カジノサイト
EU 委員会が高度な汎用 AI プロバイダーのセキュリティ要件をリリース
欧州委員会は木曜日、そのモデルを域内で利用できるようにする汎用人工知能 (AI) プロバイダーに対する新しい潜在的な要件とセキュリティ義務を発表しました。
その次の事項に準拠する方法について業界にガイダンスを提供します。EU の AI 法汎用 AI 要件。 EU の AI 事務局と理事会は現在コードを評価しており、8 月 2 日までに承認される可能性があります。
この委員会は、Google、Microsoft、OpenAI などの最先端の汎用 AI プロバイダーを規制することに重点を置いています。なぜなら、これらのプロバイダーは EU 内の他の多くの AI システムを支えているからです。
「一部の汎用 AI モデルは、化学兵器や生物兵器の開発の障壁を下げるなど、基本的権利や安全に対するリスク、あるいはモデルの制御不能に関連するリスクなど、体系的なリスクを伴う可能性があります。」a委員会から。 「AI 法では、モデルプロバイダーがこれらのシステムリスクを評価し、軽減することが義務付けられています。」
コードは次のもので構成されています—透明性、著作権、安全性とセキュリティ—最先端の汎用モデルのプロバイダーに適用されます。
安全性とセキュリティの章には、サイバーおよび物理的セキュリティ、インサイダー リスク、企業セキュリティ リスク管理に対処する義務など、システム的なリスク管理の重要な要件が含まれています。
セキュリティ対策
このコードでは、プロバイダーが、無許可のリリース、アクセス、盗難を防ぐために、モデルのライフサイクル全体にわたって物理インフラストラクチャとモデルに「適切なレベルのサイバーセキュリティ」保護を実装することを要求しています。
不正アクセスを防止する適切なセキュリティ緩和策には次のものが含まれます:
- デバイスとアカウントの共有を制限する強力な ID とアクセス管理の実践
- 多要素認証
- 強力なパスワードの強制
- 強力なアクセス管理ツール
- ゼロトラスト アーキテクチャ
- 有線ネットワークと同じ規格に準拠した無線ネットワークの保護
- 業務ネットワークからのゲスト ネットワークの分離
プロバイダーは、不審な添付ファイル、リンク、フィッシングの試みについてメールをフィルタリングすることにより、ソーシャル エンジニアリングのリスクを軽減することも求められます。リムーバブル メディアにポリシーを作成することで、マルウェア感染やポータブル デバイスの悪意のある使用のリスクを軽減します。ソフトウェアを定期的に更新してパッチを適用することで、脆弱性の悪用や悪意のあるコードの実行のリスクを軽減します。
このコードは、モデル パラメーターが保存されているすべてのデバイスと場所の安全な内部レジストリの作成、管理されていないデバイスへのモデル パラメーターの不正コピーの防止、輸送中、保存中、および一時保管中のモデル パラメーターへの不正アクセスの防止など、未リリースのモデルを保護するための要件を指定しています。
コードによると、プロバイダーはまた、「データセンターやその他の機密作業環境への物理的アクセスを必要な担当者のみに制限すること、およびそのようなサイトで権限のない担当者やデバイスがないか定期的に検査することにより、モデル パラメーターをホストするシステムへの不正な物理的アクセス」を防止する必要があります。
プロバイダーは、セキュリティ軽減策の対象となる脅威アクターを指定する必要があります。内部関係者の脅威。これらの高リスクの攻撃者に対して、コードは 4 つの要件を示しています。
- 未リリースのモデル パラメータまたはその管理システムへの読み取りまたは書き込みアクセス権を持っている、または合理的に取得する可能性がある従業員および請負業者に対して身元調査を実施する
- 内部関係者による脅威の認識と報告に関するトレーニングを提供する
- 自己漏洩のリスクを軽減するために、モデルの周囲にサンドボックス (隔離されたテスト環境) を作成します
- 改ざんの兆候がないかトレーニング データを確認する
このコードは、上記のセキュリティ対策が意図したとおりに機能することを保証するために、プロバイダーに対するセキュリティ保証要件をさらに規定しています。これには、体系的なリスクを軽減するために定期的に独立した外部セキュリティ レビューを実施すること、ネットワークと物理的なアクセス管理を検証すること、および頻繁にセキュリティ ギャップを特定することが含まれます。レッドチーム、競争力のあるバグ報奨金プログラムを通じてネットワーク ソフトウェアの整合性を検証します。
さらに、プロバイダーは、職員の完全性テストを実施することで、内部関係者の脅威のセキュリティ軽減を検証する義務を負っています。安全な通信チャネルを通じて第三者によるセキュリティ問題の報告を容易にする。エンドポイント検出および応答または侵入検出システムを使用して、不審または悪意のあるアクティビティを検出します。セキュリティ チームを利用してエンドポイントの検出と応答アラートを監視し、対応します。
リスク管理
コードに基づいて、プロバイダーはモデルからのシステミック リスクに対処するために、複数のレベルでリスク責任を割り当てる必要があります。ガバナンス構造には、次の 5 つのレベルでの監督責任の作成が含まれます。
- 監督機能を有する管理機関、または評議会や理事会などの別の独立した機関
- 執行機能における管理団体
- 関連する運用チーム
- 可能な場合は、内部監査人などの内部保証提供者
- 可能な場合は、第三者監査人などの外部保証プロバイダー
また、この規定では、リスク管理者に責任を遂行するための人的、財務的、情報と知識へのアクセス、計算上のリソースを提供することも求めています。
さらに、規定によると、プロバイダーは健全なリスク文化を促進し、リスク管理者が「システミック リスクに対して合理的かつバランスの取れたアプローチ」を確実に講じるようにする必要があります。
委員会には、健全なリスク文化が実際にどのようなものであるかを示す例が含まれています。たとえば、上層部から雰囲気を設定し、インセンティブを作成し、スタッフに自主性を与えて過度のシステミックリスクテイクを抑制する一方で、モデルからシステミックリスクの公平な評価を奨励し、作成する内部報告チャネル適切に使用され、適切に対応されています。
前進
コードの最終バージョンの公開は、安全性と透明性を維持しながら高度な AI モデルをヨーロッパで利用できるようにするための重要なステップであると、技術主権、セキュリティ、民主主義を担当する欧州委員会の執行副委員長であるヘナ ヴィルクネン氏は次のように述べています。
「AI 関係者によって共同設計されたコードは、彼らのニーズに合わせています」と Virkkunen 氏は付け加えました。 「したがって、私はすべての汎用 AI モデル プロバイダーにこの規範を遵守するよう勧めます。そうすることで、EU の AI 法を遵守するための明確で協力的なルートが確保されます。」
このコードは 2025 年 8 月 2 日に適用されますが、既存のモデルには 2026 年 8 月 2 日まで、将来のモデルには 2027 年 8 月 2 日まで施行されません。委員会は、施行日前に汎用 AI に関する追加ガイドラインをリリースする予定であると述べました。
そうでした2025 年 8 月 2 日の期限を自発的に遵守する汎用 AI プロバイダーはどれですか。ただし、EU AI 法に準拠しない場合は、市場からのモデルのリコール要件や、世界の年間売上高の 3% または 1,500 万ユーロのいずれか高い方の罰金を含む、厳しい罰則が科せられます。
