2023年6月6日
Tony Frum - Skyhigh Securityプロダクトスペシャリストによるものです。
回転電話の使い方を知って育った私は、それなりの技術の進歩を見てきました。しかし、人工知能(AI)の登場によって、私の子どもたちが生涯で目にすることになるものとは比べものにならないかもしれないと思っています。専門家は原爆や火の発見など、大げさな比較でその意義を語るが、それが誇張でない可能性は十分にある。
セキュリティ対策や政府による規制、さらにはAI研究の一時停止を求める声もあり、この開発をめぐっては大きな動揺が広がっている。サイバーセキュリティの分野でも、ChatGPTのようなAIツールの利用や、データセキュリティへの影響について、大きな不安が広がっている。マニアックなデータ重視のセキュリティ・サービス・エッジ(SSE)ベンダーである私たちスカイハイセキュリティは、ChatGPTによるデータ損失をどのように防ぐことができるかについて、少なくとも日常的に質問を受けています。当社の顧客は、サムスンのChatGPTによるデータ損失事件のような状況を読み、適切な管理を確実に行いたいと考えています。
ChatGPTのようなツールの新しさにもかかわらず、"太陽の下に新しいものはない "という伝道者の言葉を引用したくなる衝動に駆られるのです。AIモデルがあなたのデータで学習されるという具体的なリスクは新機軸かもしれませんが、ChatGPTからあなたのデータを守るためのロジスティックスは、実は何も新しいものではありません。これは、私たちが毎日やっていることです!そして、率直に言って、適切なデータセキュリティ管理を実施しているのであれば、すでにその基盤はカバーされているはずです。ここでは、該当する管理策を簡単に説明します。その多くは、すでに導入されていると思われますが、この新しい、しかしそうではないリスクに対処するために、どのように役立つのでしょうか?
カテゴリ/アプリ別ブロック
多くの組織は、AIチャットボットやその他のジェネレーティブAIサービスがもたらすリスクには無関心だ。このような企業にとっては、これらのアプリの使用を完全にブロックすることが望ましい戦略である。アップルは最近、こうした企業のリストに加わりつつある。しかし、セキュア・ウェブ・ゲートウェイ(SWG)の顧客には何年も前から言っているように、「何かをブロックするのは簡単だ。それは誰にでもできる。何をブロックすべきかを知ることが難しいのだ。とはいえ、今日のSWGであれば、すでにこれらのAIツールを認識し、それらをブロックするポリシーを簡単に構築できるはずです。この記事を書いている時点で、Skyhigh Securityのクラウド・レジストリには400以上のAIアプリケーションの完全なリスク分析が含まれており、リストは日々増えている!これらのリストには、それぞれ65以上のリスク属性と、アプリに関連するすべてのドメインのリストが含まれています。わずか数クリックで、この豊富なデータをお客様のウェブ・セキュリティ・ポリシーに活用し、これらのアプリを制御することができます。AIチャットボットの使用を禁止したいお客様にとって、これは「簡単なボタン」です。
特定の活動を制限する
AIチャットボットの使用を許可することに価値を見出す組織もあるが、より重要なデータの安全性を確保したいと考える組織もある。今日、このことわざの猫の皮を剥ぐ方法はいくつかある。その1つが、アクティビティ・コントロールを使用してAIベースのアプリケーションを許可しつつ、ファイルのアップロードやプロンプトの送信など特定のアクティビティを禁止する方法です。スカイハイのSWGは、AIに分類される400以上のアプリケーションを含む、レジストリにある35k以上のアプリケーションのアクティビティコントロールをサポートしています。この場合も、数回クリックするだけで、これらのアプリケーションへのあらゆるコンテンツのアップロードを数分で防止できます。
もちろん、ChatGPTのような一部のアプリケーションは、質問を送信するようなアクティビティを防止することによって、役に立たなくなる可能性があります。質問をすることができないのであれば、アプリを許可することに何の意味があるのでしょうか?このような状況では、顧客はより微妙なアプローチを取ることを望むかもしれない。例えばサムスンは当初、ChatGPTのプロンプトを1,024バイトに制限することでデータ流出に対応した。その他のオプションとしては、特定の種類のファイルのアップロードを防止したり、地理的な位置情報に基づいてアクセスを制限したりすることなどが考えられます。これらのオプションの多くには、非常にきめ細かいウェブポリシーエンジンが必要です。スカイハイのSWGソリューションは、間違いなく、今日の市場で最も強力できめ細かいウェブポリシーエンジンを備えており、このようなユースケースを迅速に実行できます。例えば、1つのカスタムルールで、AIベースのプラットフォームへのリクエストが1024バイトを超えた場合、それをブロックするというポリシーを実装することができます。このように、お客様がどのようなアプローチをお望みであれ、私たちは容易にその制御を可能にすることができるのです。
ビジネスクリティカルなデータを保護する
