保険会社の意思決定や不正検知には正確かつ安全なデータが必要です。一方で扱うデータが膨大になればなるほど、データ・セキュリティの重要性も増していきます。生成AI時代を迎えた今、保険業界におけるデータ・セキュリティはどうあるべきなのでしょうか。
2024年5月30日、シフトテクノロジーは「保険ウェビナー:生成AI時代のデータセキュリティとその未来」と題したウェビナーを開催。ウェビナーには、マイクロソフト保険業界向けソリューション担当ディレクターであるデニス・ヴァンダーリップ氏、トランスユニオン グローバル不正分析データサイエンス シニアディレクターであるビラル・ショー氏、そしてシフトテクノロジーからは欧州担当チーフデータサイエンティストのマキシム・ポールと、CISO(情報セキュリティ最高責任者)のマリケ・ブアウドが登壇。モデレーターはCMO(最高マーケティング責任者)マイク・ブラッツが務めました。また、講演後にはシニアセールスマネージャー伊能 健治が登壇し、全体講評を行いました。
サイバー攻撃が激化する今、データ・セキュリティの重要性は増している
本ウェビナーのトピックとなるのは「AI不正検知を守るデータ・セキュリテイ」です。米国の業界団体である保険詐欺対策連盟が最近発表した報告書によると、保険におけるデジタル詐欺は過去2年間で159%も増加しているとのこと。これは非常にインパクトのある数字であり、保険業界として看過できない事態といえます。こうしたデジタル詐欺に悪用されているのが「データ」であり、詐欺を防ぐためにもデータ・セキュリテイは重要性を増しているといえます。
また、現代における不正検知の鍵を握るAIについてもデータは重要です。データは多ければ多いほどAIの精度を向上させられますが、一方でそれは守るべきデータが膨大になることも示しています。こうした観点でも、やはりデータ・セキュリテイは重要なトピックであるといえるのです。
そもそもデータ・セキュリティとは何でしょうか。
「データ・セキュリティとは、デジタル情報全般を保護するための技術、方針、プロセスを指します。つまり、データ・セキュリティとは情報セキュリティの一部分なのです。データ・セキュリティで守るのは、ライフサイクル全体における不正アクセスや破損、盗難などであり、データの完全性や機密性、さらに可用性やトレーサビリティも保証しなければなりません」(マリケ・ブアウド)
とはいえ、完璧なデータ・セキュリティを確立するのは簡単ではありません。今や私たちの社会はさまざまなネットワークを通して大量の情報をやりとりしており、攻撃者はあらゆる場所に潜んでいるからです。
このような現状においてデータ・セキュリティを考える場合、「いつも立ち返るのがデータの暗号化です」とブアウドは言います。データの暗号化とはつまり、アクセス制御や認証、認可、データマスキングなど「情報を隠すこと」を指します。信頼できる身元を持つ許可されたユーザーだけがデータにアクセスできるようにすることで、データ・セキュリティを高めるわけです。この手法は特に規制の厳しい金融業界ではよく使われる技術として知られています。
加えて、セキュリティに関する啓発活動も重要だとブアウドは述べました。
「なぜなら、セキュリティ・チェーンの中で最も脆弱なのは人間だからです。セキュリティの意識を高め、セキュリティリスクや遵守すべき管理ポリシーについて啓蒙する必要があります。会社だけでなく、自宅でもデータ・セキュリティを管理し、情報を保護することが重要です」(マリケ・ブアウド)
さらにブアウドは次のように続けます。
「サイバー攻撃の脅威は増加の一途をたどっています。それは、データが“新しい石油”だからです。サイバー犯罪グループに狙われたデータは、地下市場やダークウェブ、ディープウェブなどで売買されます。それに伴って規制側からの圧力も強まっています。たとえばAIも例外ではなく、複数の新しい規制に対応しなければなりません」(マリケ・ブアウド)
こうした社会の動きは一過性のものではありません。企業も自治体も政府もDXに取り組んでおり、そのためにデータを活用してユーザーやお客様により良いサービス、より良い体験を提供しようとしています。そうであるならば、データ・セキュリティの重要性は今後ますます増していくことが容易に予想できます。なぜなら、「データ漏洩は社会的信用に深刻な影響を与えるものであり、機密データが常に安全であることが評判と信頼に直結する」(マリケ・ブアウド)からです。
