投稿者 global-ai-media 
生成AIによる業務効率化が進む一方で、セキュリティ領域での不適切な利用が新たなリスクを生んでいます。AI企業Irregularによる最新の調査で、大規模言語モデル(LLM)が生成するパスワードは「予測可能で反復的」であることが明らかになりました。なぜ高度な知能を持つとされるAIが、単純な乱数生成に劣るのか。その技術的背景と、日本企業が講じるべきガバナンスについて解説します。
「確率」を追求するAIと、「不確実性」を求めるセキュリティの矛盾
生成AI、特に大規模言語モデル(LLM)は、膨大なテキストデータを学習し、「次に来る可能性が最も高い単語(トークン)」を予測することで文章を生成します。この仕組みは、自然なメールの作成や要約には極めて有効ですが、パスワード生成においては致命的な欠陥となります。
AI企業Irregularの調査によると、LLMに生成させたパスワードは、構造的に予測可能であり、特定パターンの繰り返しが多いことが判明しました。これはLLMの設計思想そのものに起因します。セキュリティ強度の高いパスワードには「高いエントロピー(予測不可能性・無秩序さ)」が求められますが、LLMは本来、文脈に沿ってエントロピーを下げ、最も「ありそうな」答えを出すように最適化されているからです。
学習データに含まれる「人間の悪い癖」
LLMが生成するパスワードが脆弱になるもう一つの理由は、学習データセットです。インターネット上の膨大なテキストデータには、人間が作成した「安易なパスワード」や、パスワード作成に関する「一般的なアドバイス(例:大文字、小文字、数字、記号を混ぜる)」が含まれています。
その結果、LLMに対し「強力なパスワードを作って」と指示しても、AIは学習データ内の統計的な傾向に従い、「Password123!」のような典型的なパターンや、特定の単語に年号を付与しただけの構造(例:Company2024#)を出力しがちです。攻撃者がAIを使ってパスワードクラッキングを行う場合、こうした「AIが生成しがちなパターン」を辞書攻撃に組み込むことで、容易に突破されるリスクがあります。
日本企業における「シャドーAI」とセキュリティ教育
日本企業では現在、ChatGPTやCopilotなどの導入が進んでいますが、従業員のリテラシー教育が追いついていないケースが散見されます。特に、定期的なパスワード変更を求める運用(NISTガイドラインでは推奨されていませんが、日本の多くの組織で依然として一般的です)に疲弊した従業員が、「AIに考えてもらえば安全だろう」と誤解し、生成された文字列をそのまま利用するリスクは無視できません。
また、機密性の高いシステムのアカウント情報をプロンプト(指示文)に入力してしまうこと自体、データの学習利用設定によっては情報漏洩につながる可能性があります。業務効率化の文脈でAI活用が推奨される中、こうした「やってはいけないユースケース」の線引きが曖昧なまま運用が開始されている現場も少なくありません。
日本企業のAI活用への示唆
今回の事例は、AIの「得意・不得意」を正しく理解することの重要性を示しています。意思決定者および技術リーダーは以下の点を意識する必要があります。
1. 適材適所の技術選定
パスワード生成には、CSPRNG(暗号論的擬似乱数生成器)のような専用のアルゴリズムを使用すべきであり、確率論に基づくLLMは不向きです。パスワードマネージャーの利用を推奨し、安易にチャットボットに頼らせない環境整備が必要です。
2. AIガバナンスとガイドラインの具体化
「AIを活用せよ」という号令だけでなく、「AIに任せてはいけないタスク」を具体的にリストアップし、ガイドラインに明記する必要があります。特にセキュリティや乱数生成に関わる領域は、人間の直感とAIの挙動が乖離しやすいため注意が必要です。
3. 従業員のセキュリティ意識改革
日本特有の「形式的なセキュリティルール(頻繁なパスワード変更など)」が、従業員をAIへの依存(手抜き)に走らせている側面がないか再考すべきです。ゼロトラスト環境への移行や生体認証の導入など、本質的なセキュリティ対策を進めることで、AIに頼る必要自体をなくしていくアプローチが求められます。