この記事は、組織におけるAIアプリケーションへの安全なアクセスを維持する方法を説明しています。
AI ベースのツールを使用することで生産性は向上しますが、組織に対して新たなセキュリティの課題とリスクも発生します。 例えば、ユーザーが AI アプリの無料版に専有データを入力すると、アプリのベンダーがこの情報を使用する権利を持つことになります。 悪意のある者が AI アプリの LLM に問い合わせて、専有データを抽出する可能性があります。 AI アプリの数が急速に増加する中、セキュリティチームはどのアプリケーションが使用されているか、どこで機密データが共有されているかを特定しなければならないという課題に直面しています。
組織とその機密データを保護しつつ、安全な AI アプリケーションの使用を可能にするために、Cato は三部構成の戦略を推奨します:
-
可視性の確保: どの AI アプリケーションが使用されているか、誰が使用しているか、どのように利用されているかを理解する
-
アクセス制御: AI アプリケーションへのアクセスを規制し、セキュリティ対策を強化するポリシーを実施する
-
データ保護: 不正なアクセスや共有を防止することで、AI アプリケーション内の機密情報を保護する
機能の組み合わせを活用することでこの戦略を実施し、AI アプリのトラフィックを監視・保護することができます。 AI アプリのカテゴリーにアクセスするためのインターネットファイアウォールルールを定義したり、特定の AI アプリのルールを設定したりすることができます。 さらに、アプリケーション制御ポリシーを定義して、ユーザーが自社のテナントへのアクセスのみを許可し、詳細なアクションをブロックして専有情報を安全に保つことができます。 追加の保護層として、データ制御ポリシーを設定することで、AI アプリへの機密データの転送を防止することができます。
組織で使用されている AI アプリに伴うリスクを知り、理解することで、データ漏洩リスク、コンプライアンス違反、潜在的なセキュリティ脆弱性を防ぐことができます。 使用されている AI アプリ、利用者、敏感なデータとのやり取り方法を理解することで、ポリシーを施行し、脅威を軽減し、責任ある AI の採用を確保できます。 可視性は、AI アプリの潜在的なリスクを評価し、ガバナンスを維持し、AI の利用を組織のセキュリティフレームワークと整合させるのにも役立ちます。
GenAI アプリダッシュボードとアプリケーションカタログは、環境で使用されている AI アプリの可視性と理解を提供します。
GenAI アプリダッシュボードは、シャドウ AI を含むインライン GenAI アプリの使用状況に関する中央集中的かつ包括的な可視性を提供します。 ダッシュボードには、組織全体でどの AI アプリケーションが使用されているか、そして誰がそれを使用しているかの詳細が表示され、すべてのユーザーインタラクションと敏感なデータ共有の追跡が可能です。 GenAI アプリダッシュボードから得られる可視性により、リスクを特定することで、データ漏洩を予防するためのプロアクティブな対策が可能です。 さらに詳しくは、GenAI アプリダッシュボードの使用をご覧ください。
アプリケーションカタログには、数百もの AI アプリやサービスに関する広範なセキュリティデータ、コンプライアンス、一般的な情報が含まれています。 これには、TPRM (第三者リスク管理) を実施してこのアプリケーションの使用リスクを評価するためのすべての洞察が含まれています。 カタログを使用すると、アプリについての詳細を知り、組織内での利用方法を決定することができます。 さらに詳しくは、アプリケーションカタログの使用をご覧ください。
監査アクティビティにより、接続されていないユーザーが Cato Cloud にアクセスしていない場合でも、接続された SaaS アプリケーション内で行われたすべての活動のバンド外可視性が提供されます。 Microsoft Copilot や ChatGPT を Cato と統合することで、これらのアプリに共有されるチャットとデータの可視性を提供します。 さらに詳しくは、API を介したアプリケーション制御と App Activities とは何かをご覧ください。。
適切なアクセス制御がない場合、ユーザーが誤って機密情報を AI モデルに入力してしまい、データ漏洩や規制違反につながる可能性があります。 さらに、未確認の AI アプリケーションがセキュリティ脆弱性をもたらし、専有コードを露呈させ、誤解を招いたり有害なコンテンツを生成したりする可能性があります。 厳格なアクセスポリシーを実施することで、認可されたユーザーだけが認可された AI ツールを利用できるようにし、AI の採用を促進しつつリスクを最小化できます。
