安全保障上のリスクを理由にDeepSeekなどのAI技術を連邦契約から排除する動き
米国の上院議員であるジャッキー・ローゼン氏とビル・キャシディ氏は、敵対的な国家、特に中華人民共和国(PRC)からの潜在的な脅威から、機密性の高い連邦政府のデータを保護するために、中国共産党(CCP)が所有するDeepSeekや、敵対的とみなされるその他のAI技術を標的とした法案を導入しました。
上院議員らは、DeepSeekの潜在的な国家安全保障上のリスクについて、重大な懸念を表明しています。彼らは、DeepSeekが収集したデータを中国政府およびその情報機関と共有することを義務付ける中国の法律を、彼らの懸念の主な理由として挙げています。すでに、米国のいくつかの州や同盟国は、DeepSeekを政府のデバイスからブロックする措置を講じており、AIプラットフォームを取り巻く重要なセキュリティ上の懸念を浮き彫りにしています。
外国敵対的AIからの保護法
「外国敵対的AIからの保護法」と題されたこの超党派法案は、連邦政府機関との契約を履行するために、連邦政府の契約業者がDeepSeekを利用することを防ぐことを目的としています。この法案は、High-Flyerが開発した後継アプリケーションにもこの禁止措置を拡大し、連邦政府の契約での使用を禁じています。
報告義務と議会による監督
さらに、この法案は、米国商務長官から米国国防長官と協力して議会への包括的な報告書を義務付けています。この報告書は、中国、北朝鮮、イラン、ロシアなどの敵対的な国家に拠点を置くAIプラットフォームから生じる、国家安全保障および経済スパイ活動の脅威を掘り下げるものです。
ネバダ州選出の民主党議員であるローゼン上院議員は、米国のデータと政府システムを、外国の敵対国から発せられるサイバー脅威から保護することの重要性を強調しました。彼女は、この超党派法案は、政府の業務を行う際に、CCPと関連のあるAIプラットフォームであるDeepSeekを連邦政府の契約業者が使用することを効果的に防ぐだろうと述べました。ローゼン氏は、国家安全保障を強化し、米国国民のデータを保護するために、党派を超えて協力していくことを約束しました。
ルイジアナ州選出の共和党議員であるキャシディ上院議員は、AIの二面性を強調し、医療や教育の向上など、有益な目的のために利用できる強力なツールであると述べました。しかし、彼は、AIが間違った手に渡ると、兵器化される可能性があると警告しました。キャシディ氏は、DeepSeekのようなシステムに機密データを入力すると、中国に新たな武器を提供する可能性があると警告しました。
詳細な報告義務
この法案は、法律の施行から1年以内に、商務長官が国防長官と協議の上、上院と下院の主要な委員会に詳細な報告書を提出することを義務付けています。これらの委員会には、軍事委員会、商務・科学・運輸委員会、エネルギー・商業委員会が含まれます。報告書では、懸念国に拠点を置く、または関連のある人工知能プラットフォーム(大規模言語モデルや生成AIを含む)によってもたらされる国家安全保障上の脅威に対処する必要があります。
包括的な報告書の構成要素
この法案では、包括的な報告書に含めるべき重要な構成要素をいくつか義務付けています。これには、検閲に関する法律や、AIアプリケーションにアクセスしたり影響力を行使したりする可能性のある外国政府の能力に関する徹底的な分析が含まれます。
プロパガンダと偽情報におけるAIの役割
報告書ではまた、AIプラットフォームが現在どのように使用されているか、または今後、国家が支援するプロパガンダを推進するためにどのように使用される可能性があるかを評価する必要があります。これは特に、民主主義の制度を弱体化させ、偽情報を拡散させようとする敵対国の状況に関連しています。AIがどのようにこの方法で兵器化されるかを理解することで、政策立案者はこれらの脅威に効果的に対抗するための戦略を策定できます。
輸出管理の回避
報告書のもう1つの重要な側面は、敵対国がグラフィックス処理ユニット(GPU)に対する米国の輸出管理を回避しようとする試みの国家安全保障上の影響を評価することです。GPUは、高度なAIモデルの開発に不可欠であり、それらを不法に取得しようとする試みは、米国の国家安全保障上の利益に対する重大な脅威となります。したがって、報告書では、敵対国がこれらの重要な技術を入手することを防ぐために、輸出管理システムの脆弱性を特定し、対処する必要があります。
プライバシーとデータセキュリティの脅威
報告書は、AIアプリケーションに入力または送信された米国のデータに関連するプライバシーおよびデータセキュリティの脅威を調査する必要があります。分析では、データがどこに保存されているか(オンプレミスサーバー内か、クラウドインフラストラクチャ内か)、CCPなどの外国政府または政治団体がこのデータにアクセスまたは悪用できるかどうか、米国発のデータが外国のAI技術の進歩にどの程度寄与しているかなど、重要な懸念事項に対処する必要があります。
