便利な生成AIツールに隠れたリスク!?SASEの最新機能で解決します!
そこで今回は、ゼロトラストの中核とも言えるSASE/SSEをベースに、セキュリティと業務効率を両立する仕組みをひも解いていきます。
セキュリティ、入れっぱなしになっていませんか?
セキュリティ対策は、製品やサービスを一度導入すれば終わり、というものではありません。
環境の変化に合わせた継続的な最適化と運用改善が不可欠です。
導入当時は最新だった設定やポリシーを見直さないままにしておくと、今では不十分なものになっている可能性があります。
セキュリティ対策は本当に最新ですか?
セキュリティ対策におけるゼロトラストという概念は、コロナ禍のリモートワーク対策を追い風にして、よく耳にするようになりました。お客さまと会話していても、すでに何らかの形でゼロトラストに取り組まれているケースが多く「一巡した」という印象を受けます。
一方、独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威 」の[組織]においては「ランサム攻撃による被害 」「内部不正による情報漏えい等」など、同様の脅威が長年にわたりランクインしています。
ゼロトラストなどのセキュリティ対策が普及しているにもかかわらず、これらの脅威が長年上位にランクインしている理由は何でしょうか?ここから言えることは以下だと考えます。
- 情報セキュリティ対策が不十分である
- 一定の対策は講じているが、外部環境の変化に追随できていない
私たちは後者が少なくないのではないかと考えています。
「コロナ禍でセキュリティ対策を導入して、その後見直しをしていない」
「セキュリティ対策の導入時からポリシーやルールを見直していない」
というケースです。攻撃手法の高度化やクラウドサービスの利用拡大、生成AIツールの急速な普及などによって、導入した当時は最新だったセキュリティ対策も、いまや「最新」とは言えなくなっている可能性があります。
生成AIツールの意外な落とし穴
先ほど述べた外部環境の変化の中でも、特に注目すべきテーマが生成AIツールの利用です。
生成AIツールは、調べ物やビジネス上のヒントを得る際には非常に便利ですが、その利用を「安全にできている」と胸を張って言えるでしょうか?
実は、生成AIツール利用には新たなリスクが潜んでいます。
生成AIツール利用時のリスク
生成AIツールの利用時には主に以下のリスクがあります。
- 情報漏えい
生成AIツール を通じて、個人情報や企業の機密情報が外部に漏えいするリスクがあります。
ツールの脆弱性やサービスの利用規約次第では、送信したデータが学習に利用され、第三者に活用される可能性もあります。 - 誤情報の拡散
生成AIツールが生成した内容を十分に検証せずに業務へ利用した場合、誤情報の拡散につながる恐れがあります。
AIが事実とは異なる情報を出力する現象を「ハルシネーション」と呼び、これにより誤った判断や意思決定を行う危険性があります。 - コンプライアンス違反
利用者が知らず知らずのうちに規約や法令に抵触してしまうリスクがあります。
たとえ故意でなくとも、生成AIツールの利用には企業として法令・利用規約の遵守が求められるため、違反時には組織全体の責任を問われる可能性があります。
また近年、生成 AI ツールの利用が急速に拡大する中で「シャドーAI」という言葉を耳にする機会も増えてきました。
この「シャドーAI」は、生成 AI ツール利用時のリスクの中でも特に深刻な要因となるケースが多く見られます。
組織の許可を得た生成AIツールを利用する場合は、専用テナントで利用するなどの方法で、組織のセキュリティポリシーやコンプライアンスに沿ったサービス環境を利用することで、安全性を考慮しています。
しかしながら、シャドーAIの場合は、組織における管理がなされていないため、上記3点のリスクが顕在化する可能性が高まります。
これらのリスクが顕在化すると、取引先からの信頼失墜やビジネス機会の逸失といった、事業に多大な影響を及ぼす可能性があります。
これらのリスクに対しては、以下のような多層的な対策が求められます。
- 技術的なコントロール
- 適正な利用ルールの整備
- ガバナンスの強化
- 従業員への教育
今回は、これらの対策の中でも特に重要な「技術的なコントロール」に焦点を当て、システムインテグレーターであるユニアデックスが多くのご相談を受けているSASE/SSEによるリスク低減の仕組みについて、その機能と役割を紹介します。
まずは、SASE/SSEとは何かを簡単にご説明します。
SSEは、Security Service Edge(セキュリティサービスエッジ)の略で、以下の3つの主要な機能を包含するアーキテクチャーです。
- インターネットへのアクセスを安全に管理するSWG(Secure Web Gateway)
