企業のAIアプリ利用、三分の一以上が規制対象の個人データに？　Netskope Threat Labs調査

セキュアアクセスサービスエッジ（SASE）のリーディングカンパニーであるNetskopeの調査研究部門であり、クラウド関連の脅威を中心に独自のリサーチを行うNetskope Threat Labsは、米国時間2024年7月17日、企業のAIアプリ活用に関する新たな調査レポート「クラウド・脅威レポート：企業におけるAIアプリ（Cloud and Threat Report: AI Apps in the Enterprise）」を発表した。今回はその結果を一部紹介する。

生成AI使用の増加とDLP導入の遅れ

Netskope Threat Labsの最新の調査によると、調査対象となった企業の4分の3は、現在少なくとも1つの生成AIアプリを完全にブロックしているという。そこには、機密データの漏えいリスクを抑えたいという企業の技術部門リーダーの懸念が反映されている。一方で、入力内容の照会による機密情報の共有を防ぐ目的でデータセントリックな管理策を適用している組織は半数以下であったことも判明。本レポートでは、企業の大多数において、生成AIの安全な活用を実現するために必要な、高度なDLP（Data Loss Prevention、データ損失防止）ソリューション導入の遅れが指摘されている。

また、本調査では、現在、96%の企業が生成AIを使用していることが明らかになっており、過去12カ月間で3倍の伸びを示しているという。アプリの採用数を調査する項目では、平均で10近くの生成AIアプリが使用されていることも判明した。また、採用数で上位1％にあたる企業では、2023年には平均して14のアプリが使用されていたが、本調査では現在平均して80のアプリを使用していることがわかっている。

本調査結果によると、使用の増加に伴い、企業では機密に該当するソースコードの生成AIアプリ内での共有が急増し、報告されたデータポリシー違反の46%を占めているという。こうした情勢の変化についてNetskope Threat Labsは「企業のリスク管理を複雑なものにしており、より強固なDLPの必要性を示唆しています」との見解を示した。

またNetskope Threat Labsは本調査結果から見える良い兆しとして、組織が採用を進めているセキュリティおよびデータ損失管理における微妙な差異の中にある「予防的なリスク管理」を挙げている。例えば65%の企業では生成AIアプリ上でのユーザー行動をガイドするために、リアルタイムのユーザーコーチングを導入しており、57%のユーザーが警告により行動を変更。効果的なユーザーコーチングがデータに関連するリスクの軽減において重要な役割を果たすことが示されたという。

出典元：クラウドと脅威レポート：企業における AI アプリ（Netskope）

※本レポートは、金融サービス、ヘルスケア、製造、通信および小売業界を含む世界各国の複数の業界において、Netskope Security Cloudプラットフォームのユーザー数百万人から、事前の了承を得て収集された匿名の使用データに基づいたもの。2023年6月1日から2024年6月30日までの期間を対象としている

リスクへの対処における戦術的ステップとは

Netskope Threat Labsは各企業に向け、NISTのAIリスク管理フレームワークなどの取り組みを活用し、AIや生成AIに特化したリスク管理フレームワークの見直しと適用、調整を実施することを推奨。生成AIがもたらすリスクへの対処として、具体的な戦術的ステップを示した。

■ 組織の現状を知る
現状におけるAIや機械学習、データパイプライン、生成AIアプリケーションの使用状況を評価することからスタートし、セキュリティ管理の脆弱性とギャップを特定。

■ コアコントロールの実施
アクセス制御、認証メカニズム、暗号化など、基本的なセキュリティ対策を確立。

■ 高度なコントロールのための計画策定
高度なセキュリティ管理のためのロードマップを作成。脅威モデリング、異常検知、継続的モニタリング、行動検知などを検討し、通常のユーザーパターンを逸脱した不審なデータの動きを、クラウド環境から生成AIアプリ全体にわたって特定。

■ 測定、開始、修正、反復
セキュリティ対策の有効性評価を定期的に実施。実際の経験や新たに出現する脅威に基づき、適応・改良を行う。

まとめ

生成AIの利用がビジネスシーンにおいても大きな広がりを見せているが、その一方で情報漏えいへの懸念も高まっている。本調査では生成AIで共有されている機密データのうち、3分の1以上が法的義務を負う規制対象データだと報告されている。しかし、機密情報の共有を防ぐ管理策を適用している企業は半数以下だという。

NetskopeのCISO（最高情報セキュリティ責任者）であるジェームズ・ロビンソン（James Robinson）氏は「生成AIの出力を通じて、意図しない機密情報の漏洩や、誤った情報の拡散、さらには悪意あるコンテンツが持ち込まれる可能性すらあることを認識する必要があります。企業のデータ、評判、ビジネスの継続性を保護するための、強固なリスク管理アプローチが求められます」と提言している。

自社における生成AIの活用状況を把握し、適切なリスク管理ができているか、改めて見直す機会としてみてはいかがだろうか。