AIチャットボットの導入（開発・発注・運用）でつまずかないために知っておくべき事

AIが回答するChabBotサービス（Webアプリケーション）を作り、公開しようと考えたとします。

その場合、単純にユーザーからの入力を受け付け、（ChatGPTなどの）AIからの回答を生成させてユーザーに返すだけでは、Webサービスとしては成立しません。

安全で安定的なWebサービスを提供するには、例えば、悪意のあるユーザーへの対策として、以下のような点について考慮し、実装面を整備し、運営体制を整える必要があります。

※この記事は主に非エンジニアの方、経験の浅いエンジニアの方、システム開発発注者側の方向けに、主にシステム開発のプロジェクトマネジメントの観点から記述したものです

技術的対策

1. ファイアウォール: 外部からの不正アクセスを防ぐ基本的な方法です。

2. IPS/IDS: インシデントをリアルタイムで検出、防止するシステムです。

3. レートリミット: 特定の時間内に許されるリクエスト数を制限することで、DoS攻撃などを防ぐ。

4. CAPTCHA: ボットによる自動入力を防ぐためのテスト。

5. 2段階認証: パスワードだけでなく、SMSやアプリを通じて二つ目の認証を要求する。

6. APIトークンや認証鍵: APIの利用者を識別し、不正な利用を防ぐ。

7. データ暗号化: 転送中または保存中のデータを暗号化する。

8. パスワードポリシー: 強力なパスワードの使用を強制する。

9. セッションタイムアウト: 一定時間操作がない場合、自動的にログアウトする。

10. コードのセキュリティレビュー: セキュリティ専門家によるコードのチェック。

運用面での対策

1. ユーザー行動の監視: 異常な行動や悪意のある行動を検出する。

2. 不正ログインの警告: ユーザーが不正な方法でログインを試みた場合、警告を送る。

3. コミュニティガイドライン: 明確なルールとその違反時のペナルティを設定する。

4. スタッフトレーニング: セキュリティ意識の高いスタッフ育成。

5. ユーザー教育: セキュリティに関するベストプラクティスをユーザーに教える。

6. レビューとフィードバック: ユーザーからのフィードバックをもとに、セキュリティを見直す。

7. ログの定期的なチェック: 過去のログを分析し、問題点を早期に発見する。

8. リスクアセスメント: 定期的な脅威とリスクの評価。

9. 緊急時の対応プラン: セキュリティ侵害が発生した場合の緊急対応手順を用意しておく。

法的対策

1. 利用規約とプライバシーポリシー: 明確な利用規約とプライバシーポリシーを設定し、それを破った場合の措置を明示する。

2. 法的措置: 悪意のある行為に対しては、法的措置を取ることも検討する。

3. データ保護法: GDPRやCCPAなどのデータ保護法を遵守する。

どこまで目配りをし、費用や人的リソースを投入するかは、案件によって検討する必要がありますが、そもそも考慮、検討すべき項目を把握できていないと、後でトラブルになる可能性が高いです。

まとめ

生成AIなどの新技術は、適切に使えばゲームチェンジャーになる可能性を秘めていると多くの人が考えていますし、私も同意見です。

これからAIチャットボットなどのWebサービスの開発・導入を考えている方は、ぜひ以下のポイントを参考にしてください。

• （発注側であれ、受注側であれ）安易な見積もりはしない。AIチャットボットであれば、コア機能（AIとのやりとり）の開発だけに目を奪われず、システム開発における視野を広く持っておく（開発・運用コストが掛かることを見積もっておく）。

• （失敗した時のダメージを軽減するために）最初から大きな事をやろうとせず、課題や実装目標を小分けにして、段階を踏んで、順次クリアしていく（小分けにした課題をクリアしていく中で新たな課題が見えてくることを予め織り込んで柔軟に対応できるようにしておく）。

ご興味が有りましたら、「好き」やフォロー、シェア等をお願いしまっす。