企業が生成AIを安全に活用するためのセキュリティ対策を解説するシリーズです
Okta、Netskope、CrowdStrikeを活用した実践的なアプローチを紹介します
こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです
ネクストモードでは社内システムとして利用しているSaaSやWebへのアクセスにおいて、Netskopeを経由する構成を取り、通信の可視化や制御を行っています。また、最近では生成AIを安全に活用するためのセキュリティ対策としても活躍しております
今回はそんな生成AIに対してOkta、Netskope、CrowdStrikeを活用した実践的なアプローチを紹介するシリーズの一環として、Netskopeでは生成AIの制御について、どんなアプローチがあるのかという概要を説明していきます
Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです
詳細は下記を御覧ください
生成AIを使うことで効率が上がったりする世の中において、なぜ便利な生成AIを制御する必要あるのでしょうか。ここで、CASBやDLPを導入する際に考慮することが多い、なぜSaaSを制御する必要があるのかを考えてみます
SaaSは様々な特徴を持って、世の中に無数に存在します。クラウドストレージや、コミュニケーションツール、CRMなどが例になります。そんな数多あるSaaSを会社が認知できていない、いわゆる「シャドーIT」が横行しているというのが現在です。これは、シャドーITは安全なもののみなのか、会社にバレずに情報漏洩できてしまうのではないかといった会社のセキュリティポリシーに準拠しているかがわからないということが問題になります。このシャドーITの利用SaaS名や、UploadやDownload、Shareなどどんな使われ方をしているかを可視化し、制御することを考えることが企業にとって早急に対処すべき課題と言えるでしょう。これがCASBです
また、プライベートでも会社でも同じ名前のSaaSを使う機会が増えてきました。Google Workspaceや、SNSなども会社のオフィシャルアカウント、個人のものなどが一例です。これも、個人で利用しているSaaSは制御対象にし、会社契約SaaSは使わせるといった制御。これがCASBのインスタンス制御です
また、取引先と利用しているSaaSについても考慮すべき点として、情報漏洩の心配があります。これは悪意の有無関係なく、個人情報等を取引先とのSaaSにUploadし、情報が本来渡すべき相手ではない会社/ユーザーに渡ってしまえば情報漏洩になってしまいます。これを防ぐのがDLPになります
シャドーITやSaaSの制御を考えるためにCASBやDLPを例に出しましたが、生成AIもその対象と言えるでしょう。会社が認知しておらず、部署で勝手に契約している生成AIは、はたして会社のセキュリティポリシーを準拠しているものでしょうか。個人契約している生成AIを使わせて問題ないでしょうか。悪意があれば、情報漏洩のリスクもあります。生成AIがプロンプトを学習データとして利用する場合、生成AIに与えるプロンプトの中に個人情報が入っていると情報漏洩の恐れがあるのではないでしょうか
従業員に生成AIを使ってもらうことで効率は確かにアップすると、私も思います。ただ、効率のためにセキュリティは捨てていいものでは無いのです。
Netskopeではそれが可能です。生成AIを使って業務を効率化し、その生成AIを会社のセキュリティに添わせる形で使わせることがNetskopeの強みと言えるでしょう。それでは、具体的によくある生成AI利用時のセキュリティお悩みをまとめてみました
上の図では業務において、会社契約の生成AI、個人契約の生成AIを利用する際のよくあるお悩みを書いてみました。解説とNetskopeで行う対処の概要を書いていきます
今出てきた生成AI利用時のセキュリティのお悩みに思い当たるものがあれば、ぜひNetskopeをご検討してみてはいかがでしょうか
いかがでしたでしょうか。生成AIのセキュリティを考える一助になると嬉しいと思い、書いてきました。Netskopeでできる生成AI制御を今後も書いていきますので、ぜひこのシリーズを読んでいただけると嬉しいです
ネクストモードでは、Netskopeをはじめ、OktaやCrowdStrikeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください!