ビジネスクリティカルなデータを危険にさらすことなくChatGPTを導入する

トニー・フラム - プロダクト・スペシャリスト、Skyhigh Security

2023年6月6日 6 分で読む

回転電話の使い方を知って育った私は、それなりの技術の進歩を見てきました。しかし、人工知能（AI）の登場によって、私の子どもたちが生涯で目にすることになるものとは比べものにならないかもしれないと思っています。専門家は原爆や火の発見など、大げさな比較でその意義を語るが、それが誇張でない可能性は十分にある。

セキュリティ対策や政府による規制、さらにはAI研究の一時停止を求める声もあり、この開発をめぐっては大きな動揺が広がっている。サイバーセキュリティの分野では、ChatGPTのようなAIツールの使用とデータセキュリティへの影響について大きな不安がある。マニアックにデータに特化したSecurity Service Edge （SSE）ベンダーとして、私たち Skyhigh Securityは、ChatGPTによるデータ損失をどのように防ぐことができるかについて、少なくとも日常的に質問されています。当社の顧客は、サムスンのChatGPTによるデータ損失事件のような状況を読み、適切な管理体制を確保したいと考えています。

ChatGPTのようなツールの新しさにもかかわらず、"太陽の下に新しいものはない "という伝道者の言葉を引用したくなる衝動に駆られるのです。AIモデルがあなたのデータで学習されるという具体的なリスクは新機軸かもしれませんが、ChatGPTからあなたのデータを守るためのロジスティックスは、実は何も新しいものではありません。これは、私たちが毎日やっていることです！そして、率直に言って、適切なデータセキュリティ管理を実施しているのであれば、すでにその基盤はカバーされているはずです。ここでは、該当する管理策を簡単に説明します。その多くは、すでに導入されていると思われますが、この新しい、しかしそうではないリスクに対処するために、どのように役立つのでしょうか？

カテゴリ/アプリ別ブロック

多くの組織は、AIチャットボットやその他のジェネレーティブAIサービスがもたらすリスクには無関心だ。このような企業にとっては、これらのアプリの使用を完全にブロックすることが望ましい戦略である。アップルは最近、こうした企業のリストに加わりつつある。しかし、Secure Web Gateway （SWG）の顧客には何年も前から言っているように、「何かをブロックするのは簡単だ。それは誰にでもできる。何をブロックすべきかを知ることが難しいのだ。とはいえ、今日のSWGであれば、こうしたAIツールをすでに知っているはずであり、それらをブロックするポリシーを簡単に構築できるはずだ。この記事を書いている時点で、Skyhigh Security'のクラウド・レジストリには400以上のAIアプリケーションの完全なリスク分析が含まれており、リストは日々増えている！これらのリストには、それぞれ65以上のリスク属性と、アプリに関連するすべてのドメインのリストが含まれている。わずか数クリックで、この豊富なデータをお客様のウェブ・セキュリティ・ポリシーに活用し、これらのアプリを制御することができます。AIチャットボットの使用を禁止したいお客様にとって、これは「簡単なボタン」です。

特定の活動を制限する

AIチャットボットの使用を許可することに価値を見出す組織もあるが、より重要なデータの安全性を確保したいと考える組織もある。今日、このことわざの猫の皮を剥ぐ方法はいくつかある。その1つが、アクティビティ・コントロールを使用してAIベースのアプリケーションを許可しつつ、ファイルのアップロードやプロンプトの送信など特定のアクティビティを禁止する方法です。スカイハイのSWGは、AIに分類される400以上のアプリケーションを含む、レジストリにある35k以上のアプリケーションのアクティビティコントロールをサポートしています。この場合も、数回クリックするだけで、これらのアプリケーションへのあらゆるコンテンツのアップロードを数分で防止できます。

もちろん、ChatGPTのような一部のアプリケーションは、質問を送信するようなアクティビティを防止することによって、役に立たなくなる可能性があります。質問をすることができないのであれば、アプリを許可することに何の意味があるのでしょうか？このような状況では、顧客はより微妙なアプローチを取ることを望むかもしれない。例えばサムスンは当初、ChatGPTのプロンプトを1,024バイトに制限することでデータ流出に対応した。その他のオプションとしては、特定の種類のファイルのアップロードを防止したり、地理的な位置情報に基づいてアクセスを制限したりすることなどが考えられます。これらのオプションの多くには、非常にきめ細かいウェブポリシーエンジンが必要です。スカイハイのSWGソリューションは、間違いなく、今日の市場で最も強力できめ細かいウェブポリシーエンジンを備えており、このようなユースケースを迅速に実行できます。例えば、1つのカスタムルールで、AIベースのプラットフォームへのリクエストが1024バイトを超えた場合、それをブロックするというポリシーを実装することができます。このように、お客様がどのようなアプローチをお望みであれ、私たちは容易にその制御を可能にすることができるのです。

