こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです
ネクストモードでは社内システムとして利用しているSaaSやWebへのアクセスにおいて、Netskopeを経由する構成を取り、通信の可視化や制御を行っています
今回はChatGPTのDeep Research機能を利用される方も多いと思いますので、そちらに関してどこまで可視化ができて、制御できるのかを調べてみます
Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです
詳細は下記を御覧ください
下記がOpenAI社から出ているChatGPTのDeep Research機能の紹介になります
それでは、ChatGPTのDeep Researchを使用すると、どのようなログが出てくるか調べてみます
実際のDeep Researchの画面になります。今回はUploadやDownloadは当たり前に検知するので、メッセージのPostも検知できるのか確認してみます
「ネクストモードという企業について教えてください」と入力+結果をコピーしました
すると、しっかりとメッセージPostログとCopyログが出ました。これはApplication Eventsという可視化のログになり、制御は何もかけていない状態です
実際にログが出ると、誰がどんな作業をしているかの可視化に役に立ちますね!
DLP等も設定していないとメッセージの内容自体は見れないです。いつ実施したか、ユーザーは誰か、自社のChatGPTを使ったか、個人のものかは把握できます。ちなみに、メッセージの把握も少し設定するだけで可能になります。詳細は下記のNetskope社の大元さんのブログをご覧ください
続いて、ChatGPTのDeep Researchの使用をどこまで制御できるでしょうか
Deep ResearchはChatGPTの機能の一部ですので、ChatGPTを見てみます
NetskopeのApp Catalog(旧CCI)では下記とのことです
制御で多いものでいえば、Download、Upload、Post、Share、Login Attemptあたりでしょうか
一例ですが、
図に起こすと下記のようなイメージです。個人ChatGPTはログインを試してもBlockされるので、そもそも利用できない、自社ChatGPTはログインは制御されていないので可能、Shareは禁止だが、Download、Upload、Postしようとすると、ユーザーポップアップが出るといった形です。ポップアップは例えば自社の生成AI利用ガイドラインのURLなどをはるのが良いかと思います
設定自体はそこまで難しくなく、"CASB:@gmail.comのLogin Attemptは禁止"の設定は下記のようになります
続いて、"CASB:自社のChatGPTでShareは禁止"の設定は下記のようになります
最後に、"CASB:自社のChatGPTでDownload、Upload、Postする場合、ユーザーへのポップアップが出て注意喚起"の設定は下記のようになります
それでは、CASBの話ばかりしてきたが、ChatGPTのDeep Researchを使う際にDLPをかける必要があるのかという問題が出てくるかと思います
これは回答として、それぞれの企業のセキュリティポリシーによるところかと思います
例えば、顧客情報の情報流出が懸念される場合は、
・ChatGPTが顧客情報を学習用データとして使わせたくない場合
→NetskopeでDLPを設定することがおすすめです。また、ChatGPTでもデータコントロールで学習させないように設定することができます
・個人ChatGPTの利用を許可したい場合
→個人ChatGPTに対してDLPを設定することがおすすめです。設定としては下記になります
いかがでしたでしょうか。ChatGPTの可視化/制御が細かくできるのは、ユーザーにChatGPTを利用してもらう際にセキュリティ担保され、とてもいいですね!Deep Researchは様々な生成AIで利用できますので、次は他の生成AIでのDeep Research機能でも試してみようと思います。ぜひ生成AIをNetskopeでどこまで制御できるか知りたいという方は弊社にお問い合わせください!