KPMGジャパンは10月3日、企業のAIガバナンス構築とサイバーセキュリティ対策強化の一環として、AIセキュリティのためのレッドチームサービスを提供すると発表した。
レッドチーミングは、攻撃者がどのようにAIシステムを攻撃するかという観点で対応体制と対策の有効性を確認する評価手法で、攻撃者の目線で対象AIシステムにおける弱点や対策の不備(脆弱性)を発見し、それらを修正及び堅牢化することで、安全性や信頼性等を維持または向上させる。攻撃を計画・実行する者を「レッドチーム」として組成し、攻撃を受けて対応する防御側のチームに分かれて演習を行う。
同サービスでは、サイバーセキュリティの専門性を有するAIレッドチームを組成し、想定する攻撃者のプロファイルを特定し、攻撃シナリオの策定、想定するネットワークや防御策に照らした攻撃手法の準備、AIシステムに対する疑似攻撃などを実施する。
演習実施後は、振り返りと改善提案として、監視及びインシデント対応の評価、その他発見事項・改善点等に対するディスカッション、体制強化や新たな防御策導入に向けた報告書の提出など、プランニングから実施後のレポーティングまで総合的に支援する。
