職場でのAI活用：ビジネス活用のための準備と安全確保に関する3つのステップ

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。

このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第12回目となる今回は、「職場でのAI活用:ビジネス活用のための準備と安全確保に関する3つのステップ」と題して、企業が、生成AIがもたらすリスクに備え、機密性の高いデータを保護する方法をご紹介する、当社の共同創業者兼最高経営責任者（CEO）であるYaki Faitelsonのブログ記事をご紹介いたします。

ハイプという観点では、AIほど熱いものはないでしょう；ブロックチェーンにはいくつかの弱点があり、メタバースはこのマルチバースでは盛り上がっていませんし、ビッグデータでさえ小さく見えます。大手サイバーセキュリティ企業のCEOとして、AIについて、そしてそれがデータセキュリティにとってどんな意味を持つのか、毎日のように質問されます。

多くの新しいテクノロジーがそうであるように、生成AIはチャンスとリスクの両方をもたらすものです。AIは既に、従業員の仮想アシスタントとして活動することで、既に生産性を向上させています。しかし、リスクの観点からは、2つの側面を考慮する必要があります—自ら招いたリスクと外部リスクです。

自ら招いてしまうリスクは、組織の従業員がAIにコンテンツを提案してもらうのにあたって、クエリーや作成中の文脈から生じるものです。データがロックダウンされていない限り、AIが組織のデータ資産を分析し、秘密のロードマップや財務情報、その他の貴重なデータを間違ったユーザーに公開してしまうことを防止する方策はほとんどありません。

このリスクを軽減するため、Microsoftでは、AIアシスタントであるCopilotをロールアウトする前に機密性の高いデータの安全を確保することを推奨しています。Microsoftは、そのステップの一つとして、「組織が適切な情報アクセス制御とポリシーを持っていることを確認する」ことを推奨しています。

残念ながら、適切なアクセス制御とポリシーを導入することは、ほとんどの組織が認識しているよりもはるかに困難です。私たちが作成し保護しなければならいないデータを、AIは更に増やすため、これはますます難しくなるでしょう。

適切な制御を導入していなければ、AIは誰が何を見ていいのかを知る術がありません。企業内検索プラットフォームを有効にした後に露出に気付いてロックダウン作業を始めた時と同じように、企業では露出の問題が起きるでしょう。そうなれば、従業員は盗みたいコンテンツを検索したり、こっそり覗いたりする必要はありません；AIが従業員のために進んで露出させてくれます。

攻撃者がAIを活用する方法

攻撃者がAIを使いこなすようになるにつれ、外部リスクの増大も続くでしょう。残念ながら、攻撃者のAI利用は既に始まっています。WormGPTやFraudGPTは大規模言語モデル（LLM）を使用しており、攻撃者が説得力のあるフィッシングメールを作成し、他の言語に翻訳するのを支援しています。

攻撃者は現在、過去の侵害事故やその他の利用可能なデータに基づいて偽のデータセットを作成するようになりました；有能な攻撃者としての評判を獲得するために企業からデータを盗み出したと主張し、これらの企業を騙して身代金を支払わせたりする可能性もあります。生成AIはデータ量を増やし、本物の侵害と偽物の侵害を見分けることがより難しくなるでしょう。

研究者はすでに概念実証としてAIを使ってマルウェアを作成しており、私たちはAIが生成したマルウェアが流行することを想定しておく必要があります。残念なことに、AIの利用はあらゆる種類のサイバー犯罪者の参入障壁を下げ続けることになるでしょう。

これらはAIがもたらすリスクのほんの一部です—このテクノロジーが進歩するペースに応じて、今後もより多くのリスクが生まれるでしょう。間もなく、生成AIは新たなサイバー脅威を自分で考案するかも知れません。

サイバー防御はAIが後押し

ありがたいことに、AIはサイバーセキュリティにも大きなチャンスをもたらします。

AIはパターン認識を得意としています。適切な分析を行うことにより、AIと機械学習は脆弱性や望ましくない振る舞いについての知見を提供することができます。自動化と組み合わせれば、AIが日常的なタスクを処理し、人間が貴重な注意を払う必要のあるタスクにより時間を割くことができるようにしてくれるでしょう。

