クラウドの裂け目：大規模学習モデル (LLM) リスクから身を守るには

私どもVaronis Systems, Inc (NASDAQ: VRNS) は、データセキュリティと分析の先駆者で、データ保護、脅威の検出と対応、およびコンプライアンスに特化したソフトウェアを開発しています。 このコラムでは、サイバーセキュリティ、プライバシー、データ保護についての最新のトレンドや知見、分析情報、事例などを皆様にご紹介していきたいと考えております。

第27回目となる今回は、「クラウドの裂け目：大規模学習モデル (LLM) リスクから身を守るには」と題して、S大規模言語モデル（LLM）がクラウドセキュリティにもたらすリスクと、新しい技術を採用する際に慎重になるべき理由を解説する、VaronisのBrock Bauer（セキュリティアーキテクト）とEllen Wilson（製品マーケティングディレクター）の対談をまとめて当社Megan Garzaのブログ記事をご紹介いたします。

現代のテクノリジーはクラウドに大きく依存しており、企業がSaaSに移行するにつれて、生成AIなどの高度な機能やツールの利用が増加しています。

VaronisのBrock Bauer（セキュリティアーキテクト）とEllen Wilson（製品マーケティングディレクター）は最近、AIの動向について議論し、大規模言語モデル（LLM）が膨大な情報の迅速な管理にどう役立つかを説明しました。

しかし、この生産性の向上に伴って、リスクも増大しています。組織がクラウドに移行するにつれ、その爆発範囲はますます広がっています。

引き続きライブセッションの詳細と、機密性の高い情報を保護するためにデータの完全な可視性が重要である理由を学んでいきましょう。

クラウドでのLLMの活用

クラウドはあらゆる最先端技術の基盤となっており、クラウドの採用は不可欠となっています。

セキュリティチームが受ける質問は、SaaSに移行すべきかどうかから、いつどのように移行すべきかに変わっています。

“クラウドは、あらゆる新技術が生まれる場所となっています」とBrockは述べました。

組織がクラウドに移行するにつれ、新しい機能やツールセットの導入が検討され、その中でもAIが大きな話題を呼んでいます。

現在、多くの新製品や既存製品がAI機能を搭載し、データを解釈する方法に革命をもたらしています。LLMは、自然言語でデータと対話したり、情報を受け取ったりすることを可能にし、Microsoft、Salesforce、その他多くのアプリケーションによって提供される新しい副操縦士に統合されています。

しかし、Brockによると、データを扱うプラットフォーム、人、ツールは、常に組織の利益を優先しているわけではありません。彼は、LLMのような新しい技術を採用する際には慎重になるように、聴衆に警告しました。

“AIにメールや会議の要約や、巨大なデータセットやファイルシステムの解析、さらにはメールの返信分の作成などを依頼することにより、生産性を向上させることができます」とBlockは語りました。“しかし、これらの技術をユーザーの手に委ねるリスクを理解する必要があります。”

AIがデータセキュリティの課題に及ぼす影響

攻撃は、あらゆる種類の同期、方法、技術を用いて、さまざまな方向からやって来ます。攻撃や侵害の性質に拘わらず、攻撃者は共通の目標を共有しています：データを標的にすることです。

Ellenは、AIの導入により、ただでさえ複雑なデータセキュリティ分野に更に複雑さが加わったと指摘しました。

“組織がクラウドに移行するにつれ、その爆発範囲はますます広がっています"と彼女は語りました。"これらの新しいAI副操縦士が、データの過剰な露出という追加のリスクをどのように加えるのかを想像してみてください。"

生産性とデータプライバシーのバランス

ガートナー社によると、ガードナー社によると、ITおよびセキュリティを担当する役員の42%がAIに関連するデータプライバシーに懸念を抱いています。組織は、AIの機能を維持しながらプライバシーを保護する必要を認識していますが、その両方を管理するのは難しいと感じています。
“私たちはLLMの技術を活用したいと考えています”とBlockは述べます。“ユーザーの生産性を高める機能を提供しつつ、ユーザーがアクセスするデータのプライバシーも保護しなければなりません。
規制への準拠を確実にすることは、AIの分野では大きな課題となり得ます。
今年の初めには、世界初の包括的なAI規制であり、違反した場合の罰金額が最大3500万ユーロとなる欧州連合人工知能法（EU AI法）が成立しました。
“今後数年間で、このような規制が更に増えると確信しています”とBrockは述べています。
Ellenは、多くの企業で、AIの導入にあたって、セキュリティ対策が後回しにされる可能性があると指摘しました。

