Quantifying Security Vulnerabilities: A Metric-Driven Security Analysis of Gaps in Current AI Standards

要約

AIシステムが重要なインフラストラクチャに統合するにつれて、AIコンプライアンスフレームワークのセキュリティギャップは緊急の注意を要求します。
このペーパーでは、NIST AI RMF 1.0、UKのAIおよびデータ保護リスクツールキット、およびEUのAltaiの3つの主要なAIガバナンス基準のセキュリティリスクを監査および定量化します。
新しいリスク評価方法を使用して、4つの重要なメトリックを開発します：リスク重大度インデックス（RSI）、攻撃潜在指数（AVPI）、コンプライアンスセキュリティギャップ率（CSGP）、および根本原因の脆弱性スコア（RCV）。
私たちの分析は、フレームワーク全体にわたって136の懸念を特定し、重要なギャップを公開します。
NISTは特定されたリスクの69.23％に対処できず、Altaiは攻撃ベクターの脆弱性が最も高く（AVPI = 0.51）、ICOツールキットには最大のコンプライアンスセキュリティギャップがあり、リスクの高い懸念の80.00％が未解決のままです。
根本原因分析は、重大な弱点として、過小定義されたプロセス（Altai RCVS = 033）および弱い実装ガイダンス（NISTおよびICO RCVS = 0.25）を強調しています。
これらの調査結果は、AIコンプライアンスにおけるより強力で強制力のあるセキュリティ管理の必要性を強調しています。
セキュリティの姿勢を強化し、コンプライアンスと現実世界のAIリスクのギャップを埋めるためのターゲットを絞った推奨事項を提供します。

要約(オリジナル)

As AI systems integrate into critical infrastructure, security gaps in AI compliance frameworks demand urgent attention. This paper audits and quantifies security risks in three major AI governance standards: NIST AI RMF 1.0, UK’s AI and Data Protection Risk Toolkit, and the EU’s ALTAI. Using a novel risk assessment methodology, we develop four key metrics: Risk Severity Index (RSI), Attack Potential Index (AVPI), Compliance-Security Gap Percentage (CSGP), and Root Cause Vulnerability Score (RCVS). Our analysis identifies 136 concerns across the frameworks, exposing significant gaps. NIST fails to address 69.23 percent of identified risks, ALTAI has the highest attack vector vulnerability (AVPI = 0.51) and the ICO Toolkit has the largest compliance-security gap, with 80.00 percent of high-risk concerns remaining unresolved. Root cause analysis highlights under-defined processes (ALTAI RCVS = 033) and weak implementation guidance (NIST and ICO RCVS = 0.25) as critical weaknesses. These findings emphasize the need for stronger, enforceable security controls in AI compliance. We offer targeted recommendations to enhance security posture and bridge the gap between compliance and real-world AI risks.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google