先に、Mythosに関して書いたのだが、その後、国からこんなものが発表された。三種の神器の八咫鏡になぞらえるとは、現政権らしい発想なのだが、それはさておき、問題は中身である。ソフトウエア開発企業に対して、脆弱性対策にAIを活用するというのはいい。一方で、インフラ事業者や行政に対しての提言は、従来からの内容の繰り返しで、対AIという意味では具体性を欠くものだ。
つまり、基本的なセキュリティ対策、施策と、そのスキームを再確認せよ、ということなのだが、これでは、これまでの方向で問題無いと受け止められかねない。
なぜ、こういう内容になったのかを考えて見ると、問題は大きくわけて二つある。ひとつは、AI時代においても、攻撃を受ける側がセキュリティのためにすべきことの大枠は変わらないということ。この文書は、すなわち、そういうことを再確認しているにすぎないわけだ。一方で、AIがサイバー攻撃に使用されることで、それぞれの対策の中身は大きく変わるだろう。まず、すべてにおいて、大幅なスピードアップが必要になる。さらには、より技術的に高度かつ動的な対策が必要になる点だ。この理由は先の記事で書いている。しかし、それは、現状でAIが依然として加速度的な進化の途上にあることを考えれば、具体的にどうすべき、というのは難しい。言ったところで、それは現時点でのスナップショットに過ぎず、数ヶ月後には大きく変わっている可能性があるからだ。
実際、我が国に限らず、AIに関しては、各国共に苦労している。そもそも、国としての検討プロセスがAIの進化にまったく追いついていないからだ。たとえば、有識者を集めて半年で結論を出したとして、それを公表するのにまた数ヶ月・・。公表されたころには状況が一変している可能性が高いから、また、やり直しになってしまう。それでも、米国やEUは、多少なりともAIに踏み込もうとしてるように見えるが、我が国政府のこの文書を見る限りにおいては、詳細に踏み込むことを諦めてしまったように見える。それでも、何かを出さないといけないから出した・・・、申し訳ないがそう見えてしまうのだ。具体策が書けないなら、AIに対して、先に書いたようなリスクがある点を明示し、企業みずからが、対策プロセスのスピードアップと高度化を(危機感を持って)進める必要があることを説くべきではなかったのか。そう思うのである。
昨日の白浜シンポの講演でも、AI法制はいまだ基本法レベルに留まっていて、具体的な施策に落とし込めていないという話があったが、これは、まさにそういう理由だし、各国共に苦労している部分だ。しかし、AIの進歩はそれを待ってくれない。であれば、それぞれの組織が、自分で出来ることをどんどん進めていくしかない。インフラや金融、行政といった分野では、国の指針をもとに施策を進めるという文化が根強い。裏を返せば、「国がやれと言うからやった」という受け身の文化である。これからの時代、この形はもう成り立たない。方針が落ちてくるのを待っていたら、それまでの間に侵害を受けてしまう可能性が非常に高いのだ。こうした文化を変えていくことこそ、AI時代のセキュリティに必要なことなのだろう。
コメントする