こうしたブアウドのコメントに対して、ショー氏は「あくまでも私見であり、トランスユニオンの意見を反映したものではありませんが」と前置きした上で、「私たちの社会はデータという言語に非常に精通するようになった」ことを付け加えました。
「私たちは皆、ポータブル・スーパーコンピュータ(スマートフォン)を入れて持ち歩いています。コンピュテーションは身の回りに偏在しており、ますます多くのデバイスが相互に接続されるようになりました。私たちはIoTの中で生きているのです。システムの規模が大きくなり、複雑さを増すにつれて、情報が漏れる可能性のある脆弱なポイントは増加していきます。暗号化や機密性、完全性、アクセシビリティといった考え方は何十年も前からありますが、この5年間で私たちは何かが変わったことに気づきました」(ビラル・ショー氏)
その変化とは、人々が「プライバシー」と「無料サービス」の両方を求めるようになったことです。質の良いサービスを提供するためにはデータ活用が不可欠ですが、一方でデータ・セキュリティの重要性が増したことにより人々はより強固なプライバシー保護を企業に求めるでしょう。一見すると矛盾をはらむかにも思えるこの難しい要求に、企業は応えていく必要があるのです。
生成AIの領域で業界の最前線を走るマイクロソフトのヴァンダーリップ氏は、「データ・セキュリティは以前なら単なるセキュリティの文脈でしか語られなかったのですが、現在は生成AIの登場によりコンプライアンスや規制といった考え方とより強く結びつくようになりました」と現状を分析します。
「この分野で成功している企業は、コンプライアンスやデータ・セキュリティの専門家を集めています。なぜなら、マリケやビラルが話したことは、今後私たちが生成AIの分野に進むにつれてさらに劇的な変化を遂げるからです。保険会社は高度なコンプライアンスと規制が求められる世界でデータ・セキュリティに注力することになるでしょう」(デニス・ヴァンダーリップ氏)
不正検知がデータに依存することのリスク
続いてのテーマは「データ・セキュリティと不正検知の交差点」です。保険業界において不正検知は最も重要なトピックの1つですが、それとデータ・セキュリティがどのように関係するのでしょうか。
これにコメントするのはマキシム・ポールです。
「不正検知において重要な点は、データにますます依存するようになっているということです。たとえば保険金請求、保険契約、ソーシャルメディアデータなどあらゆるデータソースからのデータを欲するようになります。そして、データソースを拡張すればするほど、リスクも拡大するのです」(マキシム・ポール)
ポールが言う「リスク」には2つのパターンがあります。1つはセキュリティ上のリスクです。システムをオープンにしてデータを収集しやすくすればするほど、セキュリティリスクは増大するからです。
もう1つはコンプライアンス上のリスクです。コンプライアンスを守らなければ訴訟を起こされ敗北する可能性すらあります。だからこそ、「すべてのデータが適切に保護され、コンプライアンスに準拠していることを確認しなければならない」(ポール)のです。
不正検知におけるデータの重要性については、ショー氏も同意を示します。
「私たちは一日中アプリを使い、企業は私たちからデータを収集しています。もし不正対策モデルが悪化しているならば、それは使用しているデータが破損しているからです。想像するに、1行のPythonコードで書かれたような人為的なデータが影響しているのでしょう。このような簡単な方法で個人情報すら生成できてしまうのは、私にとってショッキングなことでした」(ビラル・ショー氏)
ポールとショー氏の意見にブアウドも賛同し、次のようにコメントしました。
「不正検知システムは膨大なデータの活用と分析に依存しています。不正行為を効果的に検知するために個人情報にアクセスすることは不可欠です。その個人情報が機微な情報であるほど利害関係も高まります。また、不正の技術が洗練されていることは以前から言われていることです。新しいツールも登場しているし、間違いなく攻撃者はAIも活用しているでしょう。だからこそ最先端の防御が必要であり、データの安全性を守る必要があるのです。AIはどのようなエンジンであっても、安全を保証しなければなりません」(マリケ・ブアウド)
