AIセキュリティとは？基本の対策や規制産業での生成AI活用ポイントを解説

生成AIを仕事で使う場面が、以前より身近になってきました。作業を早く進めたり、考えを整理したり、その便利さを実感している人も多いはずです。

一方で、入力した情報の扱われ方や、意図しない使われ方への不安も出てきています。

特に金融や医療、電力といった分野では、扱う情報の重要性が高く、決められたルールを守ることが欠かせません。

この記事では、AIを安心して使うための基本的な考え方と、規制の多い業界で生成AIを活用する際のポイントを紹介します。

AIセキュリティとは

企業でも、AIを業務に取り入れる動きが広がってきました。 資料作成や社内情報の整理など、日々の仕事で使われることが増えています。

総務省 「令和7年版 情報通信白書」の調査でも、日本企業の約50%が生成AIの活用を進める方針を出しています。

その一方で、情報の扱い方や不正な利用といった面で不安が残っています。

安心して使うためには、AIをどう守り、どう活かすかを整理して考える必要があります。

ここでは、AIセキュリティを考えるうえで知っておきたい二つの視点を見ていきます。

• AI自体を保護する「Security for AI」

• AIを活用してセキュリティ対策する「AI for Security」

AI自体を保護する「Security for AI」

AIを安心して使うには、「AIそのものをきちんと守れているか」という視点が欠かせません。これが「Security for AI」と呼ばれる考え方です。

参考：総務省 「今後重点的に取り組むべき研究開発課題について」

AIは、学習したデータが書き換えられたり、偏った情報が混ざったりすると、意図しない判断につながることがあります。入力や出力を通じて、社内情報や個人情報など外部に流出してしまう可能性もあります。

実際の事例として、Apple Cardでは、収入状況に大差がない夫婦なのに、夫と妻の与信枠に約10倍もの差がついてしまい、性別による不公平な判断ではないかと問題になりました。 原因としては、与信判断に使われていたアルゴリズムや学習データに偏りがあった可能性があります。

学習データや判断に偏りがないかを定期的に検証し、なぜその判断になったのかを明らかにする仕組みが必要でした。

また、サムスン社の社員がChatGPTを利用し、社内の機密情報やソースコードをそのまま入力してしまうケースもありました。

生成AIの仕組みやリスクに対する理解が十分でなく、外部サービスに入力した情報がどう扱われるかという意識が社内で共有されていなかったことが原因と考えられます。

AI利用に関する社内ルールの整備に加え、機密情報を入力できないようにする仕組みが必要でした。

AIを活用してセキュリティ対策する「AI for Security」

もう一つ大切なのが、「AIを使ってセキュリティ対策を支える」という考え方です。これは「AI for Security」と呼ばれています。

参考：総務省 「今後重点的に取り組むべき研究開発課題について」

最近のサイバー攻撃は手口が複雑になり、人の目や決まりきったルールだけでは気づきにくい場面が増えています。

大量のログや通信の中に小さな異変が紛れ込むため、見逃してしまうことも少なくありません。

実際の事例として、株式会社日水コンではコーポレートサイトが不正アクセスを受け、約7年分の問い合わせフォームの情報が流出した可能性があると発表しました。

Webサイトへのアクセスや通信の中には、通常とは異なる動きが含まれていた可能性がありましたが、そうした動きを早い段階で捉えられなかったことが原因と考えられます。

そのため、アクセスログや通信データをAIで継続的に分析し、普段とは異なる動きをできる限り早く見つけられる仕組みを取り入れること必要でした。

AIセキュリティの対策例

これまで見てきたように、AIの判断や利用方法によっては、情報漏えいや不適切な回答につながる可能性があります。

こうしたリスクを防ぐためには、入力データの管理や利用ルールの整備などを行い、AIを前提としたセキュリティ対策を具体的に進めていく必要があります。

• セキュアな環境での生成AI利用

• 入出力の制限による公平性の担保

• AIを用いたサイバー攻撃への対策

セキュアな環境での生成AI利用

業務で生成AIを使う場合、データをどの環境で扱うかはとても大切です。

外部と常につながるクラウド型の生成AIでは、入力した情報が社外のサービスに送信されるため、機密情報の取り扱いに不安が残ることもあります。

実際にサムスン社では、社員がクラウド上の生成AIであるChatGPTを利用し、業務の中で社内の機密情報やソースコードをそのまま入力してしまうケースがありました。外部サービスに情報が送信されるという特性を十分に意識できていなかったことが、リスクを高める要因になったと考えられます。

もし、社内ネットワーク内に限定したローカル環境で生成AIを利用していれば、機密情報が外部に送信されることはなく、このような問題は防げた可能性があります。そのため現在では、データを社外に出さずに扱える環境で生成AIを活用したいと考える企業が増えています。

こうした考え方に対応しているのが、株式会社Athena Technologies（以下、Athena社）が提供するAthena Platformです。

閉じたネットワーク内でAIを利用できる仕組みを備えており、データを外に出さずに活用できます。

Athena Platformのサービスページはこちら

入出力の制限による公平性の担保

生成AIの回答は、どのような情報を入力するかによって大きく変わります。

入力内容に偏りや特定の属性に影響を与える情報が含まれると、意図せず不公平な判断につながることもあります。そのため、AIに渡す情報と、AIから返ってくる内容の両方を管理することが重要です。

