企業のデジタルトランスフォーメーションが加速する中、AIや生成AIの活用による新たな情報漏洩リスクへの対応が喫緊の課題となっています。Gartnerは、効果的な情報漏洩対策には、実務的な知見の強化、セキュリティ・フィロソフィの転換、責任所在の明確化、データ・マップの整備、適切なテクノロジの評価・導入、そしてユーザーリテラシーの向上という6つの要素が不可欠だと指摘しています。
【無料配布中】「企業版AIの導入アプローチ」
ChatGPT、Copilot、ExabaseといったAI関連ツールが多くサービス提供される中で、企業におけるAI導入アプローチを俯瞰的に整理しています。どのようなタイプのツールがあり、結局何を使ったら良いのか、シンプルかつ感覚的に、かつ短時間で理解されたい方におすすめです。
情報漏洩の実態
2024年3月にGartnerが実施した国内セキュリティ・リーダー向け調査によると、2023年における企業の情報漏洩発生状況は、サイバー攻撃による情報漏洩で34%、インサイダーによる情報漏洩で27.7%の企業で発生が確認されましたとのことです。また、セキュリティ部門の57.2%が「情報漏洩対策が十分でないため、AI等によるデータ活用の拡大に不安を感じている」と回答しています。
情報漏洩対策:6つの不可欠な要素
情報漏洩対策の知見強化:多くの企業では、セキュリティの知見がサイバーセキュリティに偏っており、データ・セキュリティについての実務経験が不足している現状があります。この課題に対応するため、従来の境界型セキュリティから脱却し、先進的な取り組みを行う企業への直接的なインタビューなど、新たな情報収集方法を実践することが求められています。
セキュリティ・フィロソフィの転換:生成AIの効果を最大化するためにはクラウドを通じた外部との連携が重要になります。これまでの「構築した境界内での自由なアクセスを許容する」から、「情報漏洩対策のための過剰なアクセス制限を避ける」という新しいフィロソフィへの転換が必要とされています。ユーザー、データの種類、作業範囲などの単位で細やかな権限設定を行い、特に生成AI導入前に全社的な意識改革を実施することが重要です。
責任所在の明確化:情報漏洩対策は、IT部門やセキュリティ部門だけの責任ではありません。取引先や顧客の情報を扱うユーザー部門も含めた全社的な責任体制の構築が重要です。各部門がデータ保護とアクセス管理における自らの責任を明確に理解し、実行することが求められています。
データ・マップの整備:効果的な情報漏洩対策には、データの生成場所、保存場所、所有者、重要度を可視化したデータ・マップが必要不可欠です。このマップは、ビジネス的価値判断を含めた総合的な視点で作成され、データのライフサイクルに応じて継続的に更新される必要があります必要があります。
テクノロジの適切な評価と導入:データ保護に関わる既存テクノロジの再評価と効果的な実装が重要です。特に、ユーザビリティを重視した運用設計を行い、新技術への過度な依存を避けた冷静な判断が求められています。データ・セキュリティ・ポスチャ・マネジメントなどの新技術も、適切な評価のもとで導入を検討すべきです。
ユーザーリテラシーの向上:情報漏洩対策の実効性を高めるには、ユーザーのセキュリティリテラシー向上が必要です。セキュリティ部門がユーザーの業務を深く理解し、よりリアリティのあるセキュリティマニュアルを整備することで、状況に応じた適切なルール適用を促進することが重要です。
「6つの不可欠な要素」について一言
情報漏洩に関する重要性は生成AI以前も以後も変わりません。一方で、生成AIには多くのモデルが存在するため、パフォーマンスを最大化するためには外部クラウドのこうしたサービスとコラボレーションできる環境を整備することが求められるようになっています。
そういう意味で、2番目の「セキュリティ・フィロソフィの転換」、4番目の「データ・マップの整備」は特に重要な気がします。文中にもあるように、これまでのセキュリティのコンセプトは境界型で、明確な境界線を境に、安全なものを内側に入れて管理してきましたが、今後は境界線をいかに柔軟なもものにできるかがセキュリティのテーマになるのだと思います。