ビジネスクリティカルなデータを保護する

個人的には、データを意識することが最良のアプローチだと感じている。今日のクラウドベースの世界では、組織はすでに保護する必要があるデータを十分に把握しているはずで、そのデータが組織によって認可されておらず、適切に保護されていない外部アプリケーションに送信されないようにポリシーを適用する必要があります。この点で、ChatGPTは個人のDropboxアカウントと変わりません。あなたの組織は、個人のDropboxの使用を許可し、容認しているかもしれませんが、最も重要なデータがこの非公認でセキュリティ保護されていないアプリケーションにアップロードされないようにする必要もあります。同じように、成熟したデータ・セキュリティ・プログラムを持つ組織は、機密データが認可されていないアプリケーションに流出するのを防ぐポリシーをすでに持っている可能性が高く、それは当然ChatGPTのようなアプリケーションにも及ぶはずです。Skyhigh Security 、成熟した高度なData Loss Prevention (DLP)エンジンを活用しているため、この分野ではすでに先行しています。

OpenAIの最近の開発で、さらなる希望をもたらしているのが、ChatGPTの会話履歴とその会話のトレーニングを無効にする新しいコントロールです。UIにあるスイッチを押すだけで、ユーザーは自分のデータを保存したくない、ChatGPTのトレーニングに使用したくないことを示すことができます。ユーザーはこのオプションを手動で有効にする必要があります。デフォルトでは無効になっていますが、これはChatGPTモデルが潜在的にセンシティブなデータでトレーニングされるのを防ぐためのセキュリティの追加レイヤーを提供します。Skyhigh Security 、ユーザーがどのアカウントでログインしているかに関係なく、当社のプロキシを経由するすべての管理対象デバイスに対してこの新しいオプションを強制的に有効にするポリシーを、当社のSWGソリューションですでにテストしています。

サービスに対する制裁

OpenAIはまた、将来的にChatGPT Businessサブスクリプションの計画を発表しました。この新しいサブスクリプションオプションにより、組織はユーザー用のビジネスアカウントを作成し、データの取り扱い方法を一元管理できるようになります。これにより、Skyhigh Security SSEプラットフォームの他のいくつかの機能が利用できるようになる可能性があります。1つ目は、私たちが「テナント制限」と呼んでいるもので、個人アカウントやサードパーティアカウントをブロックしながら、アプリケーションの承認されたテナント（インスタンス）だけにログインを許可することができます。これは、ChatGPTビジネスで全社的なデータ取り扱いポリシーを適用する場合、非常に重要です。もし、管理されていない個人的なChatGPTアカウントへのログインを防ぐことができなければ、それは無駄なことです。

Skyhigh Securityのエンジニアリングチームは、すでにOpenAIのAPIと相互作用する概念実証を行い、当社のポートフォリオのcloud access security broker （CASB）部分を使用してOpenAIプラットフォームにアップロードされたファイルを精査することに成功しました。OpenAIのAPIはまだすべてのユースケースをサポートしているわけではありませんが、私たちはCASBのAPI機能を使って、アウトオブバンドプロセスで企業テナント内の機密データをスキャンし、修復する機会を探し続けます。

同様に、ChatGPT がサードパーティの ID プロバイダからシングルサインオン (SSO) を使用する機能を提供する場合、Skyhigh Securityの CASB テクノロジーは価値をもたらすことができます。ChatGPTとサードパーティIDプロバイダ間のSAMLハンドオフプロセスにプラグインすることで、CASBはChatGPTテナントに認証された世界中のあらゆるデバイスにインラインで対応し、デバイスのアクセス制御を行うことができます。こうすることで、組織のChatGPTへのアクセスを制限し、信頼できるデバイスだけがアクセスできるようにすることができます。この記事を書いている時点では、OpenAIがSSOを提供する予定は確認されていませんが、認証とアカウント管理のための一般的なアプローチなので、その可能性は高いでしょう。

Skyhigh Security の同僚にとって、今話したことは、私たちが日々顧客と交わす会話の簡単な要約のように聞こえるだろう。これが私たちの仕事です。AIチャットボット、特にChatGPTは、データ損失のリスクに新たな展開をもたらすかもしれませんが、データセキュリティの専門家にとっては、同じツールを必要とし、同じ利害関係を伴う同じ仕事であることに変わりはありません。これらのツールの多くはすでに準備されている可能性が高いですが、もしセキュリティ管理が不十分だと感じたら、私たちがどのようにお手伝いできるかをお見せする機会を与えてください。お客様のデータを保護することは、私たちが毎日行っていることだからです。

Skyhigh Security がどのようにお役に立てるかについては、今すぐお問い合わせください。

ブログへ戻る