個人的には、データを意識することが最良のアプローチだと感じている。今日のクラウドベースの世界では、組織はすでに保護する必要があるデータを十分に把握しているはずで、そのデータが組織によって認可されておらず、適切に保護されていない外部アプリケーションに送信されないようにポリシーを適用する必要があります。この点で、ChatGPTは個人のDropboxアカウントと変わりません。あなたの組織は、個人のDropboxの使用を許可し、容認しているかもしれませんが、最も重要なデータがこの非公認でセキュリティ保護されていないアプリケーションにアップロードされないようにする必要もあります。同じように、成熟したデータセキュリティプログラムを持つ組織は、機密データが認可されていないアプリケーションに流出するのを防ぐポリシーをすでに持っている可能性が高く、それは当然ChatGPTのようなアプリケーションにも及ぶはずです。スカイハイ・セキュリティのお客様は、成熟した高度なデータ損失防止(DLP)エンジンを活用し、完全データ一致(EDM)、インデックス型データ一致(IDM)、光学式文字認識(OCR)などの堅牢な機能を備えているため、この分野ですでに先行しています。
OpenAIの最近の開発で、さらなる希望をもたらしているのが、ChatGPTの会話履歴とその会話に関するトレーニングを無効にする新しいコントロールです。UIのスイッチを押すだけで、ユーザーは自分のデータを保存したくない、ChatGPTのトレーニングに使用したくないという意思表示をすることができます。デフォルトでは無効になっているこのオプションをユーザーが手動で有効にする必要がありますが、ChatGPTモデルが潜在的な機密データでトレーニングされるのを防ぐためのセキュリティのレイヤーを追加することができます。スカイハイセキュリティは、SWGソリューションにおいて、ユーザーがどのアカウントにログインしているかに関わらず、当社のプロキシを経由する管理対象デバイスに対してこの新しいオプションを強制的に有効にするポリシーを既にテスト済みです。
サービスに対する制裁
OpenAIはまた、将来的にChatGPT Businessサブスクリプションの計画を発表しました。この新しいサブスクリプションオプションにより、組織はユーザー用のビジネスアカウントを作成し、データの取り扱い方法を一元管理できるようになります。これにより、Skyhigh Security SSEプラットフォームの他のいくつかの機能が利用できるようになる可能性があります。1つ目は「テナント制限」と呼ばれるもので、個人アカウントやサードパーティアカウントをブロックしながら、アプリケーションの承認されたテナント(インスタンス)だけにログインを許可することができます。これは、ChatGPTビジネスで全社的なデータ取り扱いポリシーを適用する場合、非常に重要です。もし、管理されていない個人的なChatGPTアカウントへのログインを防ぐことができなければ、それは無駄なことです。
Skyhigh Securityのエンジニアリングチームは、すでにOpenAIのAPIと相互作用する概念実証を行い、当社のポートフォリオのクラウドアクセスセキュリティブローカー(CASB)の部分を使用して、OpenAIプラットフォームにアップロードされたファイルを精査することに成功しました。OpenAIのAPIはまだすべてのユースケースをサポートしているわけではありませんが、私たちはCASBのAPI機能を使ってアウトオブバンドプロセスで企業テナント内の機密データをスキャンし、修復する機会を探し続けます。
同様に、ChatGPTがサードパーティーのIDプロバイダーからシングルサインオン(SSO)を利用する機能を提供している場合、スカイハイセキュリティのCASB技術が価値をもたらすことができます。ChatGPTとサードパーティーのIDプロバイダー間のSAMLハンドオフプロセスにプラグインすることで、CASBはChatGPTテナントに認証された世界中のあらゆるデバイスにインラインで対応し、デバイスのアクセスコントロールを実行することができます。これにより、組織のChatGPTへのアクセスを制限し、信頼できるデバイスのみがアクセスできるようにすることができる。本稿執筆時点では、OpenAIがSSOを提供する予定であることは確認されていませんが、認証とアカウント管理の一般的なアプローチであることから、その可能性は高いでしょう。
スカイハイ・セキュリティーの同僚たちにとって、今話したことは、私たちが日々お客さまと交わす会話の簡単な要約のように聞こえるだろう。これが私たちの仕事です。AIチャットボット、特にChatGPTは、データ損失のリスクに新たな展開をもたらすかもしれませんが、データセキュリティの専門家にとっては、同じツールを必要とし、同じ賭けを伴う同じ仕事であることに変わりはありません。これらのツールの多くはすでに準備されている可能性が高いですが、もしセキュリティ管理が不十分だと感じたら、私たちがどのようにお手伝いできるかをお見せする機会を与えてください。お客様のデータを保護することは、私たちが毎日行っていることだからです。
スカイハイ・セキュリティがどのようにお役に立てるか、今すぐお問い合わせください。
ブログへ戻る