私たちは今、生成AI革命の真っただ中にいます。業界の誰もが考えている問題は、企業のデータセキュリティを損なうことなく、どのようにこの強力なトレンドに乗るかということです。10年前にはクラウド技術の普及を予想してクラウドに対するセキュリティの懸念が生まれ、技術の進歩と広範な適用分野におけるセキュリティサービスの充実によって徐々に解消されていったように、生成AIにも同じ対応が求められています。
しかし、生成AIの爆発的な発展速度はクラウドの普及よりもはるかに速く、セキュリティサービスの実務展開は大きく遅れをとっています。有名なPCWORLDのレポートによると、近い将来ほぼ100%の企業が1つ以上の人工知能プロジェクトを立ち上げる予定です。しかし、生成AIがデータセキュリティにもたらす特有の課題に対応できる企業は、一体どれほどあるのでしょうか?
生成AIは急速に発展しており、私たちの仕事をより効率的に進めるのに役立ちます。日常の業務、研究、ライティングタスクは全て生成AIの恩恵を受けられます。市場に出回っている大規模言語モデル(LLM)は、最高の出力品質・速度・リソース効率を競っています。このような汎用的な生成AIモデルをベースにすれば、社内および独自のデータを使用して、自社に適したチューニングができます。同時に、データを安全な環境に保ち、自身でモデルを直接トレーニングする必要はありません。
新たなリスク領域が出現
審査されていない「シャドー生成AI」アプリケーションは、従業員や開発者が便利さや実験のために使用すると、セキュリティ制御を回避して情報漏洩の可能性を高めます。企業がネットワーク上で生成AIツールへのアクセスをブロックすると、従業員は機微なデータをリスクのある個人所有のデバイスやオンプレミスの生成AIツールに転送するようになり、状況はさらに悪化します。
さらに、生成AIのトレーニングに使用される膨大なデータセットの移動と収集は、さらに深刻な問題を引き起こします。テスト準備とセキュリティ対策が不十分なままAIアプリケーションが市場に投入されると、一般ユーザーにリスクをもたらします。拙速な導入は、情報漏洩などの問題にもつながりやすくなります。アクセス制御の包括的な理解と棚卸がない場合、組織のデータガバナンスに気づかれることなく、モデルまたはユーザーがデータに不正にアクセスすることを許してしまう可能性があります。
また、内部脅威によって状況はさらに複雑化し、企業のAIツールが悪意のある活動の経路となる可能性があります。正当な従業員を装って不正な通信チャネルを作成することから、機密データの保管場所を正確に特定し、情報漏洩防止(DLP)の監視と制御を回避することまで、内部関係者は生成AIを利用して、より高度な方法で秘密裏の行動をとることができます。
攻撃者は、生成AIを利用して全く疑われない個人向けのメッセージコンテンツを作成し、大規模で信頼性の高いフィッシング攻撃を計画することができます。生成AIを使用して、正確なターゲット層に合わせてカスタマイズされたメールを作成し、従来の検出方法を回避するフィッシング攻撃を実行することは、ネットワークセキュリティプロトコルにとって大きな課題となります。
生成AIが従来のDLPシステムにもたらす課題
エンドポイントエージェントの負荷: 過剰なエンドポイントエージェントの展開と管理は、エンドポイントのパフォーマンス、エージェントの更新/管理、情報漏洩ポリシーの実施にとって大きな課題となります。
データの可視性の不足: ソースからターゲットへのデータフローのリアルタイム監視と、データの一貫した可視性の維持は大きな課題です。これには、誰が(データを処理するユーザーのIDと使用しているエンドポイント)、何を(データに含まれる機微な情報)、どのように(コピー/貼り付け、アップロード、ZIPファイルの圧縮、データの送信経路、操作のコンテキスト情報)、どこで(SaaSアプリケーション/USB/生成AI)などの情報が含まれます。
制御を実施する意思: 従来のDLPのほとんどは、監視モードのみで運用されています。これは、ブロック制御を強制すると、ユーザーエクスペリエンスと作業効率に予期せぬ悪影響を与える可能性があるという懸念があるためです。従来の判断方法は、現代の人間の革新性と生成AIが生成するコンテンツに対応するには不十分です。
私たちに必要なこと
生成AIツールを導入する方向への転換には十分な理由があり、これは将来避けられないトレンドです。組織は、ユーザー教育と意識向上を強化し、AI/MLプロジェクトに関与するメンバー に情報セキュリティのベストプラクティスを教育することを検討しなければなりません。組織内でデータ使用責任の文化を育む必要があります。また、継続的な監視と改善を行い、DLPシステムの有効性とポリシーの更新を定期的に監視し、新たな脅威や脆弱性に応じて調整する必要があります。これも実は機械学習を活用して継続的に改善し、脅威を検出することによって実現できます。
誰もが生成AIを使用しているため、拒否したり保守的であったりする人は取り残される可能性があります。企業のポリシーがどうであれ、従業員は自分のタスクを完了するためにAIを使い続けるでしょう。また、よりリスクの高い方法で優位に立とうとする競合他社は常に存在します。長期的に見ると、企業は効果的なデータセキュリティガバナンスの下でAIを活用して競争力を維持しなければなりません。