生成AIの活用に伴う機密情報の漏洩リスクを回避するセキュリティ対策の重要性

生成AIの活用に伴う機密情報の漏洩リスクとは

――生成AIを活用することで発生する機密情報の漏洩リスクとは、どのようなものなのでしょうか。

岩永　生成AIの活用によって発生する機密情報の漏洩リスクとしては、大きく二つあると考えています。

一つは生成AIを活用する過程で、入力情報がAIの学習データとなり、意図せずに外部に漏洩してしまうということです。特に無償で提供されている生成AIなどは、ユーザーが入力した情報がサービス向上のための学習データとして利用されるので、顧客情報や機密情報がAIの学習データとして蓄積されてしまい、それが後々、他のユーザーへの回答として、流出してしまう可能性がゼロではありません。

また二つ目として、生成AIツールを提供している側のセキュリティ・インシデントなどによる漏洩の可能性も否定できません。入力された情報は生成AIツールの提供事業者が管理するサーバーに蓄積されます。もし、その事業者内部で悪意のある従業員による内部不正や、管理ミスによる誤操作が発生した場合、あるいは外部からのサイバー攻撃によってサーバーが侵害された場合、蓄積されていた大量の機密情報が一度に流出する恐れがあります。

有償版の生成AIサービスや、自社開発の生成AIなどの場合、入力情報を学習データとして利用させない設定を行うなどの対策により、リスクをある程度低減することは可能です。しかし、それだけで完璧な対策ということにはならないため、組織として技術的な対策を講じることが不可欠となります。

生成AIを活用しつつ、機密情報の漏洩を回避するための対策について

――実際問題として、生成AIを有効に活用しつつ、機密情報の漏洩を回避するための対策としては、どのようなことが有効ですか。

岩永　大きくは四つあります。

一つ目は、社員への継続的な教育と注意喚起です。生成AIにどのような情報を入力してはいけないのか、会社のセキュリティポリシーはどうなっているのか、といったルールを明確に伝え、周知徹底することが重要です。しかし、一度研修を行ったり、メールで通達したりするだけでは、時間の経過とともに意識は薄れてしまいがちです。利用するたびにリスクを再認識させるような、継続的な注意喚起の仕組みが求められます。

二つ目は、自社開発による生成AIのみを活用するということです。外部の汎用的な生成AIサービスではなく、自社のセキュリティポリシー内で管理できる生成AIツールを開発・利用することも有効な対策です。昨今は独自の生成AIを開発・構築する環境なども整っていますし、法人向けに生成AIソリューションを提供するベンダーも多数登場しており、これらを活用する方法もあります。自社のニーズやセキュリティ要件に合わせて、最適なツールを選定することで、機密情報の漏洩リスクを回避することが可能です。

三つ目は、生成AIサービスの利用状況の可視化と不適切な利用の制御です。「誰が」「いつ」「どの生成AIサービスを」「どのように利用しているか」を把握し可視化することが、シャドーIT（会社が許可していないツールの利用）対策の第一歩となります。利用実態を把握した上で、会社として許可していないツールや、セキュリティリスクの高いツールの利用を技術的に制限します。また、正式に許可しているツールであっても、たとえば会社の公式アカウント（テナント）での利用は許可するが、従業員の個人アカウントでの利用は禁止するといった、より細かい制御を行うことで、情報漏洩リスクを低減できます。

四つ目としては、機密情報のアップロード・投稿そのものをブロックするというものです。そもそも機密情報自体が生成AIに入力・投稿されることを技術的にブロックしてしまえば、漏洩問題には発展しません。DLP（Data Loss Prevention）などの技術を用いることで、あらかじめ定義された機密情報（個人情報、財務情報、設計図など）がプロンプトとして入力されたり、ファイルとしてアップロードされたりする操作をリアルタイムで検知し、未然に防ぐことができます。

クラウドセキュリティサービスNetskopeの特徴・優位性

――前項の三つ目、四つ目で取り上げたような対策が、クラウドセキュリティサービスNetskopeで可能になると伺いました。

井上　当社が扱っているNetskopeは、クラウドサービスの利用におけるセキュリティとネットワークの課題を解決するために設計された、SSE（Security Service Edge）プラットフォームです。その最大の特徴は、ゼロトラストセキュリティを実現するための主要な機能を、単一のプラットフォームで提供できる点にあります。

米国の調査会社ガートナーが発行する「マジック・クアドラント」のSASEとSSEの両分野において、最高評価である「リーダー」のポジションに認定されるなど、その技術力と市場での存在感は世界的に認められています。

Netskopeが提供する主要な機能としては、CASB (Cloud Access Security Broker)、SWG (Secure Web Gateway)、DLP (Data Loss Prevention)があり、ZTNA (Zero Trust Network Access)の実現に威力を発揮します。

CASBにおいては、利用しているクラウドサービス（SaaS、IaaS、PaaS）を可視化し、シャドーITを検出します。その上で、どのサービスを誰が利用できるかといったアクセスポリシーをきめ細かく制御し、クラウド上のデータ保護を実現します。

SWGでは、従来のプロキシサーバーの役割を担い、インターネット上の脅威からユーザーを保護します。Webサイトへのアクセスをリアルタイムで検査し、マルウェアのダウンロードやフィッシングサイトへのアクセスをブロックすることができます。

