前へ 1 2 次へ

第10回 “あのセキュリティ事故”はどうやったら防げた? 検証委員会

生成AIの業務活用による「効率化」と「情報保護」のバランス、FortiSASE+FortiAI-Protectのソリューション

広告制作で無許可の“シャドーAI”利用、発表前の商品情報が漏洩! どうやったら防げた?

文●大塚昭彦/TECH.ASCII.jp

提供: フォーティネット

  • この記事をはてなブックマークに追加
  • 本文印刷

“シャドーAI”の検知/制御を簡単に実現、「FortiAI-Protect」

 生成AIサービスの業務活用におけるこうした課題について、フォーティネットでは「FortiAI-Protect」という新たなソリューション領域で、“AIがもたらす脅威からの防御”を目的とした機能群を提供していく方針だ。

 FortiAI-Protectそのものは製品ではなく、実際の機能は、統合セキュリティプラットフォームを通じて「FortiSASE」や「FortiGate」など幅広い製品で利用できる。

AI技術の急速な進化に呼応して、フォーティネットでは「FortiAI-Protect(AIがもたらす脅威からの防御)」「FortiAI-Assist(AIによるセキュリティ運用の支援)」「FortiAI-SecureAI(LLMやAIシステムの防御)」という3つの領域でソリューションを提供していく

 そうしたFortiAI-Protectの機能のひとつとして、「社内で利用されている生成AIサービスの検知」および「サービスの制御」が含まれる。つまり「“シャドーAI”の検知と制御」の機能があるのだ。

 FortiSASEにこの機能を組み合わせて使うことで、AI/生成AIサービスに関連する6500以上のURLへのアクセスを検出し、制御できるようになる。これにより、まずは社内でどのような“シャドーAI”が発生しているのかを、リアルタイムに把握することが可能だ。

 管理画面上では、検出されたサービスの名前だけでなく、サービスのカテゴリ、社内の利用実績(セッション数や通信量)、さらに「FortiGuard Labs」の脅威インテリジェンスに基づくリスクスコアも表示される。そのため管理者は、個々のサービスにどう対処すべきか、利用を許可すべきか禁止すべきかを判断しやすい。

社内利用を検知した生成AIサービスをカテゴリごとに表示

管理者にとって未知の生成AIサービスでも、リスクレベルが確認できる

 さらに、FortiSASEを通じて、ユーザー/グループ単位でポリシーを適用できる。つまり、全社一律の許可/禁止だけでなく、業務上で必要と認められるユーザーや部署だけに利用を許可することも簡単にできる。なお、ポリシーに違反している場合でも、ブロックせずに「警告の表示」にとどめることができる。このあたりは、利便性と情報保護のバランスを調整しながら運用していくのに便利だろう。

 さらに、生成AI経由で機密情報や個人情報が漏洩しないように、DLP(情報漏洩防止)の機能も組み合わせて利用できる。これにより、たとえ利用が許可されているサービスであっても、リスクの高い利用方法がなされていないかどうかを検証して、今後のルール作りやポリシーの調整、さらにユーザー教育などに生かすことができるだろう。

■セキュリティ事故、その後日談:

 情報漏洩事故の発生、そして多数の“シャドーAI”の発覚を受けて、V社では、FortiSASEとFortiAI-Protectを組み合わせて導入することに決めた。

 これまでのように、一方的にIT部門側で利用の許可/禁止を決めることをやめて、まずは社内各部門でどのような生成AIサービスが業務活用されていて、そのリスクがどうなのかを把握することから始めている。現在では、新たに登場したばかりのサービスであっても、必要に応じて部門単位で利用を許可している。

 加えて、ユーザー単位でのサービス利用状況が把握できるようになったので、特に生成AIサービスの活用が多い社員をピックアップする取り組みも始めた。もっとも、これは“情報漏洩リスクが高いユーザー”として目を付けるためではなく、“生成AIを積極活用している先進ユーザー”として注目し、「社内AIエバンジェリスト」として他の社員にノウハウ共有してもらうための取り組みだ。一度は情報漏洩事故を起こしてしまったあの社員も、今ではAIエバンジェリストの一員である。

■関連サイト

前へ 1 2 次へ
Fortinet トップへ