ニュース:
メンロセキュリティがGoogleとの戦略的パートナーシップを発表
Icon Rounded Closed - BRIX Templates

サイバーセキュリティにおけるChatGPTの機会とリスク

マーク・ガントリップ
|
June 4, 2023

ジェネレーティブ人工知能(AI)プラットフォームやChatGPTのようなチャットボットがサイバーセキュリティに与える影響については、過去数か月にわたって多くの情報が流出しています。多くの人々は、当然のことながら、インターネットに接続していて悪意のある動機を持つ人なら誰でも、驚くべき規模で回避型の脅威を開発できるようになるのではないかと心配しています。ボタンを1回クリックするだけで、個別に標的を絞った何千ものマルウェア、フィッシングメール、その他の脅威を数分以内に作成してリリースできることを想像してみてください。本当に怖い考えです。

しかし、サイバーセキュリティの専門家がChatGPTが世界中の組織や個人にもたらすリスクについて世界に警告しているのは正しいことですが、これらのジェネレーティブAIプラットフォームとチャットボットの最も恐ろしい側面と、それが組織のセキュリティ体制に及ぼす実際の影響、つまり専有データやその他の知的財産(IP)の損失の可能性を見逃しています。

サムスンはChatGPTに極秘データを失う

によると テシアン、過失や不満を抱いている従業員による偶発的なデータ損失や意図的なデータ漏えいが 47% 増加しています。ChatGPTやその他のジェネレーティブAIプラットフォームやチャットボットにより、機密データやIPが不注意で漏えいしてしまうことがかつてないほど容易になっているため、組織は増大するセキュリティリスクに遅かれ早かれ対処しなければならなくなるでしょう。

Samsungを含む一部の企業は、苦労して学んできました。最近、エンジニアのグループが報告されました 同社の半導体グループ ChatGPTにソースコードを入力して、会社が開発中の新機能のコードをより効率的にできるかどうかを確認しました。ChatGPTやその他のジェネレーティブAIツールは、入力データを保持してさらにトレーニングを進めることで機能します。入力されたSamsungのソースコードを使用して、他のユーザーからのリクエストに対する応答を作成できるようになりました。これには、脆弱性を探す脅威アクターや、機密情報を探している競合企業が含まれます。

企業が注意しなければならないのはソースコードだけではありません。別の例では、Samsungの幹部がChatGPTを使って社内会議のメモをプレゼンテーションに変換しました。競合企業の進取の気性に富んだ経営幹部が、後にChatGPTにSamsungの事業戦略について尋ねたとしたらどうなるでしょうか?こうした社内の議事録から得た情報が、回答の策定に利用されかねず、Samsungのデータが事実上危険にさらされることになる。

また、リスクを引き起こすのは、入力フィールドに貼り付けられるソース資料だけではありません。リクエストを実際に表現すると、競合情報も明らかになる可能性があります。CEOがChatGPTに買収候補のリストを尋ねたらどうなるでしょうか?その情報が、会社の成長戦略に関する他のユーザーの質問の参考になるだろうか?あるいは、デザイナーが会社のロゴを AI 画像ジェネレーターにアップロードして、再設計のアイデアを得たらどうなるでしょうか。技術的には、そのロゴを使って他のユーザーのロゴを生成することができます。

おかしいのは、世界中の企業の何千人もの従業員が、手作業で面倒な作業を効率化するために、ChatGPTやその他のジェネレーティブAIプラットフォームに独自の情報を入力していることです。AI と機械学習 (ML) を使用して、マーケティング資料、セールスプレゼンテーション、ビジネスプランなどのコードや文書の初稿を作成する機能は、非常に便利で魅力的です。しかし、企業はChatGPTやその他のジェネレーティブAIプラットフォームだけをブロックすることはできません。これらは合法的なツールであり、今日のビジネス環境では広く普及しつつあります。これらを使用しないことは、アジリティの阻害要因であり、競争上の不利な点でもあると考えられます。実際には、 イタリア政府 最近、不利な立場に置かれていると感じたビジネスユーザーからの反発により、全国的な禁止措置を取り消さなければなりませんでした。

企業は、増え続けるジェネレーティブAIプラットフォームとチャットボットを従業員が、組織を危険にさらさない安全な方法で使用できるようにする方法を考え出す必要があります。

セキュリティ管理の欠如

残念ながら、既存のデータ損失防止(DLP)、クラウドアクセスセキュリティブローカー(CASB)、その他の内部脅威ソリューションには、この新しいテクノロジーの微妙な違いに対処するための設備が整っていません。これらのソリューションはまだ検出と対応のアプローチをとっていますが、組織外に流れる膨大な量のトラフィックの中からキーワードやフレーズを探します。これらは多くの場合、セキュリティ専門家やプロダクトオーナーが手動で入力しなければならないため、すべてを把握することはほぼ不可能です。ソリューションがデータの流出を検出したとしても、すでに手遅れになっている可能性があります。情報は入力済みで、元に戻すことができる「やり直し」ボタンはありません。あなたの情報はジェネレーティブAIプラットフォーム内に永久に存在し、これからも回答に反映されます。

組織は、これらのジェネレーティブAIプラットフォームやチャットボットに情報が入力されるのを防ぐ必要があります。ただし、従業員によるこれらの便利なツールの使用を妨げない方法で行う必要があります。組織は、入力フィールドに貼り付けることができる内容を制限することでこれを実現できます。たとえば、文字数を制限したり、既知のコードをブロックしたりするなどです。何千行ものソースコードを手動で入力する人はいないため、貼り付け機能を制限することで、この種のデータ損失を効果的に防ぐことができます。また、ユーザーが入力しようとした情報についてよく考えさせることにもなります。

ただし、最も重要なことは、組織はChatGPTやその他のジェネレーティブAIプラットフォームとのやり取りをエンドブラウザから離れて制限すべきだということです。クラウドのリモートブラウザーでアプリコマンドを実行すると、ユーザーとインターネット間の保護が一層強化され、組織はデータ漏洩が起こる前に (意図的かどうかにかかわらず) 悪意のある活動を阻止する機会が得られます。また、イベントロギングやブラウザ記録の開始など、追加のセキュリティ制御をトリガーするセキュリティポリシーを適用して、解決やイベント後の分析に役立てることもできます。内部関係者による侵害を調査する際には、意図を証明する必要があることを覚えておくことが重要です。イベントやブラウザセッションを記録することで、ユーザーが悪意のあるユーザーなのか、それとも単なる怠慢なのかを可視化し、洞察を得ることができます。

組織を危険にさらすことなくChatGPTを有効にする

ChatGPTやその他の無数のジェネレーティブAIプラットフォームは、人々がビジネスプロセスを合理化したり、面倒なタスクを自動化したり、執筆、デザイン、コーディングプロジェクトで有利なスタートを切ったりするために使用できる強力なビジネスツールです。残念なことに、ユーザーがこれらのプラットフォームに入力した情報やリクエスト自体が、脅威アクターや競合他社を含む将来の要求に利用されてしまう可能性があります。ユーザーをインターネットから隔離する予防的アプローチは、既存の検出機能を強化し、この種の大規模なデータ損失に対する防御の最前線となります。保護されているとわかっていれば、従業員はほぼ自由にこれらの革新的な新しいツールの利点を活用し、生産性を向上させ、ビジネスの俊敏性を高めることができます。

See solutions: contain sensitive data, full stop.
linkedin logotwitter/x logofacebook logoSocial share icon via eMail