｢AI時代のセキュリティ｣を担う人材､需要高まる"2つのタイプ" 《サイバー攻撃の自律化》への対抗に必要な｢社内人材の育成｣は何をしたらいい？

リスク管理の視点を持つ人材は、AI導入時に「このAIはどのデータを学習し、何を前提としているのか」「学習データに悪意ある情報が混入するリスクはないか」といった問いを立てることができます。また、プロンプトインジェクション（外部からの悪意ある指示）でAIの挙動が変えられる恐れや、自社の機密情報が学習に使われてしまうリスクなども考慮します。

「AIそのものを安全に使う」ために考慮すべきポイントをまとめたフレームワークとしては、NIST（米国立標準技術研究所）の「AI Risk Management Framework」が一般公開されています。また、AIを使ううえで考慮すべき人権や倫理観などについては、インターポール（国際刑事警察機構）とUNICRI（国連地域間犯罪司法研究所）が「Responsible AI Innovation」に論点をまとめています。

このような体系的にまとめられた文書を参考にしながら、自社における「AIを安全に使うには」を考えられる人材の確保が、企業には必須となっていくでしょう。現状ではリスク管理の視点をしっかりと持ちながらAIの導入を進めている企業は決して多くない印象です。

AIを使ううえでのリスクの全容とその対策方法が明確になっていない現状で、「リスクを恐れて利用を促進しない」という考え方と、「ある程度リスクを取ってでもAIの利便性活用を優先する」という考え方があります。

筆者が日常的に議論する機会のある金融機関や製造業、IT系企業の多くは、利便性のためには多少のリスクを取るという割り切りを持っている点が共通していると思います。AIを使いこなすことで大きなメリットが得られる現在においては、多少リスクを取ってでも利便性を優先しなければ時代に取り残され続けてしまうでしょう。

企業はいかにして人材を確保・育成すべきか

AIの分野はまだまだ発展途上で、リスク管理の視点でも成熟しているとは言えませんので、「完成されたAIセキュリティ人材」を外部から採用するのは極めて困難です。従って、経営者がとるべき現実的な戦略は「社内人材の転換」となります。

AIを使える人材を育てるために最も効果的なのは、座学の研修よりも「安全に失敗できる環境（サンドボックス）」の提供です。多くの企業では情報漏洩を恐れてAI利用を一律禁止していますが、それではいつまでたっても人材は育ちません。逆にリスクを無視してAI利用を全面解放している企業もありますが、AIを利用するリスクの全容が明らかになっていない現時点の状況では、ハイリスクな選択と言えるでしょう。

リスキリングの具体的な進め方ですが、まずはAIの仕組みとリスクを教育すること。例えば、ある金融機関では、毎月1回、全社員向けにAIの最新情報を学ばせる講座を受けさせているそうです。