ちょき☆ぱたん　お気に入り紹介　(chokipatan.com)

第１部　本

　IT

AI・量子コンピュータにかかわるリスク管理（坂本静生）

『AI・量子コンピュータにかかわるリスク管理: セキュリティからガバナンスへ』2025/2/7
坂本 静生 (著), 宇根 正志 (著)

（感想）
　AIと量子コンピュータが当たり前になる、これからのITシステムのリスク管理について解説している本で、リスク管理を有効に機能させるための重要な考え方についても解説しています。主な内容は以下の通りです。
第1章　ITシステムにおけるリスクと新技術
第2章　量子コンピュータが暗号にもたらすリスク
第3章　AIの発展と規制
第4章　AIシステムにおけるリスク管理
これからのリスク管理とガバナンス
参考文献
索引
　　　＊
　今後、AIや量子コンピュータのもたらす技術革新にかかわるリスク管理能力の欠如は、あらゆる組織にとって致命的なウィークポイントになることが予想されますが、そのリスクを網羅的に洗い出すことは難しいのが実情です。また、それらのリスクにより生じる損害の大きさや、損害がどの程度の可能性で発生するのかも不明瞭であることが多く、従来からのプロジェクトごとでのリスク管理手法がうまく適用できません。そのようなリスクをうまく管理するために組織に必要となる、重要なITガバナンスについて知りたいと思って、本書を読んでみました。
「第1章　ITシステムにおけるリスクと新技術」では、量子超越性（計算処理の高速化）をもつ量子コンピュータの負の影響として、以下の２つが指摘されていました。
１）公開鍵暗号化が解読されるリスク
２）公開鍵暗号に基づく電子署名の偽造
　　　＊
　またAIのシステム開発時のリスクとしては、次の５つが指摘されています。
１）安定性のリスク（学習データが適切でない、運用中の自動修正で精度劣化、少量のノイズが加わっただけで変わる可能性あり、など）
２）セキュリティのリスク（学習データの漏洩など）
３）公平性のリスク（ジェンダーや人種などの偏見を取り込むなど）
４）説明可能性・透明性のリスク（説明可能性が低い）
５）プライバシーのリスク（AIの振る舞いでプライバシー侵害が発生する可能性あり）
　　　＊
　これらのリスクを軽減すべきではありますが、残念ながら、リスク軽減はコストや活動制限を及ぼすことが多いので、許容できるリスクのレベルを決めるのが現実的です。そして……
「（前略）リスク対策を実施した後も、環境の変化を継続的に観察し、そのリスク対策がきちんと機能しているかを確認し続ける必要があります。もしリスクが許容できるレベルを超えている、または超える可能性が予見される事態となれば、迅速にリスク対策の見直しに着手する必要があります。」
　……その通りですね。
　なおアメリカ連邦政府のITシステムのリスク管理フレームワーク（NISTリスク管理フレームワーク）によると、リスク管理には次の７つのステップがあるそうです。
１）準備：どのような状況を想定してリスク管理を行うか、管理の優先順位をどうするかなどを決定（組織体制の整備、システム属性の特定など）
２）分類：システムおよびシステムによって処理・保管・伝送される情報に関してリスク分析、分析結果に基づいてシステム分類
３）選択：リスク分析の結果に基づいて、リスクを許容できるレベルまでに軽減するためのリスク対策手法を選択
４）実装：選択したリスク手法の実装
５）検証：選択したリスク手法が正しく実装・運用されているか、望ましい結果かを検証
６）認可：リスク対策手法を採用してよいかを最終的に決定
７）監視：システムや運用環境の変化の記録・文書化、リスク対策手法の効果の評価、リスク評価と影響度分析の実施、リスク状況報告（継続的に実施）
　　　＊
　そして次のことも書いてありました。
「（前略）いくら対策を行っていたとしても、新技術の脅威の事象や脆弱性を完全になくしてしまうことは不可能です。したがって、「影響が及ぶ範囲をなるべく小さくする」というアプローチも重要です。
