生成AIとセキュリティの関係は、実は一筋縄ではいきません。AIは攻撃から「守るべき対象」であると同時に、攻撃者にとっての「道具」にもなり、さらに「防御の味方」にもなるからです。この記事では、生成AI時代のセキュリティを3つの顔に整理して、全体像をつかめるように解説します。

📖 ひと言でいうと

セキュリティとは、システムや情報を、攻撃・不正アクセス・漏えいなどの脅威から守ることです。生成AIの文脈では、AIシステム自体を守ること、AIを悪用した攻撃に備えること、AI利用に伴う情報漏えいを防ぐことのすべてが含まれます。

町の治安にたとえてみましょう。生成AIという新しい施設が町にできたとき、考えることは3つあります。①その施設自体が泥棒に狙われないか(AIへの攻撃)、②その施設の道具が悪人に使われないか(AIを使った攻撃)、③施設の利用者がうっかり貴重品を落とさないか(利用時の情報漏えい)。生成AIのセキュリティは、この3つを同時に考える必要があるのが特徴です。

🖼 1枚でわかるセキュリティ

セキュリティ — 生成AIの「3つの顔」で考える
  • 顔1: 攻撃される対象としてのAI — 敵対的プロンプト・学習データ汚染など
  • 顔2: 攻撃の道具にされるAI — 巧妙な詐欺文面や偽動画の作成支援(悪用)
  • 顔3: 利用に伴う漏えいリスク — 入力情報の流出・出力経由の情報露出
  • 攻撃の入口が「自然言語」に広がった — プログラムの穴だけでなく言葉が武器になる
  • 防御は多層で — 技術対策+利用ルール+人の教育の組み合わせが基本
つくもち屋「生成AI入門」SUMMARY

🔍 しっかり理解する

従来のセキュリティと何が違うのか

コンピュータのセキュリティは昔から、「プログラムの欠陥(脆弱性)を突かれないようにする」「パスワードや暗号で守る」といった形で発展してきました。生成AIの登場で大きく変わったのは、攻撃の入口に「自然言語」が加わったことです。

従来のシステムは、決められた形式の命令しか受け付けないため、攻撃にも専門技術が必要でした。ところが生成AIは、人間の言葉をそのまま理解して動くのが売りです。これは便利さの裏返しとして、「巧みな言葉」そのものが攻撃手段になり得ることを意味します。たとえば、指示文を工夫してAIの制限を回避しようとする敵対的プロンプト(詳細は別ページで扱います)は、プログラミング知識がなくても試せてしまいます。「言葉が通じる」ことと「言葉でだまされ得る」ことは表裏一体なのです。

また、AIの答えは確率的で毎回変わり得るため、「このテストに合格したから安全」と言い切りにくいという難しさもあります。従来の「穴をふさげば終わり」という発想ではなく、リスクを減らしながら運用し続ける発想が必要になります。両者の違いを整理しておきましょう。

🅰 従来のセキュリティ
  • 攻撃の入口は主にプログラムの欠陥(脆弱性)
  • 攻撃には専門的な技術が必要
  • システムの動作は決定的で、テストで検証しやすい
  • 「穴を見つけてふさぐ」対応が中心
🅱 生成AI時代のセキュリティ
  • 攻撃の入口に「自然言語」が加わる
  • 言葉の工夫で攻撃でき、敷居が低い
  • 出力が確率的で「合格=安全」と言い切れない
  • リスクを減らしつつ監視・改善を続ける運用が前提

3つの顔①: 攻撃される対象としてのAI

AIシステム自体が標的になるパターンです。代表的な脅威を整理します。

脅威 内容
敵対的プロンプト 巧妙な指示文でAIの制限を回避させ、不適切な出力や情報漏えいを引き起こす
学習データの汚染 学習に使われるデータに悪意ある内容を混入させ、AIの振る舞いをゆがめる
出力経由の情報露出 AIの応答から、内部の設定(システムプロンプト)や学習データの断片を引き出す
連携システムの悪用 AIが外部ツールやデータベースと連携している場合、AIをだまして本来できない操作をさせる

特に最後の「連携システムの悪用」は重要です。AIが単なるチャット相手ではなく、メール送信・ファイル操作・購入手続きなどの実行力を持つようになるほど(AIエージェント化)、AIがだまされたときの被害は「変な文章を出す」では済まなくなります。だからこそ、AIに与える権限を必要最小限にする設計が重視されています。

3つの顔②: 攻撃の道具にされるAI

次は、攻撃者側が生成AIを利用するパターンです。自然な文章を量産できる能力は、残念ながら詐欺メールやなりすましメッセージの「品質向上」にも使えてしまいます。かつては不自然な日本語で見抜けたフィッシングメール(ひと言でいうと、本物のふりをして情報を盗み取るだましメール)が、流ちょうな文章で届くようになれば、見分けはずっと難しくなります。偽動画・偽音声によるなりすましも同様です。この面の詳細は「悪用」のページで扱いますが、セキュリティの観点で大事なのは、攻撃の敷居が下がり、量と質が上がるという構造変化を理解しておくことです。守る側は「不自然さで見抜く」から「送信元や手続きの正当性を確認する」へと、防御の軸足を移す必要があります。

