第12回
職場でのAI活用:ビジネス活用のための準備と安全確保に関する3つのステップ
Varonis Systems, Inc. 執筆
私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。
このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。
第12回目となる今回は、「職場でのAI活用:ビジネス活用のための準備と安全確保に関する3つのステップ」と題して、企業が、生成AIがもたらすリスクに備え、機密性の高いデータを保護する方法をご紹介する、当社の共同創業者兼最高経営責任者(CEO)であるYaki Faitelsonのブログ記事をご紹介いたします。
ハイプという観点では、AIほど熱いものはないでしょう;ブロックチェーンにはいくつかの弱点があり、メタバースはこのマルチバースでは盛り上がっていませんし、ビッグデータでさえ小さく見えます。大手サイバーセキュリティ企業のCEOとして、AIについて、そしてそれがデータセキュリティにとってどんな意味を持つのか、毎日のように質問されます。
多くの新しいテクノロジーがそうであるように、生成AIはチャンスとリスクの両方をもたらすものです。AIは既に、従業員の仮想アシスタントとして活動することで、既に生産性を向上させています。しかし、リスクの観点からは、2つの側面を考慮する必要があります—自ら招いたリスクと外部リスクです。
自ら招いてしまうリスクは、組織の従業員がAIにコンテンツを提案してもらうのにあたって、クエリーや作成中の文脈から生じるものです。データがロックダウンされていない限り、AIが組織のデータ資産を分析し、秘密のロードマップや財務情報、その他の貴重なデータを間違ったユーザーに公開してしまうことを防止する方策はほとんどありません。
このリスクを軽減するため、Microsoftでは、AIアシスタントであるCopilotをロールアウトする前に機密性の高いデータの安全を確保することを推奨しています。Microsoftは、そのステップの一つとして、「組織が適切な情報アクセス制御とポリシーを持っていることを確認する」ことを推奨しています。
残念ながら、適切なアクセス制御とポリシーを導入することは、ほとんどの組織が認識しているよりもはるかに困難です。私たちが作成し保護しなければならいないデータを、AIは更に増やすため、これはますます難しくなるでしょう。
適切な制御を導入していなければ、AIは誰が何を見ていいのかを知る術がありません。企業内検索プラットフォームを有効にした後に露出に気付いてロックダウン作業を始めた時と同じように、企業では露出の問題が起きるでしょう。そうなれば、従業員は盗みたいコンテンツを検索したり、こっそり覗いたりする必要はありません;AIが従業員のために進んで露出させてくれます。
攻撃者がAIを活用する方法
攻撃者がAIを使いこなすようになるにつれ、外部リスクの増大も続くでしょう。残念ながら、攻撃者のAI利用は既に始まっています。WormGPTやFraudGPTは大規模言語モデル(LLM)を使用しており、攻撃者が説得力のあるフィッシングメールを作成し、他の言語に翻訳するのを支援しています。
攻撃者は現在、過去の侵害事故やその他の利用可能なデータに基づいて偽のデータセットを作成するようになりました;有能な攻撃者としての評判を獲得するために企業からデータを盗み出したと主張し、これらの企業を騙して身代金を支払わせたりする可能性もあります。生成AIはデータ量を増やし、本物の侵害と偽物の侵害を見分けることがより難しくなるでしょう。
研究者はすでに概念実証としてAIを使ってマルウェアを作成しており、私たちはAIが生成したマルウェアが流行することを想定しておく必要があります。残念なことに、AIの利用はあらゆる種類のサイバー犯罪者の参入障壁を下げ続けることになるでしょう。
これらはAIがもたらすリスクのほんの一部です—このテクノロジーが進歩するペースに応じて、今後もより多くのリスクが生まれるでしょう。間もなく、生成AIは新たなサイバー脅威を自分で考案するかも知れません。
サイバー防御はAIが後押し
ありがたいことに、AIはサイバーセキュリティにも大きなチャンスをもたらします。
AIはパターン認識を得意としています。適切な分析を行うことにより、AIと機械学習は脆弱性や望ましくない振る舞いについての知見を提供することができます。自動化と組み合わせれば、AIが日常的なタスクを処理し、人間が貴重な注意を払う必要のあるタスクにより時間を割くことができるようにしてくれるでしょう。
人間の介入が必要な場合、AIは担当者に知見を提供して調査を迅速化することにより、サイバー防御の効率化を支援するでしょう。こうしたAIの活用法は目前に迫っており、さらに多くの活用法が控えています。例えば、生成AIは、攻撃者のために餌となる合成データの宝庫を生成することができます—攻撃側にとっては貴重なものを盗むことができたのかを知ることが難しくなる一方で、防御側や防御のためのテクノロジーに対しては追跡している間にサイバー詐欺師を捕まえる機会を増やすことができます。
AI活用に向けた組織での準備
1. データリスクアセスメントを実施し、「友好的な」AIや「非友好的な」攻撃者が実行するAIによって表面化する前に、機密性の高いデータや過度にアクセスが可能なデータを特定します。あなたのデータによってAIの価値が高まるのですから、それを保護する必要があります。組織は、自分たちの重要なデータがどこに保管されているのか、誰が利用できるのか—利用しているのか—について、十分に把握していません。
2. データ、特に重要なデータをロックダウンしましょう。アセスメントによってデータリスクを確認すると、ほとんどの組織では、アクセスしやす過ぎる重要なデータが見つかり、それが不適切な場所にあること、意外な方法で使われていたりいなかったりすることに気付かされます。従業員やパートナーは、業務を遂行するために必要な情報のみを持つべきで、それ以上は持つべきではありません。
3. データを監視しましょう。攻撃者がどんな新しいAI技術を使うのかはわかりませんが、その技術を何のために使うのかはわかります—データを盗むためです。人間やアプリケーションがデータをどのように使用しているか、望ましくないアクティビティが発生していないかを、監視することはかつてないほど重要になっています。クレジットカード会社や銀行は、金融犯罪を検出するために長年にわたって金融取引を監視してきました。そして、貴重なデータを保有しているすべての組織はデータ関連の犯罪を検出するためにデータの取り扱いを監視するべきです。
いくつかの新しい、トレンドの技術が、ピークを迎えたり陳腐化していく一方で、AIはほぼ確実にハイプが長く続くでしょう。もしデータがロックダウンされていなければ、AI(友好的かどうかに拘わらず)はデータ侵害の可能性を高めるでしょう。私たちが知る限り、AIでさえデータの侵害を防ぐことはできないため、データの安全を確保して、AIがあなたを狙うのではなくあなたのために働くようにしましょう。
この記事の初稿はForbesに掲載されました。
参考資料
・オリジナル記事「AI at Work: Three Steps to Prepare and Protect Your Business」(英文)
https://www.varonis.com/blog/ai-at-work
https://www.forbes.com/sites/forbestechcouncil/2023/09/26/ai-at-work-three-steps-to-prepare-and-protect-your-business/?sh=2ffe25a768da
・Microsoft Learn「Microsoft Copilot for Microsoft 365 のデータ、プライバシー、セキュリティ」
https://learn.microsoft.com/ja-jp/copilot/microsoft-365/microsoft-365-copilot-privacy
・SLASHNEXT「WormGPT – The Generative AI Tool Cybercriminals Are Using to Launch Business Email Compromise Attacks」(英文)
https://slashnext.com/blog/wormgpt-the-generative-ai-tool-cybercriminals-are-using-to-launch-business-email-compromise-attacks/
・HACKERNOON「What Is FraudGPT?」(英文)
https://hackernoon.com/what-is-fraudgpt
・DARKREADING「How & Why Cybercriminals Fabricate Data Leaks」(英文)
https://www.darkreading.com/vulnerabilities-threats/how-why-cybercriminals-fabricate-data-leaks
・HYAS「BLACKMAMBA: AI-SYNTHESIZED,
POLYMORPHIC KEYLOGGER
WITH ON-THE-FLY PROGRAM
MODIFICATION」(英文)
https://www.hyas.com/hubfs/Downloadable%20Content/HYAS-AI-Augmented-Cyber-Attack-WP-1.1.pdf
・Varonis - Microsoft 365 Copilot準備状況アセスメント
https://view.highspot.com/viewer/6675973224c651892113f94c?iid=66683278f191dc4dab2e75cd
・Varonis - Varonisデータリスクアセスメント報告書サンプル
https://view.highspot.com/viewer/6675973224c651892113f94c?iid=65de07e26d963f0090069f99
ブログ記事著者の紹介
Yaki Faitelson
Varonisの共同創業者兼CEOであり、経営、戦略的方向性と実行を担当しています。
(翻訳:跡部 靖夫)
プロフィール
Varonis Systems, Inc. (NASDAQ: VRNS) はデータセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。Varonisはデータのアクティビティや境界テレメトリー、ユーザーの振る舞いを分析することにより企業のデータを保護し、機密性の高いデータのロックダウンにより事故を防ぎ、また、自動化によりセキュアな状態を効率的に維持します。
Webサイト:Varonis Systems, Inc.
- 第36回 Varonis for ServiceNowのご紹介
- 第35回 CISOの秘密: 2025年に向けた究極のセキュリティ計画
- 第34回 クラウドセキュリティの問題を発見して修正するAWS Access Graphのご紹介
- 第33回 Varonis for Google Cloudのご紹介
- 第32回 Microsoft 365 CopilotへのNIST CSF 2.0の適用
- 第31回 NISTサイバーセキュリティフレームワーク 2.0を紐解く
- 第30回 データセキュリティ最前線: Varonisのいま(2024年10月)
- 第29回 DSPMを利用してシャドーデータベースを見つける方法
- 第28回 サプライチェーン攻撃への対応準備はできていますか?—サプライチェーンリスク管理が不可欠である理由
- 第27回 クラウドの裂け目:大規模学習モデル (LLM) リスクから身を守るには
- 第26回 クラウドの構成ドリフトを防ぐには
- 第25回 データ漏洩に繋がるAWSの構成不備
- 第24回 データ分類製品購入ガイド: データ分類ソリューションの選び方
- 第23回 クラウド領域のデータセキュリティ:DSPMの主な活用方法
- 第22回 米国証券取引委員会(SEC)の新サイバー開示ガイドラインが意味するもの
- 第21回 対談:悪意のある(非)内部関係者
- 第20回 欧州連合人工知能法(EU AI法):その内容と重要ポイント
- 第19回 UEBAとは?ユーザーとエンティティーの振る舞い分析 (UEBA) の完全ガイド
- 第18回 対談:ガバナンス、リスク管理、コンプライアンス (GRC) の原理
- 第17回 クラウドセキュリティプログラムを一から構築するには
- 第16回 Snowflake内の重要データの安全を確保するには
- 第15回 Salesforceの保護:公開リンク作成を防止
- 第14回 ランサムウェアを防止する方法:基本編
- 第13回 クラウドセキュリティの基本:データセキュリティ態勢管理(DSPM)の自動化
- 第12回 職場でのAI活用:ビジネス活用のための準備と安全確保に関する3つのステップ
- 第11回 DSPM購入ガイド:DSPMソリューションの選び方
- 第10回 ISO 27001 (ISMS) 準拠ガイド: 重要なヒントと洞察
- 第9回 クラウドデータセキュリティの未来:DSPM活用法
- 第8回 組織における責任共有モデルの理解と適用
- 第7回 Varonisを活用してMicrosoft Copilot for Microsoft 365の安全な導入を加速する方法
- 第6回 企業向けCopilotに入力して欲しくないプロンプト6選
- 第5回 DSPMとCSPMソリューションの比較:データセキュリティとクラウドセキュリティを橋渡しするには
- 第4回 生成AIセキュリティ:Microsoft Copilotの安全なロールアウトに向けて
- 第3回 Varonisが内部者の脅威との戦いを支援する3つの方法
- 第2回 VaronisがGigaOmの2023年版レーダーレポート「データセキュリティプラットフォーム」でリーダーに選出
- 第1回 Varonis誕生ものがたり