人間の介入が必要な場合、AIは担当者に知見を提供して調査を迅速化することにより、サイバー防御の効率化を支援するでしょう。こうしたAIの活用法は目前に迫っており、さらに多くの活用法が控えています。例えば、生成AIは、攻撃者のために餌となる合成データの宝庫を生成することができます—攻撃側にとっては貴重なものを盗むことができたのかを知ることが難しくなる一方で、防御側や防御のためのテクノロジーに対しては追跡している間にサイバー詐欺師を捕まえる機会を増やすことができます。

AI活用に向けた組織での準備

1.    データリスクアセスメントを実施し、「友好的な」AIや「非友好的な」攻撃者が実行するAIによって表面化する前に、機密性の高いデータや過度にアクセスが可能なデータを特定します。あなたのデータによってAIの価値が高まるのですから、それを保護する必要があります。組織は、自分たちの重要なデータがどこに保管されているのか、誰が利用できるのか—利用しているのか—について、十分に把握していません。

2.    データ、特に重要なデータをロックダウンしましょう。アセスメントによってデータリスクを確認すると、ほとんどの組織では、アクセスしやす過ぎる重要なデータが見つかり、それが不適切な場所にあること、意外な方法で使われていたりいなかったりすることに気付かされます。従業員やパートナーは、業務を遂行するために必要な情報のみを持つべきで、それ以上は持つべきではありません。

3.    データを監視しましょう。攻撃者がどんな新しいAI技術を使うのかはわかりませんが、その技術を何のために使うのかはわかります—データを盗むためです。人間やアプリケーションがデータをどのように使用しているか、望ましくないアクティビティが発生していないかを、監視することはかつてないほど重要になっています。クレジットカード会社や銀行は、金融犯罪を検出するために長年にわたって金融取引を監視してきました。そして、貴重なデータを保有しているすべての組織はデータ関連の犯罪を検出するためにデータの取り扱いを監視するべきです。

いくつかの新しい、トレンドの技術が、ピークを迎えたり陳腐化していく一方で、AIはほぼ確実にハイプが長く続くでしょう。もしデータがロックダウンされていなければ、AI（友好的かどうかに拘わらず）はデータ侵害の可能性を高めるでしょう。私たちが知る限り、AIでさえデータの侵害を防ぐことはできないため、データの安全を確保して、AIがあなたを狙うのではなくあなたのために働くようにしましょう。

この記事の初稿はForbesに掲載されました。

参考資料

・オリジナル記事「AI at Work: Three Steps to Prepare and Protect Your Business」（英文）
https://www.varonis.com/blog/ai-at-work
https://www.forbes.com/sites/forbestechcouncil/2023/09/26/ai-at-work-three-steps-to-prepare-and-protect-your-business/?sh=2ffe25a768da

・Microsoft Learn「Microsoft Copilot for Microsoft 365 のデータ、プライバシー、セキュリティ」
https://learn.microsoft.com/ja-jp/copilot/microsoft-365/microsoft-365-copilot-privacy

・SLASHNEXT「WormGPT – The Generative AI Tool Cybercriminals Are Using to Launch Business Email Compromise Attacks」（英文）
https://slashnext.com/blog/wormgpt-the-generative-ai-tool-cybercriminals-are-using-to-launch-business-email-compromise-attacks/

・HACKERNOON「What Is FraudGPT?」（英文）
https://hackernoon.com/what-is-fraudgpt

・DARKREADING「How & Why Cybercriminals Fabricate Data Leaks」（英文）
https://www.darkreading.com/vulnerabilities-threats/how-why-cybercriminals-fabricate-data-leaks

・HYAS「BLACKMAMBA: AI-SYNTHESIZED, POLYMORPHIC KEYLOGGER WITH ON-THE-FLY PROGRAM MODIFICATION」（英文）
https://www.hyas.com/hubfs/Downloadable%20Content/HYAS-AI-Augmented-Cyber-Attack-WP-1.1.pdf

・Varonis - Microsoft 365 Copilot準備状況アセスメント
https://view.highspot.com/viewer/6675973224c651892113f94c?iid=66683278f191dc4dab2e75cd

・Varonis - Varonisデータリスクアセスメント報告書サンプル
https://view.highspot.com/viewer/6675973224c651892113f94c?iid=65de07e26d963f0090069f99

ブログ記事著者の紹介

Yaki Faitelson

Varonisの共同創業者兼CEOであり、経営、戦略的方向性と実行を担当しています。

（翻訳：跡部 靖夫）