AIツールのサプライチェーンリスク

最新のAIツールを社内に導入する際、自社のセキュリティ対策が万全であっても、外部の委託先を経由してリスクが侵入する「サプライチェーン攻撃」への警戒が必要です。

最近の事例として、米Anthropic（アンソロピック）が企業向けに提供を始めた強力なサイバーセキュリティ用AIモデル「Mythos（ミトス）」に、権限のないオンライングループがアクセスしたという報告がありました。注目すべきは、Anthropicのシステムが直接破られたのではなく、同社と契約するサードパーティ（第三者ベンダー）の環境を通じてアクセス権が奪われたという点です。このツールは悪用されれば強力なハッキングツールにもなり得るため、提供先が限定されていましたが、想定外の経路から漏洩の危機にさらされました。

どんなに優れたAIツールであっても、運用に関わるパートナー企業の管理が甘ければ、機密情報や重要なシステムへの入り口を攻撃者に与えてしまいます。経営者は、AIツールの選定において機能面だけでなく、ベンダー側の情報管理体制も厳しくチェックし、エコシステム全体の安全性を確保するルールづくりが求められます。