AIツールのサプライチェーンリスク

最新のAIツールを社内に導入する際、自社のセキュリティ対策が万全であっても、外部の委託先を経由してリスクが侵入する「サプライチェーン攻撃」への警戒が必要です。

最近の事例として、米Anthropic（アンソロピック）が企業向けに提供を始めた強力なサイバーセキュリティ用AIモデル「Mythos（ミトス）」に、権限のないオンライングループがアクセスしたという報告がありました。注目すべきは、Anthropicのシステムが直接破られたのではなく、同社と契約するサードパーティ（第三者ベンダー）の環境を通じてアクセス権が奪われたという点です。このツールは悪用されれば強力なハッキングツールにもなり得るため、提供先が厳格に管理されていましたが、想定外の経路から情報が漏洩してしまいました。

どんなに優れたAIツールであっても、運用に関わるパートナー企業の管理が甘ければ、機密情報や重要なシステムへの入り口を攻撃者に与えてしまいます。経営者は、AIツールの選定において機能面だけでなく、ベンダー側の情報管理体制も厳しくチェックする必要があります。自社での安全なAI活用を担保するためには、委託先を含めたエコシステム全体のガイドラインを整備することが求められます。