3つの顔③: 利用に伴う情報漏えいリスク

最後は、攻撃者がいなくても起こるリスクです。利用者が機密情報や個人情報を入力してしまい、それがサービス側に渡る・学習に使われる・障害で流出する、といった経路です(プライバシーのページで詳述)。企業にとっては、従業員が業務情報を私用のAIサービスに入力してしまう「野良利用(シャドーIT)」も悩みの種です。禁止するだけでは隠れて使われるため、安全な公式環境を用意した上でルールを整備する、という現実的な落としどころが広まっています。

防御の基本: 多層防御

これら3つの顔に対して、単独の決定打はありません。実務では、①技術対策(入力・出力のフィルタリング、権限の最小化、監視・記録)、②ルール対策(入力してよい情報の基準、利用ガイドライン、事故時の報告手順)、③人の対策(教育・訓練、疑わしい出力を確認する習慣)を重ねる多層防御が基本です。城の守りが堀・城壁・見張りの組み合わせで成り立つように、どれか1枚が破られても次の層で食い止める発想です。

💡 具体例で考える

ある中堅企業の情報システム部門で、社内文書に答えてくれるAIチャットを導入する計画が進んでいました。担当のGさんは便利さに胸を躍らせつつ、セキュリティ観点で3つの問いを立てます。「①このAIは外部からの巧妙な質問で社外秘文書の内容を漏らさないか?」「②アクセス権限のない社員が、AI経由でなら閲覧禁止文書の内容を聞き出せてしまわないか?」「③利用ログは記録され、問題発生時に追跡できるか?」。検討の結果、AIが参照できる文書を利用者本人の閲覧権限と連動させ、応答ログを保存し、機密度の高い文書はそもそもAIの参照対象から外す設計にしました。「AIに何でも読ませれば便利」ではなく「AIに渡す情報と権限を絞る」のが安全設計の勘所です。

もう1つ、個人の例です。Hさんのもとに、取引先の社長を名乗る音声メッセージで至急の送金を求める連絡が届きました。声はそっくりでしたが、Hさんは「音声や文章は本物そっくりに作れる時代」という知識があったため、あらかじめ決めてあった別経路(会社の代表番号への折り返し)で確認し、なりすましだと判明しました。防いだのは高度な技術ではなく、「別経路で確認する」という手続きの力です。

⚠️ よくある誤解・つまずきポイント

💡 ポイント
  • 誤解:「セキュリティはAIを攻撃から守る話だけだ」→ 正しくは、AIが攻撃の道具になる面、利用時の情報漏えいの面を含めた3つの顔で考える必要があります。
  • 誤解:「攻撃には高度なプログラミング技術が必要だ」→ 正しくは、生成AIでは自然言語の工夫が攻撃手段になり得るため、攻撃の敷居はむしろ下がっています。
  • 誤解:「一度安全性テストに合格したAIはずっと安全だ」→ 正しくは、出力は確率的で、新しい攻撃手法も次々に現れるため、監視と改善を続ける運用が前提です。
  • 誤解:「社員の私的なAI利用は禁止すれば解決する」→ 正しくは、禁止だけでは隠れた利用(シャドーIT)を招きがちです。安全な公式環境とルールの整備がセットで必要です。

📝 生成AIテストではこう出る

💡 ポイント
  • 「生成AIに関するセキュリティリスクとして適切なものをすべて選べ」の形式で、攻撃対象・攻撃道具・情報漏えいの3側面が選択肢に散りばめられる問題が想定されます
  • 「AIを外部ツールと連携させる際の対策」として「権限を必要最小限にする」を選ばせる問題が考えられます
  • フィッシングメールの巧妙化など、生成AIが攻撃の質と量を引き上げるという構造変化の理解を問う出題に注意しましょう
  • セキュリティ(守る仕組み全般)と、敵対的プロンプト(具体的な攻撃手法)の粒度の違いを整理しておくと、選択肢の切り分けがしやすくなります

📚 まとめ

💡 ポイント
  • セキュリティとは、システムや情報を脅威から守ることで、生成AIでは「攻撃される対象」「攻撃の道具」「利用時の漏えい」の3つの顔で考えます
  • 生成AIの登場により、自然言語そのものが攻撃の入口になり、攻撃の敷居が下がりました
  • AIが外部ツールと連携し実行力を持つほど、だまされたときの被害が大きくなるため、権限の最小化が重要です
  • 防御に決定打はなく、技術・ルール・人の教育を重ねる多層防御と、継続的な監視・改善が基本姿勢です