Blog
情報保護
生成AIの波を乗りこなして内部脅威を封じ込めるには
Data Loss Prevention

生成AIの波を乗りこなして内部脅威を封じ込めるには

Share with your network!
Itir Clarke

生成AI(GenAI)の利用は、ここ1年で急激に増加しています。それに伴い、2023年から2024年にかけて、生成AI関連のニュースの傾向ががらりと変わりました。昨年、Forbesが報じたところによると、JPMorgan Chase、Amazon、そして米国のいくつかの大学が、ChatGPTの使用を禁止あるいは制限しました。さらに、AmazonとSamsungでは従業員がコードなどの機密データをOpenAIのチャットボットと共有していた、と報じられました。

さて、2024年はどのように変化したのでしょうか。今やどこを見渡しても、企業がAIアシスタントをどれだけ活用できているかが、もっぱら注目を集めています。J.P. Morganは効率化を目指して6万人の従業員にChatGPTを配布しました。また、Amazonは先日、生成AIを使用して3万のアプリケーションを新しいプラットフォームに移行し、それによって4,500人年に相当する開発工数と2億6千万ドル規模のコストを節約できた、と発表しました。

2024年のMcKinseyのAIに関するグローバル調査でもまた、大きな変化が示されています。回答者の65%が、会社では普段から生成AIを使っている、と回答しました。これは、10か月前と比べるとほぼ倍増しています。

この傾向が何より物語っているのは、企業が生成AIを競争圧力と感じ、AIを積極的に採用しなければ取り残されるかもしれないと考えていることです。では、リスクはどのように低減できるのでしょうか?詳しく見ていきましょう。

 

生成AI:新しい内部リスク

生成AIは、生産性を向上させるツールであると同時に、不注意なユーザー、侵害されたユーザー、悪意のあるユーザーによる内部リスクを招き入れるものでもあります。

  • 不注意な内部関係者:こうしたユーザーは、顧客情報、専有アルゴリズム、内部戦略など、機密データを生成AIツールに入力する可能性があります。あるいは、生成AIツールを使用して、差別表現を含む文書や不適切な画像を含む資料など、企業の法務または規制上の要件に準拠していないコンテンツを作成するかもしれません。これにより、法的リスクが生じます。また、承認されていない生成AIツールを使用するユーザーもいるかもしれません。この場合、セキュリティの脆弱性やコンプライアンスの問題を招きます。
  • 侵害された内部関係者:生成AIツールへのアクセスが攻撃者により侵害され、勝手にアクセスされる可能性も生まれます。攻撃者は、このアクセスを利用して、機密データを抽出し、生成し、組織外へ漏えいします。
  • 悪意のある内部関係者:意図的に損害を与えようとする内部関係者がいることがあります。そのような内部関係者は、故意に機密情報を、公開されている生成AIツールに流出させることがあります。また、企業の独自技術のモデルやデータセットにアクセスできれば、生成AIツールを使用して競合製品を作ってしまうこともあります。また、矛盾や違反を監査人の目から隠すために、生成AIを使用して記録を偽造したり改ざんしたりできます。

こうしたリスクを低減するには、組織は、「人」を中心とした技術的制御、内部ポリシー、戦略を組み合わせる必要があります。AIの使用状況やデータアクセスの監視だけでなく、従業員トレーニングなどの対策や、堅牢な倫理フレームワークを導入する必要があります。

 

Human-Centric Securityによる生成AI対策

生成AIを安全に導入することは、多くの情報セキュリティ最高責任者(CISO)にとって最大の関心事です。生成AIを安全に使用するには、プルーフポイントの「人」を中心とした適応型情報保護ソリューションが役に立ちます。プルーフポイントのソリューションは、組織で使用される生成AIを可視化し、制御を可能にします。この可視性は、エンドポイント、クラウド、そしてWebまでカバーします。その仕組みをご説明します。

シャドー生成AIツールを可視化する

  • ユーザー、グループ、部門別に600以上の生成AIサイトの使用状況を追跡
  • ユーザーリスクに基づいて、生成AIアプリの使用状況をコンテキストと共に監視
  • アイデンティティ ストアに接続されたサードパーティAIアプリの承認状況を特定
  • 企業の認証情報が生成AIサービスに使用された場合にアラートを提供

生成AIツールの利用規定を適用し、情報漏えいを阻止する

  • 生成AIサイトへの機密データのWebアップロードや貼り付けをブロック
  • ChatGPT、Gemini、Claude、Copilotなどのツールへの機密データの入力を防止
  • サードパーティ生成AIアプリのアクセス許可を無効化
  • Copilot for Microsoft 365の使用を監視し、メール、ファイル、Teamsのメッセージ経由で機密ファイルにアクセスされた場合はアラートを提供
  • 機密ファイルにはMicrosoft Information Protection (MIP)ラベルを適用し、Copilotがこれらのファイルから生成された新しいコンテンツに同じラベルを適用するように設定

動的な生成AIポリシーで内部脅威を監視する

  • ユーザーが生成AIツールにアクセスした前後において、メタデータとスクリーンキャプチャを保存

生成AIツールの利用規定に関するトレーニングを従業員に提供する

  • 動画、ポスター、インタラクティブなモジュールやニュースレターを用いて、生成AIの安全な使い方をユーザーに指導
  • 最もリスクの高いユーザーにはカスタムトレーニングを自動化

上記に加えて、プルーフポイントのマネージドサービスを利用して、生成AI導入に対する情報保護プログラムを最適化し、ベストプラクティスを適用することができます。

 

詳細はこちら

生成AIツールの利用規定を実装するにあたりプルーフポイントをどのようにお役立ていただけるかご説明いたします。弊社ソリューションのお試しや、デモのご依頼があれば、ぜひお問い合わせください。

Previous Blog Post