こんにちは!そうわ経営パートナーの尾形です。
前回に続いてゲーム作ってみましたのでご笑覧ください。
『サラリーマンクエストⅡ〜賃上げの神々〜』
先日、ドラゴンクエスト12の制作状況が発表されました。当初12は大人向けのダークファンタジーにすると発表されてました(5年前)が、まったくコンセプト変えて1からやり直していて発売未定だそうです、、、、もちろんドラクエは国民的大作なので時間がかかるのは当然ですが、AI使ってもっと早くリリースして欲しい、、、、
さて今回はAI時代とても気になる漏洩事故。漏れて困るのは個人情報だけではありません。では行ってみましょう!
1.えっ、4時間で110万円?
私がSNSで親しくさせていただいている士業先生がこんな投稿をしました。
「110万の不正利用事故から満額クレジット調整まで〜1ヵ月の記録」
ダイジェストこんな感じです。
・普段は1日500円から3,000円程度のAI利用料
・ある日、一気に110万円利用の通知😨ぜったい不正利用だ
・慌てて停止
・Googleに事情説明
・なんとか返金(お金ではなく今後のAI利用料110万円分相殺)
AI利用形態には、月額3,000円程度のサブスク型と、使った分だけかかる従量課金型があります。外部向けのサービスはこの従量課金型にする必要があります。例えばHPにおくチャットボットなどは不特定多数がいくら使うかわからないので従量課金にする必要がある。
ざっくりこんな感じです。他にも書類読み込みの自動化組んだ場合などもよく使われます。
その従量課金のためのパスワード(APIキー)が何かの拍子に漏れてしまい、悪意ある部外者が短時間で利用しまくった、というのが経緯です(分かりやすくするため色々省いています)。
ちなみにこの先生、とてもITにお詳しく、自社でアプリも開発されています。
私にしてみると「えっ!〇〇さんでも事故っちゃうのか😨」が正直なところです。
奇跡的なリカバリー力で最小の被害で済みましたが、もう少し対応遅ければ何倍にも被害は広がっていたと語られています。
2.実はたくさん起きてるAPI漏洩事故
このAPIキー漏洩の事故は、最近でも頻発しています。
・社員がAIエージェントを一晩中自動運転させて750万円
・広告運用代行をしている会社がキーを漏らして1000万円以上の被害
・中国のゲームメーカーがAPIキー漏洩で5億円の被害
漏洩原因は、GitHubと言われるクラウドサービス(便利)に、誤ってAPIキーを書き込んでしまったケースが多いです。じゃあ書き込むなよ、という話なのですが、AIに自動化を何もかも任せてしまうと、うっかり人間が承認押してUPしてしまうことがあります。
これを防止するためにセキュリティ設定を入れておいたり(いま話題のハーネスエンジニアリングですね)、予め従量課金の上限を設定しておく、そもそも従量課金のかからない仕組みをつくる、などいろんな予防手段があります。
それでもマネーフォワードのようなITつよつよ企業が情報漏洩したり、GitHubの運営会社自体も漏洩しちゃったりしているのが現状です。対策の難しさを表してますね。セキュリティガチガチにすると不便だし、しても人間が解除押しちゃうと意味ないわけで(^_^;)
3.やっぱりIT・AIリテラシーの向上しかない
これら一連の事故を通して痛感するのは、
「セキュリティ設定は当然として、使う方の教育が大事」ということです。
中小企業診断士仲間にも「何かセキュリティ設定の唯一無二の答えがあるはずだ!」と永遠に探し続けている可哀想な子がいますが、そんなものがあれば漏洩事故は起きてません。教育という不確定要素があるから、時間と労力をかけて取り組んでいかないといけないのです。
一方でAI企業も対策を打ってきています。先週、ClaudeがAPIやパスワードを安全に管理する新ツールをリリースしていました。まだ日本語版来ていませんが、これは使えそう👀もちろんこのツールの中からコピペして使っちゃう社員がいたら台無しなのですが(^_^;)
便利とリスクはいつも裏表です。しかし、
「セキュリティ等を恐れて使わないことが最大のリスク」と総務省のレポートにも記載されていました。攻めと守りの両面からしっかり腰を据えて取り組んでいきましょう。
「AIビジネス導入攻めと守りの長期伴走支援」は合同会社そうわ経営パートナーまでご相談ください(^^)/
現在満枠ですが、8月開始枠で尾形直対応枠があと2社、パートナー診断士対応枠が5社分空きがございます(^^)/
合同会社そうわ経営パートナー 尾形