このブアウドの言葉を受けて、ショー氏は「火には火で対抗するパラダイムに入らなければなりません」とコメントを寄せます。データがどのように処理されるか、ETL(抽出、変換、格納)、保存、コンプライアンス、規制、どのようにモデルを構築し、監視するか。これらの各ステップにおいて、AIによる監視やガードレールを設置できれば、物理層からパケット自体に至るまで、機械学習プロセスの意思決定がエンド・ツー・エンドで行えるようになり、不正に対する防御がより強固なものになるでしょう」(ビラル・ショー氏)
生成AIがもたらす変化と企業がとるべき手段とは
ショー氏が指摘した「AIの活用」については、まさに保険業界が取り組むべき最重要トピックの1つといえます。ショー氏は「不正行為を軽減するには、企業が協力し合う必要がある」と強調します。
「たとえば誰かが私の名前で保険金を請求し、それが不正だった場合、(企業が協力し合っていれば)お互いにそれを知らせることができます。サイロを取り払う必要があるのです」(ビラル・ショー氏)
企業同士が協力し合うべき背景にあるのが、サイバー犯罪の組織化です。ショー氏によると、攻撃者はグループを組んで行動しており、組織的な力をつけているといいます。そうした組織的な犯罪に対抗するためには、企業もまた連携による力をつけなければならないというわけです。
AIに関するもう1つの重要なポイントは、生成AIが生み出すフェイクをどう見分けるのかということです。考えうる方法としては、人工的に生成した「透かし」を埋め込むことですが、その責任は誰がとるのか、そもそも電子透かしは本当に安全なのかといった新たな課題をクリアする必要があります。
この意見に「全面的に同意する」と話すのはポールです。
「私たちが直面している問題は、新しいツールが非常に早く実用化されるということ。そして攻撃者がそのツールを使うのに、何も制限がないということです。私たちが新しいツールに乗り換えるには、きちんとコンプライアンスを守り、セキュリティを通過させる必要があるのにです」(ポール)
昨今は生成AIが「革命」として騒がれていますが、20年以上この分野で研究を続けてきたポールにすれば、この進化は「自然なもの」だったといいます。20年前のコンピュータの性能は現在のわずか100万分の1にすぎず、生成AIと似たことを行っていたモデルもあるにはありましたが、非常に小規模なものでした。そこからコンピュータの進化と共に、機械学習にディープラーニング技術が生み出され、さらに生成AIへと進化してきました。結局のところAI技術の背後にあるモデルは同じものであり、「データこそが重要」である点は変わらないとポールは強調します。
「要点はむしろ、モデルを構築するために使用された基礎データをどのように収集するかということです。私はオープンデータを収集する会社を知っていますが、彼らはモデルのニーズに合わせてトレーニングもしてくれます」(マキシム・ポール)
パネリストたちが話すように急速に変化するAI社会ですが、はたしてコンプライアンスや規制はどうなっていくのでしょうか。
ヴァンダーリップ氏は「楽観的に考えている」と述べた上で、次のように見解を述べました。
「(人が)自ら決断を下しているのか、それとも生成AIが決断し、私たちはそれを顧客に提供しているだけなのかには大きな違いがあります。すべてのAIに委ねてしまうべきではありません。規制については今後数年間は厳しくなっていくことが予想されます。ですから、規制を行う機関に関与していく必要があるでしょう」(デニス・ヴァンダーリップ氏)
一方でブアウドはサイバー犯罪の巧妙化に対し、「ハッカーは常に我々よりも早く進化します。アジャイル技術やCI/COソフトウェア開発など、我々は同じような戦略に入る必要があります」と警鐘を鳴らします。
「AIのトレーニングについても、プライバシーの懸念についても、堅牢なデータが必要となります。そのためにガバナンスの実践やシフトレフトを行い、組織内でのAIの倫理的な利用も保証しなければなりません。企業で使用する生成AIは一般に公開される生成AIとは異なり、公共のネットワークでは使用してはならないのです。その上で、コンプライアンス規制については、EUのAI法も我々はすでに統合しています」(マリケ・ブアウド)
