ガートナー、AI時代の情報漏えい対策要素を発表
ガートナージャパンは、AIおよび生成AIが台頭する時代に必要だという6つの情報漏えい対策の要素を発表した。同社調査で2023年に情報漏えいが発生した企業は、サイバー攻撃が原因の場合で34.0%、内部関係者が原因の場合では27.7%に上り、セキュリティ部門の57.2%が、AIなどによるデータ活用の拡大に不安を感じていることも分かったという。 AI時代に必要な情報漏えい対策の要素は次の通り。 1.情報漏えい対策の知見 多くの企業が境界型セキュリティ施策を取っていたため、セキュリティ部門やシステムインテグレーターには、データセキュリティについての実務経験者がいないなど、セキュリティの知見がサイバーセキュリティに偏っているような現状が見られる。セキュリティの範囲は広く、サイバーセキュリティに詳しい担当者が必ずしもデータセキュリティに明るいわけではないという点を認識する必要がある。 実務経験者が少ない企業は、現実性のある運用を想定するのが難しい場合がある。新しい時代の情報漏えい対策の知見を得るために、公開事例に頼らず、先進的な取り組みを行っている企業に自らインタビューを実施するなど、新しい情報収集方法の実践が重要となる。 2.情報漏えい対策のフィロソフィー(コンセプト) 企業は、セキュリティの境界を定め、ユーザーは境界の中で、自由にデータにアクセスし、分析できた。しかし、これでは情報を外に持ち出せず、クラウドの利用や外部との共有を思うようにできず、企業が目指すデジタル時代の姿と大きく懸け離れてしまうことになる。境界型セキュリティ、つまり、データ保護をネットワークやシステムといった大きな単位で行うのではなく、ユーザー、データの種類、ユーザーの作業範囲などの小さな単位で暗号化や権限付与を行うことが求められている。 アクセスできる人や操作できる内容を限定する、情報漏えい対策に向けた過剰なアクセス権の付与をなくすことへ大転換することが重要であり、さらに、これを従業員が生成AIなどを本格利用する前に、大々的に周知することが重要になる。 3.情報漏えい対策の責任の所在 情報漏えいで困るのは、経営陣だけではない。ユーザー部門も取引先や顧客の情報には責任があり、何かあった場合には、それを伝える説明責任がある。境界型セキュリティでは企業のセキュリティがインフラセキュリティに大きく依存していたことなどから、情報漏えいの責任が経営、IT/セキュリティ部門にあると誤解しているユーザーが多く存在する。 セキュリティ部門は、ルールの制定やテクノロジーの評価に責任を持つものの、ビジネスで必要なデータを使う上で、データ保護/アクセス管理を行い、情報が漏えいしないようにする責任がユーザー部門にもあることを今一度周知しておく。 4.データマップの作成 データの生成、保存の場所、所有者、そのデータの重要度と使用者を示す「データマップ」を作成することが重要になる。作成する際は、どのデータがそのビジネスにとって重要なのか、ユーザーはそのデータを本当に扱う必要があるのかなど、さまざまな観点を踏まえて作成する必要がある。 5.テクノロジーの評価と活用 データ保護では、データの分類/検出、データ暗号、ファイル保護、権限管理などさまざまな種類のテクノロジーが用いられる。しかし、これらは決して新しいものではなく、これまでにもある。現在は「どのように実装するか」といった点に検討の重心が移動しつつある。評価する際は、機能面だけでなく、「ユーザーにとって使いやすいものなのか」という運用面にも十分な時間を費やすことが重要。また、新しく「データセキュリティポスチャーマネジメント」(Data Security Posture Management)など、リスクの変動を分析できるようなものを検討できるようになっているが、過度に依存し過ぎず冷静に評価する。 6.ユーザーのリテラシー向上 情報漏えい対策に関するルールは、データ分析に用いるツールや取り扱うデータの種類によってさまざま。ユーザーもそうした状況に応じて適切なルールを適用しなければならないが、セキュリティのリテラシーは一定ではない。戦略的な業務や重要なデータを扱う場合は、ユーザーのルールの順守を促進させるために、セキュリティ部門でユーザーのデータの使い方を積極的に理解し、セキュリティマニュアルに、これまで以上にリアリティーを持たせることが肝要となる。
