業界団体がNISTに提言：アジェンティックAIの基準は柔軟で任意のもので

業界は、セキュリティガイドラインがこの分野の未熟さと多様性を反映するべきだとNISTに述べた。

NISTのAI標準と革新センターは、AI企業とその顧客がエージェントを改ざんや悪用から保護するための方法を探求している。このプロジェクトの一環として、NISTは月曜日の夜までに公募意見を募った。

930以上の組織と個人が意見を提出したとドッキングによると、その中にはアメリカンバンカーズ協会やテクノロジー業界の巨大企業TechNetなど、強力な業界団体も含まれている。

業界団体からの提言

業界団体は、NISTに対して公開実装の出版、セキュリティを設計に組み込む原則の強調、エージェントの検証を管理するための研究の支援、新しいガイドラインを既存のNIST出版物にマッピングするなど、多岐にわたる提言を行った。

「協力的で反復的なアプローチが、実用的なガイドライン、実世界でのテスト、既存のリスク管理フレームワークとの連携を重視することで、AIエージェントを安全に展開し、スケーラビリティを確保し、この新興技術の経済的および社会的利益を最大限に引き出すことを可能にする」とTechNetは述べた。

エージェントの独自のリスク

NISTは、コメントを求める際に、AIエージェントに固有のセキュリティリスクとそれらのリスクを軽減する方法についても質問した。

BSAは、エージェントの独自の脅威として、実世界のアクションを必要とする自律的な行動、異なるツール間での切り替えによる「静的ポリシーエンフォースメント」の困難さ、情報の長期的な保持によるハッカーによる乗っ取りの可能性、そして「非決定論的行動」による「ルールベースのセキュリティコントロール」の困難さを挙げた。

これらの課題に対処するため、BSAは企業がAIエージェントに対する完全な可視性を確立し、権限のカタログを作成し、エージェントの活動を支えるAIコードのサプライチェーンを検証し、リアルタイムで行動を監視することを提言した。

規制への慎重な姿勢

NISTは規制機関ではないが、トランプ政権はAIセキュリティの規制に強い反対を示した。

業界団体は、過度な規則がイノベーションを遅らせる可能性があると繰り返し指摘した。

「規制の目的は、イノベーションを遅らせることなく、これらのリスクを軽減し管理することである」とTechNetは述べた。

「技術中立で任意のガイドラインに焦点を当て、リスクと運用の文脈に合わせてカスタマイズ可能な具体的な例と検証アプローチを提供することで、業界の採用を促進し、統合計画とリスクに基づいたレビューを支援することができる」と金融サービス団体は述べた。

政府の助言と研究の必要性

業界団体は、政府が開発者たちがまだ解決していない問題に対する業界の助言と研究支援を提供することの重要性を強調した。

BSAは、AIエージェントのアイデンティティを確認する方法や、エージェントが許可されていることを文書化するための「暗号化のチェーンオブカスタディ」の使用を研究することを提言した。

また、金融業界向けのガイドラインを提供することや、既存の出版物にエージェント固有のガイドラインを統合することも求めた。

「過度に堅固または早期の規制は、この分野が最適な技術を特定する前に、セキュリティアプローチを固定してしまう可能性がある」とTechNetは警告した。

---

元記事: https://www.cybersecuritydive.com/news/ai-agents-security-nist-industry-feedback/814434/