同社のセキュリティツールの新たな応用には、生成AI入力のデータ分析に加え、ChatGPTの利用に関するポリシーやリスクのコーチングといったリアルタイムのユーザーエンゲージメント要素が含まれます。ユーザーが生成AIモデルやGoogle Bard、Jasperなどの大規模言語モデルに入力するデータを監視するだけでなく、機密データやコードが含まれている場合は、それらの入力をブロックすることもできます。
同社によると、新しい機能スイートは、社内かリモートかを問わず、組織の従業員がChatGPTやその他の生成AIアプリケーションを企業データを危険にさらすことなく使用できるようにすることを目的としている。
Netskope は、自社のデータが次のことを示していると述べています。
- 企業組織の約 10% が、チームによる ChatGPT の使用を積極的にブロックしています。
- 企業の従業員の 1% が ChatGPT を毎日積極的に使用しています。
- 各ユーザーは、1 日に平均 8 件の ChatGPT プロンプトを送信します。
- ChatGPT の使用量は企業において毎月 25% 増加しています。
データセキュリティ企業サイバーヘイブンの調査によると、少なくとも10.8%の企業従業員が職場でChatGPTの使用を試みており、従業員がChatGPTにアップロードするデータの11%は機密情報です。
ジャンプ先:
- AIに供給されるデータを保護するためのゼロトラストアプローチ
- LLMへのアクセス管理は二者択一の問題ではない
- リアルタイムのユーザーエンゲージメント:ポップアップコーチング、警告、アラート
AIに供給されるデータを保護するためのゼロトラストアプローチ
ロビンソン氏は、生成AIに適用されたNetskopeのソリューションには、アプリ、クラウドサービス、ウェブトラフィックに関するデータと脅威を保護する同社のゼロトラストエンジンであるCloud XDを備えたSecurity Service Edgeが含まれており、適応型ポリシー制御も可能になると述べた。
「ドメインレベルだけでなく、トラフィックを詳細に分析することで、ユーザーがいつログインをリクエストしているのか、データのアップロードやダウンロードを行っているのかを把握できます。そのため、詳細な可視性が得られ、適切なアクションを設定して、ユーザー向けにサービスを安全に提供できるようになります」と彼は述べています。
Netskope によれば、同社の生成 AI アクセス制御および可視性機能には次のものが含まれます。
- 業界で最も広範なサービスとしてのソフトウェアの検出(60,000 を超えるアプリケーションの動的データベースを使用)と高度な分析ダッシュボードを通じて、組織内の特定の ChatGPT の使用状況と傾向に IT 部門がアクセスできます。
- 同社のクラウド信頼度インデックスは、新しい生成 AI アプリケーションを分類し、そのリスクを評価します。
- アプリケーション アカウントを通じてアクセス レベルとデータ フローを識別する同社の Cloud XDTM 分析による詳細なコンテキストとインスタンスの認識。
- 生成 AI ドメインの Web カテゴリによる可視性。これにより、IT チームはアクセス制御とリアルタイム保護ポリシーを構成し、トラフィックを管理できます。
LLMへのアクセス管理は二者択一の問題ではない
Netskope の機能は、Intelligent Security Service Edge プラットフォームの一部であり、これらの新しい AI ツールへのアクセスは「使用する」か「使用しない」かを決めるゲートウェイではないという、サイバーセキュリティ コミュニティにおける認識の高まりを反映しています。
「競合他社も含め、主要企業は皆、この方向に傾倒していくでしょう」と、Netskopeの副最高情報セキュリティ責任者、ジェームズ・ロビンソン氏は述べています。「しかし、これはもはや二元論的な世界ではないため、非常に細分化された問題です。社員であろうと、他の技術チームやビジネスチームであろうと、ChatGPTなどのツールを使う人は必ずアクセスを必要とします。そうでなければ、良くも悪くも、何らかの方法を見つけるでしょう」と彼は付け加えました。
「しかし、ほとんどの人は依然として二元論的な考え方にとらわれていると思います」と彼は付け加え、組織内外へのデータの浸透を管理するツールとしてファイアウォールに頼る傾向があることを指摘した。「セキュリティリーダーとして、私たちは単に『はい』か『いいえ』と言うべきではありません。むしろ、『知る』ことに重点を置くべきです。なぜなら、これはきめ細かな問題だからです。そのためには、包括的なプログラムが必要です。」
参照: 企業はAIやサイバーセキュリティへの支出を増やしている(TechRepublic)
リアルタイムのユーザーエンゲージメント:ポップアップコーチング、警告、アラート
ロビンソン氏は、ユーザーエクスペリエンスには、データセキュリティポリシーと機密データの潜在的な漏洩についてユーザーに警告するリアルタイムの「ビジュアルコーチング」メッセージポップアップが含まれていると述べた。
「この場合、生成AIモデルにログインしようとするとポップアップウィンドウが表示され、例えばウェブサイトにアクセスした瞬間に、これらのツールの使用に関するポリシーをリマインドするといったことが可能になります」とロビンソン氏は述べた。また、NetskopeプラットフォームはDLPエンジンを使用して、個人識別情報、認証情報、財務情報、その他のデータポリシーに基づく機密情報のLLMへのアップロードをブロックすると述べた(図A)。
図A
「AIを使ってコードレビューをしようとしている場合は、コードもこれに該当する可能性があります」とロビンソン氏は付け加え、ここでもCloud XDが適用されていると説明した。
参照: Salesforce が Tableau に生成 AI を搭載 (TechRepublic)
このプラットフォームのインタラクティブ機能には、ユーザーがポリシーに違反する行動をとったり、システムの推奨に反する行動をとったりした場合に、AIの使用状況を明確にするよう求める質問が含まれています。ロビンソン氏は、この機能はセキュリティチームがチャットボットの使用に関するデータポリシーを進化させるのに役立つと述べています。
「セキュリティチームとして、すべてのビジネスユーザーを訪問して特定のデータをアップロードする理由を尋ねることはできませんが、この情報を持ち帰ることができれば、ポリシーエンジンを変更する必要があると判断できるかもしれません」と彼は語った。