- クラウドサービスの利用状況を可視化・制御するCASB(Cloud Access Security Broker)
- 社内アプリケーションへの安全なアクセスをリモートユーザーに提供するZTNA(Zero Trust Network Access)
これらの機能を統合したものがSSEであり、さらにそこにSD-WAN(Software Defined Wide Area Network) ― ネットワークをソフトウエアで制御し、WANを一元的に管理する仕組み ― を加えたアーキテクチャーがSASE(Secure Access Service Edge) です。
図1 SASE/SSEの持つ機能
SASE/SSEは、ネットワーク機能とセキュリティ機能を広範に提供するだけでなく、ゼロトラストの基盤となる仕組みでもあります。そのため今回は、このSASE/SSEに焦点を当てて解説します。
生成AIツール利用におけるリスクと、SASE/SSEで実現する包括的な対策
以下では、生成AIツール利用におけるリスクに対し、SASE/SSEがどのようにセキュリティ対策を実現できるかを、機能と役割の両面から整理します(表1)。
生成AIツールに関する脅威や挙動は多岐にわたりますが、SASE/SSEの各機能を活用することで、それらを包括的にコントロールすることが可能です。
つまり、SASE/SSEは生成AIツール利用に伴うリスクを幅広くカバーできるセキュリティプラットフォームであると言えます。
| 対策 | 生成AIツールに対する挙動例 | SASE/SSEの各機能 | 低減できるリスク ①情報漏えい ②誤情報の拡散 ③コンプライアンス違反 |
||
| ① | ② | ③ | |||
| アクセス制御 |
|
SWG | ● | ● | |
| アプリケーション制御 |
|
SWG CASB |
● | ● | |
| DLP※(情報漏えい防止)との連携 |
|
DLP | ● | ● | |
| SSLインスペクション |
|
SWG DLP |
● | ● | |
| ユーザー行動の可視化とログ管理 |
|
SWG CASB |
● | ||
| ポリシーベースの制御 |
|
SWG CASB |
● | ● | |
表1 生成AIツール利用におけるリスクと対策
※DLP=Data Loss Prevention の略
生成AIツールを安全に利用する方法
前項では、SASE/SSEの機能を生成AIツールのリスク対策という観点から整理しました。
ここでは、SASE/SSEがどのように段階的なセキュリティ検査を実現し、それをどのように運用していくかという視点で解説します。
SASE/SSEの運用は、セキュリティ対策の継続的な改善を目的としており、「可視化 → 検知 → 制御 → 通知・分析」 の4つのステップからなるサイクルに基づいています(図2)
この考え方は、米国の政府機関である NIST(National Institute of Standards and Technology) や ISO 27001 といった国際的なセキュリティフレームワークを参考に、私たちが独自に整理・体系化したものです。
図2 SASE/SSE運用サイクル
私たちは、このプロセスを通じて、生成AIツールの利便性を最大限に生かしながら、情報セキュリティとコンプライアンスを両立することが可能と考えます。
実現方法(Zscalerでの実例)
生成AIツールに対するリスク対策について、ここではZscalerを例にとり「可視化」「検知」「制御」「通知・分析」の4ステップを、実際の画面イメージとともにご紹介します。
Zscalerは、ユニアデックスで豊富な導入実績を持っているSASE/SSE製品です。グローバルで幅広く採用されているほか、国際的な市場評価においても高い評価を得ています。
可視化
Zscalerのレポート/ロギング機能により、生成AIツールの利用状況を可視化することが可能です。
誰が、どのサービスを、どの頻度で利用しているかを把握し、承認済みサービスだけではなく「シャドーAI」も含めた全体像を分析します。さらに、アプリケーション別利用量、DLPスキャン結果、部門別傾向、入力プロンプトの分類などを表示し、ガバナンス強化と安全な利用促進のための基礎データを提供します。
以下は、Gen AI Security Report(生成AIセキュリティレポート) のトップ画面イメージです。
画面内では、各項目をクリックすることで、詳細なログ情報の表示やDLPポリシーの作成が可能です。
図3-1 Gen AI Security Report
検知
Zscalerのリスク指標・解析機能によって、社内における生成AIツールの利用リスクを検知することが可能です。