Cato は、一般的な生成 AI ツールカテゴリに加え、AI アプリのための 8 つのシステムカテゴリを維持しています。 これらはインターネットファイアウォールで、AI アプリのカテゴリ、例えばコードアシスタントアプリや、ChatGPT、AgentGPT、Google Bard、Elicit AI、MagicPen AI、Poe AI、OpenAI などの人気のある AI アプリへのアクセスを制御するために使用できます。
特定の AI アプリやアプリのカテゴリに対してもルールを定義できます。 例えば、生成的AIツールカテゴリへのトラフィックをブロックするルールを作成した後、アクセスが必要な特定のユーザーグループのためにChatGPTへのトラフィックを許可するより高い優先度のルールを作成できます。 さらに詳しくは、Cato インターネットファイアウォールについてをご覧ください。
以下の例のインターネットファイアウォールルールは、ユーザグループ調査チームがChatGPT にアクセスできるようにし、生成的AIツールカテゴリへのその他のすべてのアクセスをブロックします:
アプリケーション制御ポリシーを使用すると、アプリのリスクスコアやコンプライアンスレベルなどの特定の基準に基づいてアプリのアクセスを詳細に制御できます。 アプリケーション制御ポリシーの設定について詳しくは、アプリケーション制御ポリシーの管理を参照してください。
アプリケーションの無料ティアで独自情報が露出しないように、ユーザーをプライベートアカウントへのアクセスからブロックし、エンタープライズテナントにのみアクセスを許可するアプリケーション制御ポリシー内でルールを作成することができます。 例えば、OpenAIアプリケーションに対して、組織のテナントへのログインアクティビティのみを許可し、その他のすべてのログイン(例: 個人のメールアドレスでのログイン)をブロックするルールを定義できます。
以下は、最初のルールで会社ドメインを含むユーザー名に対してOpenAIへのログインを許可し、その後、直接およびサードパーティー認証を通じた全てのOpenAIへのログインをブロックするサンプルルールベースです。
GenAI アプリはしばしばユーザー入力を処理し、データの漏洩につながる可能性があります。例えば、ユーザーが誤って専有コード、個人情報 (PII)、機密企業データを共有する場合などです。 Cato DLP サービスはコンテンツをスキャンし、AI アプリでポリシーを施行することで、ユーザーがアプリを使用する際に機密データを妥協することを防ぎます。 GenAI アプリのための DLP ルールを作成することで、AI モデルに機密データが入力されないように検出しブロックするポリシーを施行できます。
Cato の DLP サービスはいくつものモデルを使用して、高度な技術を駆使してトラフィックフロー内の機密データを検出します。 これには、財務、法務、人事、移民、医療などのカテゴリが含まれています。 さらに、DLP には GenAI アプリで使用するデータの種類も含まれています。 例えば、PII データプロファイルにはクレジットカード情報や免許証などのデータタイプが含まれています。 これにより、関連する機密データにのみ適用され、AI アプリでの使用を防ぐ詳細なポリシーを作成できます。
事前定義されたデータプロファイルが、独自のファイル/データを提供してカスタム ML モデルをトレーニングするために利用できます。 高度な AI エンジンはこの入力から学習し、コンテキストを推測し、後に同じドメイン内で機密データを検出します。
さらに詳しくは、DLP 用のカスタムデータタイプの作業をご覧ください。
注
注: この機能は 2025 年 3 月 25 日以降に作成されたアカウントでデフォルトで利用可能です。 それ以前に作成されたアカウントについては、データタイプを手動で作成できます。 さらに詳しくは、AI アプリを監視するための推奨 DLP ルールをご覧ください。
アプリケーション制御および DLP ポリシーには、事前定義された Cato 推奨のルールが含まれています。 これらには AI アプリを保護するためのルールが含まれています。 デフォルトで、DLP は次のデータの種類が GenAI ツールにアップロードされることを監視し、イベントを作成します:
-
PII
-
財務データ
-
アクセスキー&トークン
-
法務データ
0件のコメント
記事コメントは受け付けていません。