はじめに こんにちは、 ネクストモード株式会社 の sobar です。
はじめに
こんにちは、 ネクストモード株式会社 の sobar です。
企業が生成AIを安全に活用するためのセキュリティ対策を解説するシリーズです。生成AIの利用を推進するためにも、生成AIを安全に利用すること、安全に利用されている状況がわかること(可視化されていること)は、昨今たいへん重要となってきています。Netskope を利用することで業務に必要な生成AI に絞って安全に利用することができますので是非チェックいただければと思います。
学習データが利用される生成AIサービスのみアクセス制限をかけることは可能?
Netskope を利用することで生成AIの学習データ利用有のサービスのみ制限をかけることが可能です。
生成AIサービスを利用する際、一番最初に確認したいこととして、利用する生成AIサービスの機械学習に利用されるのか?されないのか?といったことががあるかと思います。機密情報および知的財産の漏洩リスク、法規制・コンプライアンス違反の懸念等々、企業が生成AIの利便性を享受しつつ上記のような深刻なリスクを回避することはとても重要です。また、どの従業員が、どの程度リスクのある(=学習に利用される)AIサービスを使っているか可視化することも必要となってきます。
実際にNetskope に設定する学習データが利用される生成AIサービスのみアクセス制限をかける際は以下のような手順で設定します。
1.機械学習に利用しない生成AIのSaaSサービスのみにタグ付け
2.タグ指定した生成AIのみブロックする Real-time Protectionポリシーを作成
それでは次項で設定方法をご紹介いたします。
1.機械学習に利用しない生成AIのSaaSサービスのみにタグ付け
(App Catalog > Cloud Apps)
1-1. App Catalog > Cloud Apps で TAGSと書かれている右側のアイコンをクリックしTag Managerを表示させます。
1-2. New Tag をクリックし、新しいタグを作成します。
1-3. 今回は「機械学習にユーザーデータを使用する生成AIサービス(Customer data for learning is YES)」に対して新規にタグ「generative_ai_learning」を作成し保存を実施します。
1-4. 学習データとして扱う生成AIカテゴリのSaaSのみに「generative_ai_learning」タグが付与されました。(※Cloud Apps にて、Advanced Search より『app-cci-genai-uses-customerdata eq 'Yes'』で検索すると、学習データとして扱わない生成AIサービスを利用するアプリが表示されます。)
2.タグ指定した生成AIのみブロックする Real-time Protectionポリシーを作成
2-1. 上記で作成タグ「generative_ai_learning」を指定した Real-time Protection 許可ポリシーを作成します。
Policies > Profiles > Real-time Protection > NEW POLICY(Cloud App Access)よりポリシーを作成
2-2. APPLY CHANGES実施
動作確認
学習データとして扱わない生成AIカテゴリのサービスにアクセス時にWebブラウジングが可能なことを確認。
学習データとして扱われる生成AIサービスにアクセス時にブロックされることを確認。
Skope IT > Alerts より該当のログを確認すると該当通信がブロックされていることを確認。
さいごに
設定後は、意図通りに動作するか(ブロック、許可、警告表示)を必ず確認してください。機械学習に利用されない今回タグ付けを行っていない生成AIサービスについても、設定やプラン内容次第では機械学習に利用されることもございますので、利用するそれぞれの生成AIサービスの設定内容の確認も行っていただければと思います。また、新しい生成AIサービスは日々登場します。タグが付与されていないサービスはブロックされるため、定期的にタグの設定状況を確認のうえ必要に応じてタグの見直しを行ってください。
この記事によってなにか新たな気づきがあり、皆さまの Netskope運用の一助となれば幸いです。
Netskope についてのお問い合わせ
ネクストモードでは、Netskopeをはじめ、OktaやCrowdStrikeを活用したSaaS・生成AIの包括的なセキュリティ対策をご支援しています 。ご興味のある方は、ぜひお気軽にご相談ください!