実際の事例として、Apple Cardでは、収入状況に大きな差がない夫婦であるにもかかわらず、夫と妻の与信枠に約10倍もの差が生じ、性別による不公平な判断ではないかと問題になりました。

これは、与信判断に使われていたアルゴリズムや学習データに偏りが含まれており、どのような情報が判断に使われ、どのような結果が出力されているのかを十分にチェックできていなかったことが原因と考えられます。

入力時に性別など不公平につながりやすい情報や偏りの原因となる内容を事前に検知し、AI回答時に不公平な結果が出ていないかを確認する仕組みがあれば、このような問題は防げた可能性があります。

そこでAthena Platformでは、不適切な質問や個人情報を自動で検知し、ブロックする仕組みを備えています。

入出力をコントロールすることで、公平さを保ちながら、安心して業務に活用できる環境を整えられます。

AIを用いたサイバー攻撃への対策

最近では、サイバー攻撃する側もAIを使うようになり、対策が追いつきにくい場面が増えています。そのため、守る側もAIを取り入れて、日々の通信やログを自動で確認する仕組みが求められています。

実際の事例として、株式会社日水コンでは、コーポレートサイトが不正アクセスを受け、問い合わせフォーム経由で送信された個人情報など、約7年分の情報が流出した可能性があると公表されました。 アクセスや通信の中に通常とは異なる動きがあった可能性はあるものの、早い段階で気づくことができなかったことが、被害につながった原因と考えられます。

もし、アクセスログや通信データをAIで継続的に分析し、いつもと違う動きや不自然なアクセスを自動で検知できていれば、異常に早く気づき、被害を最小限に抑えられた可能性があります。

AIがシステムの挙動やログを常に見守り、異常があれば即座に検知・通知する仕組みを整えることで、人の目だけでは見逃しやすい小さな変化にも対応できます。

業界ごとに異なるAIセキュリティの法規制

生成AIはさまざまな業界で使われ始めていますが、規制の多い分野では導入が進みにくい状況となっています。

金融や医療、電力の分野では、扱う情報の重要性が高いため、ルールが細かく定められています。

その影響により、一般的な生成AIをそのまま業務に使うのが難しい場面も少なくありません。

• 業界ごとの生成AI推進度

• 規制産業における厳格な法規制

業界ごとの生成AI推進度

生成AIは、ITやサービス、通信などの分野を中心に広がっており、仕事の手間を減らしたり、顧客対応を自動化する使い方が進んでいます。データの扱いに制限が少ない業界では、実際の活用例も増えてきました。

一方で、金融や医療、電力の分野では、機密性の高い情報を扱うことが多く、ルールの厳しさから導入が慎重になりがちです。こうした違いは、業界ごとの環境や法規制によるものです。

規制産業における厳格な法規制

規制の多い業界でAIの導入が進みにくい背景には、守るべきルールが多いことがあります。

金融分野では、外部サービスを使う際の情報管理や説明責任が重視されており、AIに入力するデータや出力結果の扱いにも慎重さが求められます。

医療分野では、患者の情報など特に重要なデータを扱うため、安全性や責任の所在を明確にする必要があります。

電力分野でも、社会インフラを支える立場から、安定した運用やセキュリティ対策が欠かせません。

業界ごとに定められたルールがあるため、AIを慎重に使わざるを得ない状況となっています。

セキュアな生成AIの活用の実現には「Athena Platform」

規制の多い業界では、守るべきルールや責任が多く、生成AIの導入に踏み切れずにいる状況です。使いたい思いはあっても、対応すべきポイントが多い点が不安につながっています。

そこで、Athena社が提供するAthena Platformは、セキュリティ・可用性・ガバナンスを前提に設計されており、無理なく生成AIを業務に取り入れられます。

• セキュリティ：閉域環境での安全なデータ活用

• 可用性：業務を止めない安定した運用基盤

• ガバナンス：入出力管理と説明責任への対応

セキュリティ：閉域環境での安全なデータ活用

Athena Platformは、生成AIを閉じたネットワークで使う仕組みとなっています。

業務データが外に出にくい構成のため、機密情報を扱う場面でも安心して生成AIを使えます。

データの外部流出を防止したうえで管理できるので、規制の厳しい業界でも、求められるセキュリティ水準を保ちながらAI活用を進められます。

可用性：業務を止めない安定した運用基盤

Athena Platformは、金融や医療といった分野で求められる止まらないシステム運用を前提に設計されています。

トラブルが起きた場合でも影響を抑えられる構成を備えており、日々の業務にAIを取り入れる際も、止まってしまう不安がなく活用できます。

ガバナンス：入出力管理と説明責任への対応

Athena Platformでは、入力や出力をあらかじめ管理する仕組みが用意されており、想定外の使い方や情報漏洩を防ぎやすくなっています。

こうした管理があることで、安心して業務に取り入れやすくなります。

また、利用状況を追跡できるため、説明が求められる場面でも対応しやすくなります。

AIの使い方をしっかりと把握できる体制が整っていることは、規制の多い業界で生成AIを活用していくうえで、大事なポイントになります。

このように Athena Platformは、規制の多い業界で求められる3つの要件をバランスよく満たすことで、安全に生成AIを使える環境を整えています。

法規制を意識しながらも、現場で無理なく使える生成AIの環境を探している企業にとって、有効なソリューションとなります。

Athena Platformの詳細は以下よりご覧いただけます。

Athena Platformのサービスページはこちら