AIF-C01#100(fundamentals-generative-ai)
ある企業が、生成 AI セキュリティスコーピングマトリックス を使用してソリューションのセキュリティ責任を評価しています。この企業は、マトリックスに基づいて4つの異なるソリューションスコープを特定しました。 どのソリューションスコープが、企業に最も多くのセキュリティ責任を負わせますか?
正解:D
正解の根拠
Generative AI Security Scoping Matrix では、自社データを用いて生成 AI モデルをゼロから構築・トレーニングするスコープ 5 (Self-trained models) が、最も多くのセキュリティ責任を企業に課します。データ収集、モデルアーキテクチャ、訓練インフラ、デプロイ、推論、モニタリングまでライフサイクル全体を企業自身が管理する必要があるためです。
セキュリティスコープの責任範囲
| スコープ | 責任範囲 |
|---|---|
| Self-trained model | 全工程を自社で統制 (最大) |
| Fine-tuned FM | 追加訓練データの統制 |
| Pre-trained FM 利用 | API 呼出・プロンプト統制 |
| Consumer App 利用 | 利用者責任は限定的 |
不正解の理由
- A: サードパーティのエンタープライズアプリ利用 (スコープ 1) は、ベンダー側がモデル運用を担うため、企業のセキュリティ責任は最も小さい範囲です。
- B: 既存 FM を呼び出してアプリを構築する形態 (スコープ 3) は、API 呼出やプロンプト管理に責任が限定され全工程を担う訳ではありません。
- C: 既存 FM を自社データで微調整する場合 (スコープ 4) は追加データの統制責任が増えますが、ベース FM の訓練責任までは含みません。
コメント