企業が生成AIを安全に活用するためのセキュリティ対策を解説するシリーズです
Okta、Netskope、CrowdStrikeを活用した実践的なアプローチを紹介します
こんにちは、セキュリティを気にする年頃の ネクストモード株式会社 のtommyです
ネクストモードでは社内システムとして利用しているSaaSやWebへのアクセスにおいて、Netskopeを経由する構成を取り、通信の可視化や制御を行っています。また、最近では生成AIを安全に活用するためのセキュリティ対策としても活躍しております
今回はそんな生成AIに対してOkta、Netskope、CrowdStrikeを活用した実践的なアプローチを紹介するシリーズの一環として、Netskopeでドメインやカテゴリーでの制御をする方法やユースケースを解説していきます
Netskopeとは、クラウドサービスの使用時に生じる情報漏洩のリスクや、外部の第三者による不正アクセス、マルウェアの感染といった脅威から機密情報を守り、SaaS環境のセキュリティを強化することができるSASEソリューションです
詳細は下記を御覧ください
NetskopeでできるSWG制御はURLベースでの制御だけでなく、通信の中身を見て判断する制御になります
Netskopeを経由すると、HTTPやHTTPSといったWeb通信の可視化/制御が可能になります。Netskopeは各POPで通信の復号化をするため、マルウェアやC2サーバーとの通信を検知することが可能です。また、URLベースの制御でも、Netskopeはギャンブルコンテンツやセキュリティリスクがあるのかなど、URLの宛先がどのようなカテゴリーなのかを判別可能です。URLベースの制御でも100以上のカテゴリーが用意されているため、細かな制御が可能になります
生成AI関連ですと、8つのカテゴリーが用意されています。生成AI全体のカテゴリーや、会話型の生成AIカテゴリー、ライティング型の生成AIカテゴリーなど様々なカテゴリーが用意されているため、細かな制御が可能です
詳しくはこちらをご覧ください
Netskopeの生成AIにおいて、SWGのユースケースを考えていこうと思います
1. 業務での生成AI利用の場合、ユーザーにガイドラインを周知する
生成AIガイドラインを作成されている会社も多いのではないかと思います。生成AI向けでなくても、ツール選定のガイドラインがあれば、それをユーザーに周知することで、ユーザーには可視化されていることや、安全に使うために作成されたガイドラインを読む機会を多く与えることができます後述でやってみましたので、手順も見ていただけたらと思います
2. 自社が認可する生成AI以外を禁止する
会社契約の生成AIがあり、それ以外の利用を禁止したい場合に有用です。この場合は自社が認可する生成AIを許可し、それ以外の生成AIは禁止とすることで実現可能です。他にも、禁止にするわけではないがシャドーAIの可視化をする場合は禁止の部分をAlertにすることで、定期的に棚卸がしやすくなります
3. 業務上、特定の生成AIカテゴリーだけ利用させ、他は禁止したい
これは例えば、AIミーティングノートなど、特定の生成AIカテゴリーは利用させたくないという場合に利用します。私の周りではそこまでユースケースとして聞かないですが、ご要望の方は特定カテゴリーをAllowにし、他は禁止にする制御をしてみてください
4. 怪しい生成AI利用の場合、ユーザー通知を行いたい
怪しいというのをどう判断するかですが、Netskopeでは、過去30日以内に登録/所有権変更されたドメインを検知します。また、ある程度ドメインを放置しておき最近アクティブになったドメインの検知も可能です。今回はそれを"怪しい"と定義すると、下記のような設定が可能です
5. 生成AIからのダウンロードファイルにマルウェア検知する
生成AIにかぎらず、マルウェア検知はぜひ設定していただきたい設定です。下記のように設定可能です
今回のDefault Malware Scanでは、その検知したマルウェアの危険度がLowかMedium、HighかはNetskopeが自動で検知してくれます。その危険度によって制御も変えられ、今回はMedium以上をBlockとしました
今回は、1. 業務での生成AI利用の場合、ユーザーにガイドラインを周知するをやってみます。設定については、①ユーザー通知文の作成②ポリシー設定のみになりますので、ぜひNetskopeで試してみてください!
Policies → User Notificationで設定可能です。ADD TEMPLATEから自由に設定可能です
今回は下記のような設定でユーザー通知用テンプレートを作りました
詳細は下記をご覧ください
Policies → Real-time Protectionで設定可能です。NEW POLICYのWeb Accessから作成可能です
今回は下記のような設定を行いました
今回はBrowseの場合を条件にしましたが、情報漏洩の観点でUploadを制御することも可能です
これでSAVEとAPPLY CHANGESを実施します
これで、例えばChatGPTをWeb検索してアクセスしに行くと、、、
ちゃんとユーザー通知されましたね!
やってみて改めてNetskopeでの設定が簡単にできるなと感心しました
いかがでしたでしょうか。NetskopeのSWG制御も様々なケースで有用です。また、生成AI対策を行う上で、SWGの制御も役に立つ場面が多いのではないでしょうか。近年ランサムウェアなどのマルウェア被害がニュースになっています。NetskopeのSWG導入で対策してみてはいかがでしょうか
ネクストモードでは、Netskopeをはじめ、OktaやCrowdStrikeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください!