第27回
クラウドの裂け目:大規模学習モデル (LLM) リスクから身を守るには
Varonis Systems, Inc. 執筆
私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。
第27回目となる今回は、「クラウドの裂け目:大規模学習モデル (LLM) リスクから身を守るには」と題して、大規模言語モデル(LLM)がクラウドセキュリティにもたらすリスクと、新しい技術を採用する際に慎重になるべき理由を解説する、VaronisのBrock Bauer(セキュリティアーキテクト)とEllen Wilson(製品マーケティングディレクター)の対談をまとめた、当社Megan Garzaのブログ記事をご紹介いたします。
現代のテクノリジーはクラウドに大きく依存しており、企業がSaaSに移行するにつれて、生成AIなどの高度な機能やツールの利用が増加しています。
VaronisのBrock Bauer(セキュリティアーキテクト)とEllen Wilson(製品マーケティングディレクター)は最近、AIの動向について議論し、大規模言語モデル(LLM)が膨大な情報の迅速な管理にどう役立つかを説明しました。
しかし、この生産性の向上に伴って、リスクも増大しています。組織がクラウドに移行するにつれ、その爆発範囲はますます広がっています。
引き続きライブセッションの詳細と、機密性の高い情報を保護するためにデータの完全な可視性が重要である理由を学んでいきましょう。
クラウドでのLLMの活用
クラウドはあらゆる最先端技術の基盤となっており、クラウドの採用は不可欠となっています。
セキュリティチームが受ける質問は、SaaSに移行すべきかどうかから、いつどのように移行すべきかに変わっています。
“クラウドは、あらゆる新技術が生まれる場所となっています」とBrockは述べました。
組織がクラウドに移行するにつれ、新しい機能やツールセットの導入が検討され、その中でもAIが大きな話題を呼んでいます。
新しい機能やツールセットを利用するために誰もがクラウドへ移行しており、いま注目されているのはAIです。 Brock Bauer, Varonisセキュリティアーキテクト |
現在、多くの新製品や既存製品がAI機能を搭載し、データを解釈する方法に革命をもたらしています。LLMは、自然言語でデータと対話したり、情報を受け取ったりすることを可能にし、Microsoft、Salesforce、その他多くのアプリケーションによって提供される新しい副操縦士に統合されています。
しかし、Brockによると、データを扱うプラットフォーム、人、ツールは、常に組織の利益を優先しているわけではありません。彼は、LLMのような新しい技術を採用する際には慎重になるように、聴衆に警告しました。
“AIにメールや会議の要約や、巨大なデータセットやファイルシステムの解析、さらにはメールの返信分の作成などを依頼することにより、生産性を向上させることができます」とBlockは語りました。“しかし、これらの技術をユーザーの手に委ねるリスクを理解する必要があります。”
AIがデータセキュリティの課題に及ぼす影響
攻撃は、あらゆる種類の同期、方法、技術を用いて、さまざまな方向からやって来ます。攻撃や侵害の性質に拘わらず、攻撃者は共通の目標を共有しています:データを標的にすることです。
残念なことに、 攻撃者は何百万回でもデータ侵害を試行できる優位性を持っており、一回だけ成功すれば良いのですが、 防御側の私たちは常に成功する必要があります。 Ellen Wilson, Varonis製品マーケティングディレクター |
Ellenは、AIの導入により、ただでさえ複雑なデータセキュリティ分野に更に複雑さが加わったと指摘しました。
“組織がクラウドに移行するにつれ、その爆発範囲はますます広がっています"と彼女は語りました。"これらの新しいAI副操縦士が、データの過剰な露出という追加のリスクをどのように加えるのかを想像してみてください。"
生産性とデータプライバシーのバランス
ガートナー社によると、ガードナー社によると、ITおよびセキュリティを担当する役員の42%がAIに関連するデータプライバシーに懸念を抱いています。組織は、AIの機能を維持しながらプライバシーを保護する必要を認識していますが、その両方を管理するのは難しいと感じています。
“私たちはLLMの技術を活用したいと考えています”とBlockは述べます。“ユーザーの生産性を高める機能を提供しつつ、ユーザーがアクセスするデータのプライバシーも保護しなければなりません。
規制への準拠を確実にすることは、AIの分野では大きな課題となり得ます。
今年の初めには、世界初の包括的なAI規制であり、違反した場合の罰金額が最大3500万ユーロとなる欧州連合人工知能法(EU AI法)が成立しました。
“今後数年間で、このような規制が更に増えると確信しています”とBrockは述べています。
Ellenは、多くの企業で、AIの導入にあたって、セキュリティ対策が後回しにされる可能性があると指摘しました。
業務を継続し続け、積極的に業務を滞らせないことだけを考えていると、 組織のAIデータセキュリティの課題に対する計画を立てることは不可能に思えるかも知れません。 Ellen Wilson, Varonis製品マーケティングディレクター |
組織をAIリスクから守るには
機密性の高いデータをAI関連のリスクから保護するには、まず、データを完全に可視化する必要があります。
“誰がアクセス権を持っているのか、どうやってそこにたどり着いたのか、誰があるいは何が使用しているのか、そしてその機密性を把握する必要があります”とBrockは述べました。
AI副操縦士が有効化されているどのユーザーやAIアカウントがデータにアクセスできるのかを知ることは非常に重要です。これには、AWS、Azure、Snowflakeなどの主要なデータプラットフォームにわたるAIワークロードの可視化も含まれます。
AIが生み出す新しい世代のアプリケーション脆弱性から、データを守らなければなりません。 Brock Bauer, Varonisセキュリティアーキテクト |
AIの異常な利用—AIプロセスやユーザーによるポリシー違反や、異常な振る舞い—を監視することも極めて重要です。
最後に、不可欠なのは、業務に支障を来すことなく安全ではない過剰なアクセス許可を取り消すことができるようにすることです。
“これにより、AIの爆発範囲を自動的に制御し、縮小することができます」とEllenは言います。
Varonisがお手伝いできること
Varonisは、データセキュリティに対して、自動化された、包括的なアプローチを採用しています。
Varonisのクラウドネイティブプラットフォームは、爆発範囲を評価し、脅威に自動的に対処して常に最小特権を確実にし、迅速なアクションを取れるように新たな脅威を警告します。
“Varonisは、Copilotが何に使われているのかを正確に検出することができます」とBlockは述べています。“Varonisが追跡しているものには、プロンプトと応答だけではなく、AIによってアクセスされたファイルや、さらには下書きされたファイルも含まれます。
“Varonisは長年にわたってデータに関する振る舞いアラート機能を提供してきました。そして、LLM処理が登場したことにより、ユーザーの不正な意図や悪意のある意図を特定することができ、AI関連の攻撃を早期に捕捉し、侵害を未然に防ぐための足掛かりができました。”
LLMのリスクについて詳しく知りたい方は、BrockとEllenの議論全体をご覧ください。
参考資料
・オリジナルブログ記事(英文)
https://www.varonis.com/blog/llm-security-risks
・YouTube動画: Reducing AI’s Blast Radius: How to Prevent Your First AI Breach | RSAC Keynote by Matt Radolec(英語)
https://www.youtube.com/watch?v=N2sFP9s6yA8
・CPE対象Webセミナー: Breaks in the Cloud - Protecting Against Top LLM Risks(英語)
https://info.varonis.com/en/webinar/breaks-in-the-cloud-protecting-against-top-llm-risks-2024-08-29?hsLang=en
・YouTube動画: Speed Data: Unpacking Gen AI With Yohan Kim(英語)
https://www.youtube.com/watch?v=PtyhuoMO_mM
・当コラム 第4回 生成AIセキュリティ:Microsoft Copilotの安全なロールアウトに向けて
https://www.innovations-i.com/column/data-security/4.html
・Generative AI Security: Preparing for Salesforce Einstein Copilot(英文)
https://www.varonis.com/blog/salesforce-einstein-copilot-security
・Rewards and Risks: Why Generative AI Security is Essential(英文)
https://www.varonis.com/blog/gen-ai-security
・当コラム 第12回 職場でのAI活用:ビジネス活用のための準備と安全確保に関する3つのステップ
https://www.innovations-i.com/column/data-security/12.html
・Capitalize on the Need for Data Privacy Solutions for GenAI(英文)
https://www.gartner.com/en/documents/5211463
・当コラム 第20回 欧州連合人工知能法(EU AI法):その内容と重要ポイント
https://www.innovations-i.com/column/data-security/20.html
・Varonis Adds Automated Remediation for AWS to Industry-Leading DSPM Capabilities(英文)
https://www.varonis.com/blog/aws-remediation
・Varonis Expands DSPM Capabilities with Deeper Azure and AWS Support(英文)
https://www.varonis.com/blog/varonis-expands-azure-and-aws-dspm-support
・当コラム 第16回 Snowflake内の重要データの安全を確保するには
https://www.innovations-i.com/column/data-security/16.html
・Varonis Data Security Platform
https://www.varonis.com/ja/products/data-security-platform
・当コラム 第6回 企業向けCopilotに入力して欲しくないプロンプト6選
https://www.innovations-i.com/column/data-security/6.html
ブログ記事著者の紹介
Megan Garza
MeganはVaronisのコンテンツ編集者で、APスタイルの熱烈なファンです。「サイバーセキュリティ」が1語であるべきか2語であるべきかについて議論していない時、Meganは、夫と旅行をしたり、ピットブルのBearを不健康なほど溺愛しています。
(翻訳:跡部 靖夫)
プロフィール
Varonis Systems, Inc. (NASDAQ: VRNS) はデータセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。Varonisはデータのアクティビティや境界テレメトリー、ユーザーの振る舞いを分析することにより企業のデータを保護し、機密性の高いデータのロックダウンにより事故を防ぎ、また、自動化によりセキュアな状態を効率的に維持します。
Webサイト:Varonis Systems, Inc.
- 第36回 Varonis for ServiceNowのご紹介
- 第35回 CISOの秘密: 2025年に向けた究極のセキュリティ計画
- 第34回 クラウドセキュリティの問題を発見して修正するAWS Access Graphのご紹介
- 第33回 Varonis for Google Cloudのご紹介
- 第32回 Microsoft 365 CopilotへのNIST CSF 2.0の適用
- 第31回 NISTサイバーセキュリティフレームワーク 2.0を紐解く
- 第30回 データセキュリティ最前線: Varonisのいま(2024年10月)
- 第29回 DSPMを利用してシャドーデータベースを見つける方法
- 第28回 サプライチェーン攻撃への対応準備はできていますか?—サプライチェーンリスク管理が不可欠である理由
- 第27回 クラウドの裂け目:大規模学習モデル (LLM) リスクから身を守るには
- 第26回 クラウドの構成ドリフトを防ぐには
- 第25回 データ漏洩に繋がるAWSの構成不備
- 第24回 データ分類製品購入ガイド: データ分類ソリューションの選び方
- 第23回 クラウド領域のデータセキュリティ:DSPMの主な活用方法
- 第22回 米国証券取引委員会(SEC)の新サイバー開示ガイドラインが意味するもの
- 第21回 対談:悪意のある(非)内部関係者
- 第20回 欧州連合人工知能法(EU AI法):その内容と重要ポイント
- 第19回 UEBAとは?ユーザーとエンティティーの振る舞い分析 (UEBA) の完全ガイド
- 第18回 対談:ガバナンス、リスク管理、コンプライアンス (GRC) の原理
- 第17回 クラウドセキュリティプログラムを一から構築するには
- 第16回 Snowflake内の重要データの安全を確保するには
- 第15回 Salesforceの保護:公開リンク作成を防止
- 第14回 ランサムウェアを防止する方法:基本編
- 第13回 クラウドセキュリティの基本:データセキュリティ態勢管理(DSPM)の自動化
- 第12回 職場でのAI活用:ビジネス活用のための準備と安全確保に関する3つのステップ
- 第11回 DSPM購入ガイド:DSPMソリューションの選び方
- 第10回 ISO 27001 (ISMS) 準拠ガイド: 重要なヒントと洞察
- 第9回 クラウドデータセキュリティの未来:DSPM活用法
- 第8回 組織における責任共有モデルの理解と適用
- 第7回 Varonisを活用してMicrosoft Copilot for Microsoft 365の安全な導入を加速する方法
- 第6回 企業向けCopilotに入力して欲しくないプロンプト6選
- 第5回 DSPMとCSPMソリューションの比較:データセキュリティとクラウドセキュリティを橋渡しするには
- 第4回 生成AIセキュリティ:Microsoft Copilotの安全なロールアウトに向けて
- 第3回 Varonisが内部者の脅威との戦いを支援する3つの方法
- 第2回 VaronisがGigaOmの2023年版レーダーレポート「データセキュリティプラットフォーム」でリーダーに選出
- 第1回 Varonis誕生ものがたり