誰が、どのサービスを、どの程度利用しているかを可視化し、リスク指標に基づいてAIツールや入力データを分析します。
また、無許可の利用や高頻度の利用、送信データ内容の検出を通じてリスクを特定します。
さらに、許可/非許可別のファイル送信傾向、機械学習による10カテゴリーへの分類、ソースコードや財務関連書類の推移などを可視化し、リスク管理とガバナンス強化を支援します。
以下は、Data Discovery Report(データ検出レポート) のトップ画面イメージです。
実際の画面では各項目をクリックすると、詳細情報を確認できます。
図3-2 Data Discovery Report
制御
Zscalerのクラウドアプリ制御機能により、生成AIツールの利用をポリシーに基づいて適切に管理することが可能です。
生成AIツールの利用実態を把握した上で、ポリシーに基づくアクセス制御や利用制限を行うことで、情報漏えいリスクの低減とガバナンスの両立を実現します。
主な制御内容には、以下が含まれます。
- 機密情報検査による送信遮断
- 柔軟な検知ルール設定
- 部署・役職別の制御
- ネットワークやデバイス条件に基づく制御
- 自社テナントのみの利用許可(シャドーAIの排除)
さらに、リスク評価に基づき、許可・警告・ブロック・隔離などのアクションや、帯域・時間制限を設定し、生成AIツールの利用をきめ細かく管理できます。
以下は、DLPルール追加(ML(機械学習)/AI)設定画面のイメージです。
図3-3 DLPルールを追加(ML/AI)
各生成AIツールに対して以下のような制御が可能です。
- 機密情報や個人情報が含まれる場合の制御
- 検知ルールの柔軟な設定
- 自社テナントのみの利用許可 など
通知・分析
ZscalerのAlerts(アラート)機能 とポリシーインサイトにより、生成AIツールの利用状況をリアルタイムで把握することが可能です。
リスクの高い利用やポリシー違反が発生した際には即座に管理者へ通知し、迅速な対応とガバナンス改善を支援します。
アラートポリシーでは、名称・クラス・発生条件・対象範囲・重大度を柔軟に設定でき、組織・部門・ユーザー単位で適用可能です。これにより、精密かつ効率的なアラート管理を実現します。
以下は、Alertsルール追加設定のイメージ図です。
図3-4 Alerts設定一覧例
以下のような柔軟かつ精密なアラート条件設定が可能です。
- アラートを生成するための最小発生回数や時間間隔の設定
- 適用先(組織、部門、ユーザーなど)の細かな指定
- イベントの重大度の割り当て
継続的改善
Zscalerのレポート機能やリアルタイムログビューアーを活用することで、可視化・検知・制御・通知・分析で得られた結果を基に、セキュリティポリシーを継続的に改善が可能です。
各ユーザーやグループに適用されているポリシーの実行状況を可視化・評価し、意図したとおりに機能しているかを検証することができます。また、必要に応じて即時の見直しや最適化を行うことで、環境や利用傾向の変化にも柔軟に対応可能です。
このような継続的改善サイクルにより、セキュリティポリシーの有効性を保ちながら、生成AIツールを安全かつ効果的に活用し続けることができます。
| 評価項目 | 確認内容 | 確認頻度 |
| ポリシー適用状況の可視化 | 各ユーザー/グループに対して設定されたポリシーが意図通りに適用されているか。 | 週次/月次 |
| 例外設定の見直し | 一時的な例外が恒久化していないか、過剰な例外がないか。 | 月次 |
| ユーザー行動の分析 | アップロード、ダウンロード量などにおいて、不審なアクセスなどがないか。 | 週次 |
| アプリケーション/カテゴリーの再分類 | 新たなWebサービスや生成AIツールの分類が適切か。 | 月次 |
表2 評価項目とスケジュール例
まとめ
生成AIツールの急速な普及は、業務効率化や創造性の向上といった大きなメリットをもたらす一方で、情報漏えい、誤情報の拡散、コンプライアンス違反といった新たなリスクも生み出しています。これらのリスクに対応するためには、セキュリティ対策を「入れっぱなし」にしておくのではなく、継続的に見直すことが重要です。
SASE/SSEは、ポリシーの定期的な見直しと運用改善を前提とした仕組みであり、動的かつ持続的なセキュリティ運用を実現します。Zscalerを例に紹介しましたが、自社の環境に適したSASE/SSEを活用することで、利便性と安全性を両立した生成AIツールの利用が可能になります。
「何も信用しない」というゼロトラストの原則に立ち返り、最新のSASE/SSEを活用して定期的な見直しを組み込んだセキュリティライフサイクルを確立すること——
それこそが、組織の発展とセキュリティ強化を両立するための鍵となります。
