生成AI活用で「見落としがち」なデータ保護、ガートナーが語る「4つのリスク」とは
今「狙われがち」なセキュリティリスクとは
チェン氏によると、ガートナーの調査では、2026年までに企業のワークロードの70%がクラウドで実行されることが予想されているという。しかし、こうした変化の一方で足下を見ると、多要素認証(MFA)を使用していない企業の割合は57%にのぼる。また、データの大部分が、その所在や誰がどのように使用しているのかが分からない「ダークデータ」である現状もあり、セキュリティリスクを高める要因となっている。 こうしたセキュリティリスクを、攻撃者側はすでに認識して狙っていることも問題だ。ベライゾンのデータ漏えい・侵害レポート(2024年)では、データ侵害の49%はユーザーパスワードなどの認証情報の窃取に関する手法で行われており、20%はフィッシングによるもの、9%は脆弱性を悪用した手法によるものと報告されている。 「利便性のためにセキュリティの基本をないがしろにするとより高度なセキュリティ脅威を招き寄せることにつながります。たとえばシステムを定期的に更新する、強力なパスワードポリシーを適用し、従業員にベストプラクティスを周知するといった基本的なツールの利用、基本的な対策により、一般的なデータ・セキュリティの問題のほとんどに対処できることを忘れないようにしてください」(チェン氏)
生成AIがセキュリティに及ぼす「4つのリスク」
近年、存在感を増している生成AIも、データ・セキュリティ観点で見逃せないトピックだ。 ガートナーの調査によると、企業の経営幹部は平均して予算の5.4~7.1%を生成AIに投資するとしている。また、全体の約70%の企業が、金融、医療、製造など複数の分野で生成AIを使用しているか、導入を検討中だという。半面、AI利用に関するガイダンスを作成していない企業は53%に上る。さらに、ガイダンスを作成した企業においても、従業員の約7%がその内容を把握していないという問題がある。 また、企業が生成AIを導入する際、セキュリティ部門のリーダーの39%がデータ保護とプライバシーが最大の課題だと捉えていることも分かった。しかし、そう捉えているにもかかわらず、現在、生成AIに関連するリスクに対処するためのツールを使用している企業は7%で、1割にも満たない。ただし、導入作業中の企業は19%で調査・検討中の企業は51%に上る。 では、生成AIによって具体的にどのようなデータ・セキュリティのリスクがもたらされるのだろうか。チェン氏によると、以下の4つのリスクが考えられるという。 ・ユーザーがGPTなどの生成AIツールに機密情報をアップロードするリスク 攻撃者が生成AIを活用して強力なデータ侵害をしてくるリスク AIのトレーニング・データに機密情報が含まれるリスク AIアシスタントが、ユーザーがアクセスすべきでない情報を明らかにするリスク 一方で、企業が生成AIをうまく活用できると、データ・セキュリティ面にメリットももたらすこともあるとチェン氏は話す。そのメリットとは以下の4つだという。 ・インシデント対応の自動化による時間の節約 データ・セキュリティ・アナリストの生産性の向上 データ・リスクの検知精度の向上 解決までの時間(TTR)の短縮 「重要なことは、生成AIは攻撃側と防御側の両方で使用されるようになるということ。セキュリティを強化するために生成AIを使用する一方で、攻撃者が生成AIをどのように使って攻撃を強化するかにも注意を払う必要があります。生成AIを賢く利用すべきです」(チェン氏)