予測できない未来に向けて、今考えるべきこと
ここまでのトピックから、サイバー犯罪に対抗することは決して簡単ではないことがわかります。ただ、ショー氏はそれでもポジティブな見方を変えません。
「世界では非常に速いペースで変化が起きており、次に何が起きるか誰にも予測できません。保険に目を向ければ不正のベクトルはさまざまなところにあります。たとえば交通事故に遭ったことを証明するためにSNSなどで入手した画像を請求書に添付したとします。しかし、写真やビデオにはメタ情報がたくさんあり、SNSの画像にはそれらが共有されないため、なりすますことは難しいのです。こうした情報をもとに、より堅牢なフロントエンドの検出システムを構築できるはずです」(ビラル・ショー氏)
ショー氏の言葉を受けて、ポールも次のように述べます。
「サイバー犯罪者はすばやくあらゆることに気を配ります。対抗するためには私たちも新しいトレンドを注視し、迅速に行動する必要があります。たとえば生成AIについても、私たちは1年以上前から顧客と共に取り組んできました。だからこそ、生成AIがトレンドになってからの対応もとても早かったのです。大事なのは継続すること。自分たちが一番だと思ってしまうとイノベーションは止まってしまいます。常にモデルを変え続け、走り続けなければならないのです」(マキシム・ポール)
ポールの言葉に続けてブアウドも次のようにコメントします。
「サイバーセキュリティの専門家としては、ハッカーが何をしているのか、どれだけ進んでいるのか、順応しているのかといった点に目を向けています。テクノロジーが発展するにつれて、私たちはセキュリティにも適応していきます。将来的にはセキュリティ分野でもAIが使われるはずです。計算量が増える分、リスクも増えますが」(マリケ・ブアウド)
セキュリティ分野で現状うまくいっている取り組みとしてブアウドが挙げるのが「ゼロ・トラスト」です。ゼロ・トラストとは「すべてを信用せず、安全性を検証する」というセキュリティの考え方。このゼロ・トラストこそがデータ・セキュリティの基本的な方針になるのです。
さらに、ヴァンダーリップ氏の「未来を予測することはできませんが、対応していかなければならない」というコメントに対してブアウドは「その未来を創っているのが私たちなのでは」と提言します。
「アラン・Kは『未来を予測することは、未来を創造することだ』と言いました。だから私たちはある意味、未来を予測しながら開発を進めているのです。未来を予測するのであれば、私たちにも責任があります。安全な未来を予測するために、安全な未来を発明したいと思います」(マリケ・ブアウド)
最後にショー氏は次のようにコメントしました。
「正直、私たちは未来を見通すことはできません。AIでいえば5年前なんて20年前のようなものです。ということは、10年後なんてAIでいえば50年後のようなものなのです。しかし、来年や再来年何が起きるかならわかります。(ウェビナー登壇者のような)皆さんがいれば私は楽観的になれます」(ビラル・ショー氏)
ウェビナーの締めくくりにはシニアセールスマネージャー伊能 健治が登壇。次のように述べて講演を締めくくりました。
「データ・セキュリティそのものは目新しいトピックスではありません。一方で、昨今のAI技術の進化に伴い、かつてないほど膨大かつさまざまな種類のデータを活用することが可能になってきました。これにより、企業のさまざまな分野においてAIの活用が広がりつつある状況です。膨大なデータを扱えば扱うほどリスクは増大することになり、AIを悪用されるなどの課題も同時に大きくなっています。こうしたリスクや不正をいかに防止しつつAIを活用していくかという点で、今後ますますデータ・セキュリティが重要になっていくと思います。やみくもにAIの活用を制限するのではなく、AIと共にデータ・セキュリティについても最適な形で進化し続けていくことが大事なのではないでしょうか」(伊能)
AIの進化の速度は増しており、数年先ですら予測が難しい時代が到来しています。そんな中で確かなことは、データを正確かつ安全に活用すること。保険会社がサイバー攻撃や不正請求のリスクと戦うためには、しっかりとデータ・セキュリティの体制を整えておくことが必須といえるでしょう。