ビジネスにおけるデータ活用が急激に進む「生成AI時代」は、今まで以上にコンプライアンスや情報漏洩のリスクが高まります。ひとたび個人情報・顧客情報の流出や著作権の侵害が発生すると、トラブル対応の業務負荷や損害賠償などのダメージを被るだけでなく、企業イメージの低下による業績悪化などにつながるリスクがあります。
生成AI関連のサービスやツールとともに、さまざまなデータや外部コンテンツを安全に活用するためには、セキュリティ対策に関するアップデートが欠かせません。
ガートナージャパンは2024年10月に「AI/生成AI時代の情報漏洩対策に不可欠な6つの要素を発表」というプレスリリース* を発表しました。
その中で、ガートナーが2024年3月に日本国内を対象に実施した調査でも、34%の企業が「サイバー攻撃による情報漏洩が発生したことがある」と回答しており、27.7%はインサイダーによる情報漏洩の経験ありと答えています。
*Gartner®, プレスリリース, 2024年10月30日, “Gartner、AI/生成AI時代の情報漏洩対策に不可欠な6つの要素を発表” https://www.gartner.co.jp/ja/newsroom/press-releases/pr-20241030-datasecurity
GARTNERは、Gartner Inc.または関連会社の米国およびその他の国における登録商標およびサービスマークであり、同社の許可に基づいて使用しています。All rights reserved.
この記事では、このプレスリリースであげられた6つの要素(情報漏洩対策の知見、情報漏洩対策のフィロソフィ (コンセプト)、情報漏洩対策の責任の所在、データ・マップの作成、テクノロジの評価と活用、ユーザーのリテラシー向上*)を弊社の言葉でわかりやすく紹介しつつ、情報セキュリティのためにすぐに実施できる対応策についても解説します。
生成AI時代の情報漏洩対策に不可欠な要素の1つ目は「情報漏洩対策の知見」です。国内企業の多くはデータセキュリティの知見が不足する傾向にあり、最新の情報収集が欠かせません。公開されている事例を読み解くだけでなく、先進的な取り組みを行っている企業から学習するなど、ノウハウを手に入れるための取り組みがより重要になっています。
2つ目の要素は「情報漏洩対策のフィロソフィ(コンセプト)」。データ活用の効果を最大化するために、クラウド利用や外部との共有など、社内に留まらないデータの収集や共有が増えてきています。今後は、従来の境界型セキュリティから、暗号化やアクセス・操作の権限をより細かく管理できる体制に転換する必要があります。
さらにこれからは、「情報漏洩対策の責任の所在」についての認識を、社内で合わせておくことも求められます。顧客情報については、データ保護・アクセス管理をユーザー部門が行う責任があるという認識がなく、IT部門だけに責任があると考えるケースも散見されます。情報漏洩の管理・運用の責任がどこにあるのかを明確にして、トラブル事例と対応履歴や、セキュリティ対策の実施内容などの情報を残しておく必要があります。
4つ目の要素は、データの生成場所・保存場所・所有者と、そのデータの重要度・使用者を示す「データ・マップの作成」です。データの重要度やそのデータを扱う必要があるユーザーの判断には、さまざまな観点をふまえた主観的な精査が求められます。また情報の生成・変更・廃棄に合わせて、作成したデータマップはタイムリーに更新しなければなりません。
5つ目の要素は「テクノロジの評価と活用」。データ保護に用いられるテクノロジーとして、データの分類・検出、データ暗号、ファイル保護、権限管理などがあり、それぞれ導入・運用・管理について最適な方法を検討する必要があります。テクノロジーとシステムやツールの評価においては、機能だけでなく運用面についても検証するべきです。
最後の要素は「ユーザーのリテラシー向上」。最近は、ランサムウェア攻撃や詐欺メール、サプライチェーンの弱点やテレワークを狙ったアタック、Webサイトの改ざんなどの被害が拡大しています。情報漏洩対策のためには、データ分析用のツールや取り扱うデータの種別ごとにルールを設定し、周知する必要があります。
被害を防ぐためにも、社員に向けた定期的な研修・コンプライアンス教育を実施して、データやクラウドの使い方をはじめとするセキュリティマニュアルを共有しましょう。
これらの対策に加えて、内部不正やヒューマンエラーに起因する情報漏洩のリスクに備えた物理的管理も重要です。例えばWebサイトの閲覧制限、無線LANの安全性の確保、データへのアクセス権限やパスワード管理の徹底などは、すぐに実施できるセキュリティ対策です。
ソルクシーズのグループ企業である株式会社Fleekdriveが提供する企業向けオンラインストレージサービス「Fleekdrive」なら、AWSを基盤とした強固なセキュリティ環境を確保できます。アクセス制限、ウィルスチェックなどの基本的な機能が揃っており、低リスクなファイル運用を実現できます。
積極的なデータ活用と情報漏洩リスクの低減を両立したいご担当者は、ぜひ「Fleekdrive」の利用をご検討ください。
