ワールドツアー:
Menloのセキュアエンタープライズブラウザがどのように攻撃者に先んじるかをライブで見てみましょう
ジェネレーティブAIプラットフォームの使用は生産性とイノベーションの向上につながりましたが、特にサイバーセキュリティとデータ保護に関しては、真の懸念も生じています。セキュリティチームと IT チームは、ジェネレーティブ AI の使用を可能にしつつ、データ損失や回避型のフィッシング攻撃から組織を守る方法を見つける必要があります。
OpenAI ChatGPTの最初のリリースでは、わずか2か月で1億人以上のユーザーを獲得し、史上最も急成長しているプラットフォームとなりました。2023 年 11 月にさかのぼると、OpenAI は毎週1億人のアクティブユーザーがいることを発表しました。ChatGPTは引き続き世界的な注目を集めており、日常的に使用されている多くのジェネレーティブAIプラットフォームの1つにすぎません。
ジェネレーティブAIプラットフォームは、人々の働き方を変革し、コンテンツを改善し、ブレインストーミングを促進し、日常的なタスクをアウトソーシングするなど、さまざまなことを行っています。これらの機能は、組織が生産性と仕事の質を向上させる機会を生み出します。
ただし、生成AIプラットフォームやChatGPTなどのチャットボットの使用はサイバーセキュリティにも大きな影響を及ぼし、データのプライバシーとセキュリティ、およびフィッシング攻撃の脅威の両方に関する疑問が生じます。
多くの人々がジェネレーティブAIツールに不安を感じているのは当然です。なぜなら、ジェネレーティブAIツールは脅威アクターが回避型の脅威をより大規模かつ迅速に開発するのを助けることができるからです。さらに、ChatGPTのようなプラットフォームは、ハッカーがより高度で効果的なフィッシング攻撃を仕掛ける際の障壁を下げました。しかし、サイバーセキュリティの専門家が、ChatGPTが組織や個人にもたらすリスクについて世界に警告しているのは正しいものの、こうしたジェネレーティブAIプラットフォームやチャットボットに関するより差し迫った懸念、つまり専有データやその他の知的財産(IP)の損失の可能性を見逃す可能性があります。
従業員が職場で生成AIツールを使用する場合、必ず会社の機密データを共有して公開することになります。このデータには、顧客データ、企業秘密、機密情報、知的財産が含まれる場合があります。生成AIでは、侵害や不適切な共有など、他のデータ損失シナリオに比べて、個人データが危険にさらされる可能性がはるかに高くなります。これは、生成AIプラットフォームがチャットの履歴やその他のデータを使用してモデルのトレーニングや改善を行うため、入力されたデータが後で他のユーザーに公開される可能性があるためです。
で 最近の報告、Menlo Securityは、従業員が機密情報をジェネレーティブAIプラットフォームに入力しようとする頻度を分析しました。30 日間で、DLP イベントの 55% に個人を特定できる情報が含まれていました。これらの組織では、これらのインスタンスをブロックするMenlo Securityを導入しています。
ジェネレーティブAIでは、セキュリティとプライベートデータが、侵害や不適切な共有など、他のデータ損失シナリオよりもはるかに大きな危険にさらされる可能性があります。これは、ジェネレーティブAIプラットフォームがチャットの履歴やその他のデータを使用してモデルのトレーニングや改善を行うため、入力されたデータが後で他のユーザーに公開される可能性があるためです。
の例:
最近、Samsungの半導体グループのエンジニアグループがChatGPTにソースコードを入力して、新しい機能のコードをより効率的にできるかどうかを確認したことが報告されました。ChatGPTやその他の生成AIツールは、入力データを保持してさらにトレーニングを進めることで機能します。入力されたSamsungのソースコードをプラットフォームで使用して、他のユーザーからのクエリに対する応答を作成できるようになりました。これには、脆弱性を探す脅威アクターや、機密情報を探している競合企業などが含まれます。
組織を守るために、ジェネレーティブAIのセキュリティリスクを理由にジェネレーティブAIサイトを完全に禁止している企業もあります。 イタリアはチャットGPTを禁止しました データのプライバシーに関する懸念から全国を対象としていますが、約1か月後にサービスが再開されました。ジェネレーティブAIサービスへのアクセスを禁止することは、潜在的なセキュリティリスクの解決策のように思えるかもしれませんが、長期的な解決策ではなく、手っ取り早い解決策にすぎません。ChatGPTをはじめとする無数のジェネレーティブAIプラットフォームは、人々がビジネスプロセスを合理化したり、面倒な作業を自動化したり、執筆、デザイン、コーディングのプロジェクトで有利なスタートを切ったりするために使用できる強力なビジネスツールです。これらのサイトをブロックすると、生産性やビジネスの俊敏性も損なわれます。
残念ながら、データ損失防止(DLP)、クラウドアクセスセキュリティブローカー(CASB)、その他の内部脅威ソリューションでは、新しいAIテクノロジーの微妙な違いに対処することができません。組織には以下が必要です。 階層型アプローチ 万能のソリューションに焦点を当てるのではなく。
DLP と組み合わせることで、組織は入力フィールドに貼り付けることができる内容を制限できます。たとえば、文字数を制限したり、既知のコードをブロックしたりできます。何千行ものソースコードを手動で入力する人はいないため、貼り付け機能を制限することで、この種のデータ漏えいを効果的に防ぐことができます。これにより、ユーザーは入力しようとしていた情報についてよく考え直すことになりかねません。
また、組織は、イベントロギングやブラウザ記録の開始など、追加のジェネレーティブAIセキュリティコントロールをトリガーするセキュリティポリシーを適用して、解決やイベント後の分析に役立てる必要があります。内部関係者による侵害を調査する際には、意図を証明する必要があることを覚えておくことが重要です。イベントやブラウザセッションを記録することで、ユーザーが悪意のあるユーザーなのか、単に怠慢なのかを可視化し、洞察を得ることができます。
Menloセキュリティラストマイルデータ保護 すべてのブラウジングセッションでの Web ファイルのアップロードとユーザー入力を確実に検査できます。この保護により、従業員が機密ファイルをアップロードしたり、企業秘密やその他の機密情報をジェネレーティブAIソリューションに入力したりできなくなります。
大量のデータ漏洩を防ぐための追加のセキュリティ対策として、コピーアンドペーストによる制御と文字制限を重ねることができます。これらの制御により、機密データが外部サイトに公開されて悪用されるのを防ぎます。
さらに、 Menlo ブラウジングフォレンジック これにより、調査チームは、マウスクリックやデータ入力などの記録された Web セッションのプレイバックをその場で確認して、エンドユーザーの操作の意図と影響を把握できます。録画された各セッションには、イベントの裏付けデータを含むMenlo Forensics Logエントリがあり、ワンクリックで録画にアクセスできます。録画されたセッションは、お客様が指定した場所に転送され、アクセス制御された安全なストレージに保存されます。
