遺伝子AIコパイロットの広範な使用は必然的にデータ侵害を増加させる理由を学ぶ
競合他社が何らかの方法で機密アカウント情報にアクセスし、そのデータを使って組織の顧客をターゲットに広告キャンペーンを行う。
競合他社が何らかの方法で機密アカウント情報にアクセスし、そのデータを使って広告キャンペーンを行う。顧客の信頼と信用を脅かしかねないセキュリティ上の悪夢だった。
同社はデータ漏洩の原因を突き止めた。元従業員がGen AIコパイロットを使って、アカウントデータでいっぱいの社内データベースにアクセスしたのだ。彼らは、顧客の利用金額や購入した商品などの機密情報をコピーし、競合他社に持ち出した。
この例は、拡大しつつある問題を浮き彫りにしている。つまり、AIコパイロットの広範な使用は、データ漏洩を必然的に増加させるということだ。
最近のガートナーの調査によると、最も一般的なAIのユースケースには、マイクロソフト365コパイロットや セールスフォースのアインシュタイン・コパイロットのようなジェネレーティブAIベースのアプリケーションが含まれている。これらのツールは、組織にとって生産性を向上させる優れた方法である一方、データ・セキュリティ上の大きな課題も生み出している。
この記事では、これらの課題を探り、ジェネレーティブAIの時代にデータを保護する方法を紹介する。
AI世代のデータリスク
99%近くのパーミッションが未使用であり、その半数以上が高リスクである。未使用で過度に許可されたデータ・アクセスは、データ・セキュリティにとって常に問題だが、ジェネAIは火に油を注ぐ。
ユーザーがジェネAIコパイロットに質問すると、ツールはグラフ・テクノロジーを介してインターネットやビジネス・コンテンツに基づいた自然言語の回答を作成する。
ユーザーはデータへのアクセスを過度に許可していることが多いため、コパイロットは機密データを簡単に表示することができる。
多くの組織は、そもそもどのような機密データを持っているのかを把握しておらず、アクセスの適正化を手作業で行うことはほぼ不可能である。
AI世代がデータ侵害のハードルを下げる
脅威行為者はもはや、システムのハッキング方法を知る必要も、環境の裏表を理解する必要もない。彼らは単に、機密情報や横方向に移動するための認証情報を副操縦士に尋ねることができる。
AIツールの導入に伴うセキュリティ上の課題には、以下のようなものがある:
- 従業員があまりにも多くのデータにアクセスできる
- 機密データにはラベルが貼られていないか、誤ったラベルが貼られていることが多い。
- インサイダーは、自然言語を使って素早くデータを見つけ、流出させることができる。
- 攻撃者は特権の昇格や横移動のための秘密を発見することができる
- アクセスの適正化は手作業では不可能
- ジェネレーティブAIは新しい機密データを迅速に作成できる
これらのデータ・セキュリティの課題は目新しいものではないが、AIが情報を表面化するスピードと容易さを考えると、非常に悪用しやすい。
最初のAI侵害を阻止する方法
ジェネレーティブAIに関連するリスクを取り除く第一歩は、社内の体制を整えることだ。
どこに機密データがあるのか、その機密データは何なのか、暴露とリスクを分析できないのか、セキュリティ・ギャップを解消し、設定ミスを効率的に修正できないのかを把握している自信がないのであれば、組織内でコパイロットを野放しにするのは得策ではない。
自社の環境におけるデータ・セキュリティを把握し、適切なプロセスが整備されたら、コパイロットを導入する準備が整ったことになります。
この時点では、アクセス許可、ラベル、人間の活動に焦点を当てる必要があります。
- 権限:ユーザの権限が適切なサイズであり、コパイロットのアクセスにその権限が反映されていることを確認します。
- ラベル:どのような機密データがあり、その機密データが何であるかを理解したら、ラベルを適用して DLP を実施することができます。
- 人の行動:従業員がコパイロットをどのように使用しているかを監視し、検出された疑わしい動作を確認することが不可欠です。悪用されるコパイロットを防ぐには、プロンプトとユーザーがアクセスするファイルを監視することが重要です。
これら3つのデータ・セキュリティ分野を組み込むことは容易ではなく、手作業だけでは達成できない。データ・セキュリティに対する全体的なアプローチと、コピロット自体の具体的な制御なしに、AIコピロットを安全に導入できる組織はほとんどありません。
バロニスでAI侵害を防ぐ
Varonisは、世界中のお客様が最も重要なもの、すなわちデータを保護できるよう支援しています。私たちは、ジェネレーティブAIの導入を計画している組織を保護するために、深い専門知識を適用しました。
ジェネレーティブAIの旅を始めたばかりであれば、無料のデータリスク評価から始めるのが最適です。24時間以内に機密データリスクをリアルタイムで把握し、ジェネレーティブAIのコパイロットを安全に採用できるかどうかを判断できます。
詳細については、当社のAIセキュリティ・リソースをご覧ください。
後援・執筆:バロニス
Comments