　例えば、新技術をシステムの一部として使用する場合は、新技術が影響を与える業務やサービスを制限するアプローチも考えられます。このとき、新技術を導入した当初は、それを限定した範囲で使用し、新技術の効果や欠点、脆弱性の有無を一定期間チェックすることが重要です。そして、有用性が高い、または脆弱性がないと判断された範囲に、新技術の適用を拡大するようにします。組織のユーザーが新技術の使用に慣れるまでの慣らし期間を設けるという観点からも有用なアプローチです。
　ただし、このアプローチには、新技術を活用するメリットを当初から十分に享受できないというデメリットがあります。また、新技術の適用範囲を順次拡大できるように、あらかじめシステムのリソースを十分に確保しておく必要もあります。」
　……これは、とても現実的なアプローチだと思います。
　さて量子コンピュータが暗号にもたらすリスクは、公開鍵暗号の解読や電子署名の偽造という致命的なもので、絶対に対応したいものですが、そもそも量子コンピュータ自体の実態がよく分からないので、どうしていいのか対応に困ってしまいますが、そのリスクが現実に発生するまでには、まだ少し期間があるようです。
「（前略）アメリカ連邦政府による見通しを信頼するのであれば、現時点では、CRQCといえる量子コンピュータが実現できるタイミングは2036年以降と考えられます。ただし、今後の開発動向などによって見通しは変化するため、量子コンピュータの開発動向に関する情報を継続して収集し、見通しを随時アップデートする必要があります。」
（※CRQC：ショアのアルゴリズムなどを用いて現実的な時間でRSA暗号などを解読する性能をもつ規模の大きな量子コンピュータ）
　……そして、この脅威が現実になる前にやっておくべきこととして、自分の組織が暗号化データや署名付きデータをどのように作成・使用・廃棄しているかを網羅的に把握するために、クリプトインベントリと呼ばれるデータベースを整備しておく必要性が書いてありました。なお、「クリプトインベントリとは、組織のシステムにおける暗号の使用状況や、暗号化や署名生成の対象となるデータの情報などを格納するデータベースのことです。」だそうです。
　また「第3章　AIの発展と規制」によると、トラストワージネスを持つAIを用いたシステムが備える特性には、次の７つがあるそうです。
１）妥当で信頼できること
２）安全であること
３）堅牢で強靭であること
４）説明責任と透明性があること
５）説明可能で解釈可能であること
６）プライバシーが強化されていること
７）有害なバイアスが管理され公平であること
（※トラストワージネス：リスク管理することで設計・開発から運用にわたって信頼できるシステム）
　　　＊
　この第3、4章からはAIの発展経緯やリスクに関する解説になるのですが……残念なことに解説がちょっと概念的で、具体的にどうすべきなのかが分かりにくく感じました。ただ、AIに関しては各国が関連法（案）などを出してくれているようなので、参考までに、その一部を紹介します。
１）EU
・「AI法（案）（2021年4月）」
・「改正製造物責任指令（案）（2022年9月）」、「AI責任指令（案）（2022年9月）」
２）アメリカ
・「AI権利章典の青写真」（2022年10月）
・NISTリスク管理フレームワーク（2023年1月）
３）日本
・「広島AIプロセス」（2023年12月）
・「AI事業者ガイドライン（第1.0版）」（2024年4月）
４）国際連合
・「すべての人に持続可能な開発のための、安全で安心なトラストワージネスをもつAIを用いたシステムの促進」に関する決議（2024年3月）
５）国際標準
・ISO/IEC JTCI/SC42（人工知能）における審議
　　　＊
『AI・量子コンピュータにかかわるリスク管理: セキュリティからガバナンスへ』……AI・量子コンピュータという重要な新技術のリスクにどう対処すべきなのかについて解説してくれる本で、参考になりました。みなさんも読んでみてください。
　　　＊　　　＊　　　＊
　なお社会や科学、IT関連の本は変化のスピードが速いので、購入する場合は、対象の本が最新版であることを確認してください。

Amazon商品リンク

興味のある方は、ここをクリックしてAmazonで実際の商品をご覧ください。（クリックすると商品ページが開くので、Amazonの商品を検索・購入できます。）