組織をAIリスクから守るには

機密性の高いデータをAI関連のリスクから保護するには、まず、データを完全に可視化する必要があります。

“誰がアクセス権を持っているのか、どうやってそこにたどり着いたのか、誰があるいは何が使用しているのか、そしてその機密性を把握する必要があります”とBrockは述べました。

AI副操縦士が有効化されているどのユーザーやAIアカウントがデータにアクセスできるのかを知ることは非常に重要です。これには、AWS、Azure、Snowflakeなどの主要なデータプラットフォームにわたるAIワークロードの可視化も含まれます。

AIの異常な利用—AIプロセスやユーザーによるポリシー違反や、異常な振る舞い—を監視することも極めて重要です。

最後に、不可欠なのは、業務に支障を来すことなく安全ではない過剰なアクセス許可を取り消すことができるようにすることです。
“これにより、AIの爆発範囲を自動的に制御し、縮小することができます」とEllenは言います。

Varonisがお手伝いできること

Varonisは、データセキュリティに対して、自動化された、包括的なアプローチを採用しています。

Varonisのクラウドネイティブプラットフォームは、爆発範囲を評価し、脅威に自動的に対処して常に最小特権を確実にし、迅速なアクションを取れるように新たな脅威を警告します。

“Varonisは、Copilotが何に使われているのかを正確に検出することができます」とBlockは述べています。“Varonisが追跡しているものには、プロンプトと応答だけではなく、AIによってアクセスされたファイルや、さらには下書きされたファイルも含まれます。

“Varonisは長年にわたってデータに関する振る舞いアラート機能を提供してきました。そして、LLM処理が登場したことにより、ユーザーの不正な意図や悪意のある意図を特定することができ、AI関連の攻撃を早期に捕捉し、侵害を未然に防ぐための足掛かりができました。”

LLMのリスクについて詳しく知りたい方は、BrockとEllenの議論全体をご覧ください。

参考資料

・オリジナルブログ記事（英文）
https://www.varonis.com/blog/llm-security-risks

・YouTube動画: Reducing AI’s Blast Radius: How to Prevent Your First AI Breach | RSAC Keynote by Matt Radolec（英語）
https://www.youtube.com/watch?v=N2sFP9s6yA8

・CPE対象Webセミナー: Breaks in the Cloud - Protecting Against Top LLM Risks（英語）
https://info.varonis.com/en/webinar/breaks-in-the-cloud-protecting-against-top-llm-risks-2024-08-29?hsLang=en

・YouTube動画: Speed Data: Unpacking Gen AI With Yohan Kim（英語）
https://www.youtube.com/watch?v=PtyhuoMO_mM

・当コラム 第4回 生成AIセキュリティ：Microsoft Copilotの安全なロールアウトに向けて
https://www.innovations-i.com/column/data-security/4.html

・Generative AI Security: Preparing for Salesforce Einstein Copilot（英文）
https://www.varonis.com/blog/salesforce-einstein-copilot-security

・Rewards and Risks: Why Generative AI Security is Essential（英文）
https://www.varonis.com/blog/gen-ai-security

・当コラム 第12回 職場でのAI活用：ビジネス活用のための準備と安全確保に関する3つのステップ
https://www.innovations-i.com/column/data-security/12.html

・Capitalize on the Need for Data Privacy Solutions for GenAI（英文）
https://www.gartner.com/en/documents/5211463

・当コラム 第20回 欧州連合人工知能法（EU AI法）：その内容と重要ポイント
https://www.innovations-i.com/column/data-security/20.html

・Varonis Adds Automated Remediation for AWS to Industry-Leading DSPM Capabilities（英文）
https://www.varonis.com/blog/aws-remediation

・Varonis Expands DSPM Capabilities with Deeper Azure and AWS Support（英文）
https://www.varonis.com/blog/varonis-expands-azure-and-aws-dspm-support

・当コラム 第16回 Snowflake内の重要データの安全を確保するには
https://www.innovations-i.com/column/data-security/16.html

・Varonis Data Security Platform
https://www.varonis.com/ja/products/data-security-platform

・当コラム 第6回 企業向けCopilotに入力して欲しくないプロンプト6選
https://www.innovations-i.com/column/data-security/6.html

ブログ記事著者の紹介

Megan Garza

MeganはVaronisのコンテンツ編集者で、APスタイルの熱烈なファンです。「サイバーセキュリティ」が1語であるべきか2語であるべきかについて議論していない時、Meganは、夫と旅行をしたり、ピットブルのBearを不健康なほど溺愛しています。