NRIセキュア、生成AIを活用したシステム向けのセキュリティ診断サービス「AI Red Team」を提供開始
- 2023/12/20 10:00
- SecurityInsight
NRIセキュアテクノロジーズは12月18日、「AIセキュリティ統制支援」サービスのラインナップの一つとして、新たに生成AIを利用するシステムやサービスを対象にした、セキュリティ診断サービス「AI Red Team」の提供を開始することを発表した。
このサービスでは、NRIセキュアの専門家が実際のシステムに擬似攻撃を行うことで、大規模言語モデル(LLM)を活用したサービスにおけるAI固有の脆弱性と、そのAIと連携する周辺機能を含めたシステム全体の問題点を、セキュリティ上の観点から評価する。
LLM単体でのリスクを洗い出した後に、LLMを含むシステム全体のリスクを評価するという、2段階に分けた診断を実施。診断の結果、見つかった問題点とリスク低減策をまとめた報告書を提供する。
このサービスの主な特徴は以下の2点。
1.独自開発した自動テストと専門家による調査で、効率的・網羅的・高品質な診断を実施
LLM向けDASTを採用し、自動でテストが可能な診断用アプリケーションを独自に開発。このアプリケーションを用いることで、効率的かつ網羅的に脆弱性を検出することができる。さらに、LLMのセキュリティに精通したエンジニアが診断にあたり、自動テストではカバーできない各システム固有の問題点も洗い出し、検出された脆弱性を調査で深く掘り下げる。
2.システムやサービス全体における実際のリスクを評価し、対策コストを削減
システムやそれが提供するサービス全体を包括的に診断したうえで、AIに起因する脆弱性が顕在化するかどうかを診断する。AI固有の問題を評価するだけでは対処が難しい「OWASP Top10 for LLM」にも対応が可能。
仮にAIそのものに脆弱性があった場合、システム全体から見た実際のリスクの程度を評価することによって、実施が難しいAIそのものの脆弱性対応をせずに済むよう、代替の対策案を提示することができる。