データの保存場所は、データに対して行使できる制御とセキュリティのレベルに直接影響するため、非常に重要です。オンプレミスサーバーは、より直接的な制御を提供しますが、インフラストラクチャと専門知識への多大な投資が必要です。一方、クラウドインフラストラクチャは、スケーラビリティとアクセシビリティを提供しますが、クラウドプロバイダーが実装するセキュリティ対策に依存します。
経済スパイ活動のリスク
報告書では、知的財産、企業秘密、専有情報、その他の機密データに対する脅威を含め、このようなアクセスによってもたらされる経済スパイ活動のリスクを評価する必要があります。
経済スパイ活動とは、競争上の優位性を得るために、外国の団体が貴重なビジネス情報を盗むことを指します。これには、企業秘密、特許、および企業に市場での戦略的優位性を提供するその他の機密データが含まれます。AIアプリケーションを通じて米国のデータにアクセスすることで、敵対国は潜在的にこの情報を盗み、アメリカ企業の競争力を損なう可能性があります。
政府の情報に対する脅威
最後に、報告書では、このアクセスが連邦政府の情報、政策決定に影響を与えるデータや政府プログラムに関連するデータに及ぼす可能性のある危険性を評価する必要があります。政府情報のセキュリティは、民主主義社会の機能にとって最も重要です。もし敵対国がこのデータにアクセスまたは操作できる場合、彼らは政策決定に影響を与えたり、政府プログラムを混乱させたりする可能性があります。
過去の行動と進行中のレビュー
ドナルド・トランプ大統領の政権は、国家安全保障会議を通じて、DeepSeekに関連する国家安全保障上の脅威のレビューを開始し、複数の政権にわたる懸念を反映しました。下院は、議会の事務所がDeepSeekを業務デバイスにインストールまたはダウンロードすることを禁止する措置を講じており、プラットフォームに関連するセキュリティ上のリスクをさらに強調しています。
政府機関による行動
国防情報システム局と海軍は、同様のメモを職員に発行し、政府のデバイスでのDeepSeekの使用を制限しました。さまざまな政府機関によるこれらの行動は、DeepSeekによってもたらされる潜在的な脅威の広範な認識と、これらのリスクを軽減するための協調的な努力を示しています。
州レベルの制限
テキサス州、ニューヨーク州、バージニア州はすでに、州政府職員と請負業者に対して同様の制限を課す法律を制定しており、敵対国からのAIプラットフォームに関連するセキュリティ上の懸念に対処するための州の間の傾向が高まっていることを示しています。他の州もこれに追随し、潜在的な脅威から機密データを保護するための取り組みをさらに強化すると予想されます。
産業用サイバーセキュリティにおけるAI
Takepoint Researchが10月に発表したデータによると、進化するサイバーセキュリティの状況は、産業用サイバーセキュリティにおけるAIの利点が、回答者の80%のリスクを上回っていることを明らかにしています。AIは、脅威検出(64%)、ネットワーク監視(52%)、および脆弱性管理(48%)において特に効果的であり、OT(運用技術)環境内の防御を改善する上でその重要性が高まっていることを強調しています。この調査では、AIへの過度の依存、AIシステム操作、および偽陰性が産業資産所有者の主な懸念事項として特定されました。
脅威検出におけるAIの効果は、大量のデータを分析し、悪意のある活動を示す可能性のあるパターンを特定する能力に由来します。AI搭載システムは、リアルタイムで異常や疑わしい動作を検出し、セキュリティチームに潜在的な脅威の早期警告を提供できます。
ネットワーク監視は、AIが優れているもう1つの分野です。ネットワークトラフィックを継続的に監視することで、AIシステムは不正アクセス試行やその他のセキュリティ侵害を検出できます。AIは、ネットワーク構成の脆弱性を特定し、修正措置を推奨することもできます。
脆弱性管理には、攻撃者によって悪用される前に、システムおよびアプリケーションの弱点を特定して対処することが含まれます。AIは、脆弱性スキャンプロセスを自動化し、脆弱性の重大度に基づいて修復作業の優先順位を付けることができます。
過度の依存と操作に関する懸念
AIは産業用サイバーセキュリティにおいて大きな利点を提供する一方で、注意すべき潜在的なリスクもあります。主な懸念事項の1つは、AIへの過度の依存です。セキュリティチームは、AIシステムに過度に依存するべきではなく、専門知識と状況認識を維持する必要があります。
もう1つの懸念事項は、AIシステムの操作です。敵対者は、検出を回避したり、誤った決定を下させたりするために、AIシステムを操作しようとする可能性があります。したがって、AIシステムを改ざんから保護するために、堅牢なセキュリティ対策を実装することが不可欠です。
AIシステムが実際の脅威を検出できない偽陰性も懸念事項です。セキュリティチームは、AIシステムのパフォーマンスを定期的に評価し、偽陰性のリスクを最小限に抑えるために、その構成を調整する必要があります。