2024年1月: 服部篤紀(Security Consultant)

生成AIの市場とリスク・対策について②

これまで生成AIの市場について、生成AIのリスクについて解説いたしました。今回は、それら生成AIのリスクについてのセキュリティ対策をご説明いたします。 

生成AIから生成されるコンテンツは人種差別・偏見等の業務に不適切な内容が含まれていたり、企業の機密情報や個人情報の漏洩の懸念、また生成された情報の信頼性の精度の問題点があります。企業はまず生成AIのガバナンスとしてガイドラインを設けて職員に説明する必要があります。その後、技術的・業務的に下記のアプローチをとることが適切です。

生成AIのリスク対策について

1. データ転送時の監視・制限によるデータ漏洩防止
 NetskopeZscalerといったSSE(CASB)サービスを導入して全サーバーやPCのネットワークを一元管理し機密情報が社内ネットワークから社外へ送信されるときに送信データを監視をして機密情報・個人情報はブロックします。 

2. Endpointの入力の監視・制限によるデータ漏洩防止
 TeramindのようなEndpointPC上で入力された情報を監視して、機密情報や個人情報の漏洩をブロックします。 

3. 生成AIへのアクセス制御による利用制限
 メジャーな生成AIサービスを検証し、ビジネス向けの生成AIサービス(有料が多いです)を社内スタンダートとして、一般向けのサービスは各種Web Filtering機能によりアクセスをブロックします。 

4. 生成AIの利用ガイドライン作成と職員へのトレーニング
従来のCybersecurity Awareness Trainingだけでなく、生成AIの利用ガイドラインを作成し、生成AIサービスを利用する際の注意事項のトレーニングを実施し、全ユーザーに注意喚起を促します。 

SSE(CASB)と呼ばれるシステムが最先端のセキュリティ対策であり、生成AIのセキュリティリスクのみならず他のサイバーセキュリティリスクからも防いでくれる統合システムとなり強く推奨いたします。特にNetskopeはマーネットシェアがトップであり、日本政府の経済産業省でも実地テストを行われた信頼性の高い製品です。 

Endpointからの監視は職員監視やForensic目的のための操作ログを取得するシステムの追加機能としてユーザー入力を監視してブロックします。 

と4は定期的に保守作業やレクチャー業務が発生するため手間がかかりますが、もっとも安価で即導入可能な対策となります。 

使い方によってビジネス業務を簡素化・加速化させることのできる各種生成AIツールは非常に便利です。しかし一方で急速に伸びている市場のため、セキュリティリスクも同様に大きくなってきています。自由経済における新サービス黎明期は、各ベンダーはマーケットシェア獲得のため安全性よりも機能性を重視する傾向が強いため、各サービスのセキュリティリスクは利用者へ委ねられてしまいます。是非、この機会に生成AIに対するセキュリティのリスク対策を考慮されては如何でしょうか?ご懸念な点やご質問等ありましたら弊社までご一報いただけたら幸いです。
 

EDR Webinar Hattori

服部 篤紀
Security Consultant

ウィスコンシン州立大学学士、ボストン大学院修士、ハーバード大学院・MIT履修。金融機関から製造業、法曹業界、エンタメ業界まで、セキュリティアプライアンスを基本とする、インフラのプロマネから設定、アプリの設計から開発、それらの保守まで幅広く従事。また日米間において政府機関◦産業団体◦セキュリティ団体や学術プロジェクトのサイバーセキュリティ関連を幅広く支援。

News & Resources

read more