そしてDLPはNetskopeの強みの一つであり、クラウド、Web、メールなど、あらゆる経路における機密データの動きを監視します。事前に定義したポリシーに基づき、機密情報の不正な持ち出しや、許可されていない場所へのアップロードを検知・ブロックします。独自の特許技術により、非常に高い精度での検知が可能です。

またNetskopeの優位性の一つは、業界トップクラスの対応アプリケーション数にあります。一般的なクラウドサービスはもちろん、特定の業界で利用されるような専門的なクラウドサービスや、多様なアプリケーションにも幅広く対応しており、企業の多様な利用環境を網羅的に保護できる点が大きな優位性となっています。

Netskopeを導入することのメリットについて

――Netskopeを導入することで得られるメリットには、どんなことが挙げられますか。

岩永　Netskopeを導入のメリットは大きく三つです。

一つ目はリアルタイムの「リスク喚起」で従業員のセキュリティ意識を向上させるということです。ユーザーが生成AIサイトにアクセスしたり、特定の操作を行ったりした瞬間に、警告のポップアップ画面を表示させることができます。たとえば「このツールに入力した情報は学習データとして利用される可能性があります」「機密情報の入力は禁止されています」といった注意喚起をリアルタイムに行うことで、利用の都度リスクを意識させることができます。ユーザーによる無防備な生成AIの利用を抑制する効果が期待できます。

二つ目は高度なDLP機能で機密情報の投稿をブロックできるという点です。Netskopeの強力なDLP機能は、生成AIへの情報漏洩を防ぐ上で極めて有効です。電話番号やマイナンバー、クレジットカード番号といった定型的な個人情報はもちろん、企業が独自に定義したキーワードなどを含む機密情報がプロンプトとして入力され、送信される瞬間に、それをリアルタイムでブロックすることができます。さらに、NetskopeはDLPに関する特許技術を40以上取得しています。これにより、機密情報が写り込んだスクリーンショット画像や、身分証明書の画像ファイルなどがアップロードされることも防ぐことができます。このような高度な検知能力により、テキスト情報だけでなく、画像データに含まれる機密情報の漏洩リスクにも対応可能です。

そして三つ目がテナント識別によるアカウント利用制限です。NetskopeのCASB機能を活用することで、「自社が契約している有償版の公式アカウント（テナント）からの利用は許可するが、従業員個人の無償アカウントからの利用はブロックする」といった制御が可能になります。これにより、会社が管理できない個人アカウントでの業務利用を禁止し、シャドーITのリスクを排除すると同時に、情報管理の一元化とセキュリティレベルの維持を実現します。対応サービスが豊富なNetskopeだからこそ、多様な生成AIツールに対してこの制御を適用できるのが、大きなメリットになると自負しています。

丸紅I-DIGIOなら、導入後のカスタマーサクセス支援も万全

――Netskopeを導入するだけでもかなりの効果が期待できるようですが、丸紅I-DIGIOから導入することにも、大きなメリットがあると伺いました。

井上　Netskopeのような高機能なソリューションを導入する際、その価値を最大限に引き出すためには、導入後の運用や活用が鍵となります。当社は、単に製品を販売するだけでなく、お客様の成功にコミットする「カスタマーサクセス」の視点から、手厚い導入後支援をご提供していますので、中・長期的な活用と、セキュリティレベルの向上に寄与することが可能です。

導入後支援の一つとして、お客様専用のサポートサイトを通じて、Netskopeの具体的な設定方法や活用ノウハウといったナレッジを豊富に提供しています。これにより、管理者は不明点があった際に迅速に自己解決を図ることができます。またNetskopeのバージョンアップ情報や新たな脅威に関する情報を定期的に配信しますが、その際、単なる情報提供に留まらず、そのアップデートが「お客様の環境にどのような影響を与えるか」という視点で分析した上で情報をお届けしますので、お客様は自社に関連する重要な情報を効率的に把握していただけます。

また当社を通じてNetskopeを導入いただいたお客様に対しては、カスタマーサクセスマネジメント（CSM）の一環として、当社担当者とお客様との間でミーティングを定期的に実施します。これによって、Netskopeの利用状況の確認や、導入済み機能のさらなる活用提案、そしてお客様のビジネスの変化に合わせた中長期的なセキュリティロードマップの策定などを、お客様と一体となって進めていきます。

先ほど、DLPの活用について説明しましたが、ポリシー策定などが煩雑でなかなか効率的に進められないといったお声を聞きます。そこで当社では、自社で運用しているルールを参考情報として提供するなど、具体的なノウハウに基づいた支援を行います。このような伴走支援は丸紅I-DIGIOがいち早くその重要性に着目し、長年の経験と知見を蓄積してきた分野であり、他社には追随できない優位性の一つであると自負しています。

また当社の幅広いノウハウと取扱いソリューションによって、ゼロトラストセキュリティを構成するさまざまな領域のトップクラス製品をご提供できるという強みもあります。生成AIのセキュリティという個別の課題解決に留まらず、お客様のIT環境全体を見据えた、包括的なゼロトラストアーキテクチャの実現をワンストップでご提案・ご支援することが可能です。

――生成AIは、もはやビジネスに不可欠なツールといえる。しかしポテンシャルを安全に引き出し、活用するためには、万全のセキュリティ対策が必要だ。Netskopeのような適切なソリューションを導入し、安全な利用環境を整備することの重要性がますます高まっている。