクを完全に網羅または排除すること、もしくは特定の結果や効果を保証するものではありません。
〈EYについて〉
EYは、クライアント、EYのメンバー、社会、そして地球のために新たな価値を創出するとともに、資本市場における信頼を確立していくことで、より良い社会の構築を目指しています。 データ、AI、および先進テクノロジーの活用により、EYのチームはクライアントが確信を持って未来を形づくるための支援を行い、現在、そして未来における喫緊の課題への解決策を導き出します。 EYのチームの活動領域は、アシュアランス、コンサルティング、税務、ストラテジー、トランザクションの全領域にわたります。蓄積した業界の知見やグローバルに連携したさまざまな分野にわたるネットワーク、多様なエコシステムパートナーに支えられ、150以上の国と地域でサービスを提供しています。
All in to shape the future with confidence.
EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。EYによる個人情報の取得・利用の方法や、データ保護に関する法令により個人情報の主体が有する権利については、ey.com/privacyをご確認ください。EYのメンバーファームは、現地の法令により禁止されている場合、法務サービスを提供することはありません。EYについて詳しくは、ey.comをご覧ください。
〈EYのコンサルティングサービスについて〉
EYのコンサルティングサービスは、人、テクノロジー、イノベーションの力でビジネスを変革し、より良い社会を構築していきます。私たちは、変革、すなわちトランスフォーメーションの領域で世界トップクラスのコンサルタントになることを目指しています。7万人を超えるEYのコンサルタントは、その多様性とスキルを生かして、人を中心に据え(humans@center)、迅速にテクノロジーを実用化し(technology@speed)、大規模にイノベーションを推進し(innovation@scale)、クライアントのトランスフォーメーションを支援します。これらの変革を推進することにより、人、クライアント、社会にとっての長期的価値を創造していきます。詳しくはey.com/ja_jp/consultingをご覧ください。
💬 コメント Comments