コンテンツまでスキップ

【Netskope】ChatGPTのDeep ResearchをCASBやDLPでどこまで制御できるか調べてみた

Picture of tommy

はじめに

こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです

ネクストモードでは社内システムとして利用しているSaaSやWebへのアクセスにおいて、Netskopeを経由する構成を取り、通信の可視化や制御を行っています

今回はChatGPTのDeep Research機能を利用される方も多いと思いますので、そちらに関してどこまで可視化ができて、制御できるのかを調べてみます

Netskopeとは

Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです

詳細は下記を御覧ください

 

 

 

ChatGPTのDeep Researchについて

ChatGPTに自身の紹介をしてもらうのが一番かと思いましたので、下記プロンプトにて回答をもらいました
  • プロンプト:ChatGPTのDeep Researchについて、紹介文を200字で書いてください
  • 回答:ChatGPTのDeep Researchは、複雑な課題や専門的なテーマに対して、深い洞察と正確な情報をもとに回答を提供する機能です。信頼性の高いソースを活用し、多角的な視点から分析を行うことで、ビジネスや学術領域における調査・検討を強力にサポートします

下記がOpenAI社から出ているChatGPTのDeep Research機能の紹介になります

何を可視化できるの?

それでは、ChatGPTのDeep Researchを使用すると、どのようなログが出てくるか調べてみます

実際のDeep Researchの画面になります。今回はUploadやDownloadは当たり前に検知するので、メッセージのPostも検知できるのか確認してみます

ChatGPTのDeep Research

「ネクストモードという企業について教えてください」と入力+結果をコピーしました
すると、しっかりとメッセージPostログとCopyログが出ました。これはApplication Eventsという可視化のログになり、制御は何もかけていない状態です
実際にログが出ると、誰がどんな作業をしているかの可視化に役に立ちますね!

ChatGPTのDeep Researchログ

DLP等も設定していないとメッセージの内容自体は見れないです。いつ実施したか、ユーザーは誰か、自社のChatGPTを使ったか、個人のものかは把握できます。ちなみに、メッセージの把握も少し設定するだけで可能になります。詳細は下記のNetskope社の大元さんのブログをご覧ください

どこまで制御できるの?

続いて、ChatGPTのDeep Researchの使用をどこまで制御できるでしょうか

Deep ResearchはChatGPTの機能の一部ですので、ChatGPTを見てみます
NetskopeのApp Catalog(旧CCI)では下記とのことです

ChatGPTのCCI

制御で多いものでいえば、Download、Upload、Post、Share、Login Attemptあたりでしょうか
一例ですが、

  • CASB:@gmail.comのLogin Attemptは禁止
  • CASB:自社のChatGPTでShareは禁止
  • CASB:自社のChatGPTでDownload、Upload、Postする場合、ユーザーへのポップアップが出て注意喚起

図に起こすと下記のようなイメージです。個人ChatGPTはログインを試してもBlockされるので、そもそも利用できない、自社ChatGPTはログインは制御されていないので可能、Shareは禁止だが、Download、Upload、Postしようとすると、ユーザーポップアップが出るといった形です。ポップアップは例えば自社の生成AI利用ガイドラインのURLなどをはるのが良いかと思います
ChatGPTのおすすめ制御

設定自体はそこまで難しくなく、"CASB:@gmail.comのLogin Attemptは禁止"の設定は下記のようになります

CASB:@gmail.comのLogin Attemptは禁止

続いて、"CASB:自社のChatGPTでShareは禁止"の設定は下記のようになります

CASB:自社のChatGPTでShareは禁止

最後に、"CASB:自社のChatGPTでDownload、Upload、Postする場合、ユーザーへのポップアップが出て注意喚起"の設定は下記のようになります

CASB:自社のChatGPTでDownload、Upload、Postする場合、ユーザーへのポップアップが出て注意喚起

それでは、CASBの話ばかりしてきたが、ChatGPTのDeep Researchを使う際にDLPをかける必要があるのかという問題が出てくるかと思います
これは回答として、それぞれの企業のセキュリティポリシーによるところかと思います

例えば、顧客情報の情報流出が懸念される場合は、

・ChatGPTが顧客情報を学習用データとして使わせたくない場合
→NetskopeでDLPを設定することがおすすめです。また、ChatGPTでもデータコントロールで学習させないように設定することができます

・個人ChatGPTの利用を許可したい場合
→個人ChatGPTに対してDLPを設定することがおすすめです。設定としては下記になります

ChatGPTへのDLP設定

さいごに

いかがでしたでしょうか。ChatGPTの可視化/制御が細かくできるのは、ユーザーにChatGPTを利用してもらう際にセキュリティ担保され、とてもいいですねDeep Researchは様々な生成AIで利用できますので、次は他の生成AIでのDeep Research機能でも試してみようと思います。ぜひ生成AIをNetskopeでどこまで制御できるか知りたいという方は弊社にお問い合わせください!
,