Yahoo!ニュース

ChatGPTを企業で安全に活用するための4つの対策

大元隆志CISOアドバイザー
ChatGPTを企業で安全に活用するための4つの対策:筆者作成

 急速に成長を遂げるOpenAI社のChatGPT。ビジネスへの活用が期待される一方で、先行して利用を開始した企業では「情報漏洩」が発生した企業も既に登場しています。企業が安全にChatGPTを活用するにはどのような対策が考えられるでしょうか。

■ChatGPTが情報漏えいに発展した事例

韓国メディアではサムスン電子がChatGPTに機密情報を入力してしまい、これがChatGPTの学習に利用されたとの報道がなされています。

 また、Amazonの顧問弁護士が、ChatGPTへの機密情報の入力を控えるよう従業員に警告したとも報じられており、理由として「Amazon社内の既存資料に極めて近い出力結果が表示されるのを目にした」としています。

 情報漏えいを危惧する企業では、社内でのChatGPT利用制限に動く企業も出ており、米国の金融大手のJPモルガン・チェースは従業員のChatGPT利用を制限したと報道されています。

■登録したデータが再利用されるのは昔からあるリスク

 ChatGPT等の「クラウドサービス」に入力したデータが他のユーザーでも閲覧出来てしまうという「リスク」は実は昔から存在していました。

 無料でマルウェア検査が可能なVirus Totalというサービスはマルウェア感染の疑いのあるファイルをアップロードすると無料でマルウェアの有無をチェックしてくれる便利なサービスです。しかし、アップロードされたファイルは共有され、有料会員であればだれでもダウンロードできるようになります。

 ユーザーがデータを入力/登録するタイプのサービスではその登録したデーターがどのように利用されるのか?はChatGPT登場以前から存在していた考慮しなければならないリスクの一つです。

■ChatGPTに有効な4つの対策

 企業が採用可能な現時点で有効と考えられる対策を4つ記載します。

企業でChatGPTの活用を検討する際に有効と考えられる4つの対策:筆者作成
企業でChatGPTの活用を検討する際に有効と考えられる4つの対策:筆者作成

 ・最も簡単な方法:URLブロック

 まず、企業経営者やCTO、CISOは大前提として「自社でChatGPT等のAI技術を採用するか」を決定する必要があります。

 もし、この大方針で「採用しない」と判断する場合に最も簡単な方法はプロキシ等で「URLブロック」を実施することです。これによって社内からのChatGPTへのアクセスを遮断することが可能になります。

SASEソリューションのNetskopeによるURLブロックの設定例。*.openapi.comと登録することでChatGPTへの全てのアクセスをブロック可能です。
SASEソリューションのNetskopeによるURLブロックの設定例。*.openapi.comと登録することでChatGPTへの全てのアクセスをブロック可能です。

 ただし、この方針では「他社がChatGPTを採用し、コールセンター業務や事務処理を改善し価格競争力やサービス品質に格差が発生するリスク」も併せて検討する必要があります。

 ・ガイドライン策定

 「ChatGPTを自社で活用し企業競争力を向上させよう」と判断した場合には、安全な利用を促進するために「ChatGPT利用ガイドライン」を策定することが有効な対策と考えられます。

 ガイドラインを策定し利用ルールを周知すれば良識ある社員であればこの対策でも一定の効果が期待出来ます。但し、ガイドラインだけではシステム的な保護が存在するわけではないので、社員のモラルに委ねることになります。悪意を持った社員による意図的な情報漏えいや、善意の社員による「うっかり投稿」を防止することが出来ない点には注意が必要です。

 ガイドライン作成は有効な施策ですが、システム的な保護も併せて検討する必要があるでしょう。

 ・コーチング

 URLブロックでは完全に禁止してしまうし、かといってガイドラインのみで自由にアクセスさせるのは危険。ChatGPTにアクセスした時に「警告」みたいなものは表示出来ないだろうか?と考えた場合に有効なのがプロキシ等で利用可能な「コーチング」と呼ばれる技術です。

 ChatGPTへアクセス時に「コーチング」が発動するように設定しておくと、投稿する際にはリスクを受け入れデータを適切に扱うことを確認するよう促されるようになり「同意」したユーザーだけがChatGPTへのアクセスを許可されます。

SASEソリューションのNetskopeによるコーチング実行例。ChatGPTのURLへアクセスが発生した場合に、利用にはリスクが伴うことを警告しています。
SASEソリューションのNetskopeによるコーチング実行例。ChatGPTのURLへアクセスが発生した場合に、利用にはリスクが伴うことを警告しています。

 コーチングも有効な対策の一つですが、それでも「同意」したユーザーはChatGPTにアクセスすることが可能であり、どのような内容を投稿するかは「ユーザー」まかせとなる点には注意が必要です。

 ・DLPによる投稿内容の検閲

 最適な対策技術としてはDLPと呼ばれる技術を利用し、ユーザーがChatGPTへ投稿する内容を検閲し、機密情報等に該当するキーワード等があれば警告や投稿自体の禁止を行う対策です。

 この方法は最先端のSASEソリューションを導入している企業であれば、ChatGPTへのPOSTメソッドをDLPで検閲することが可能です。

 この方法を選択可能なNetskopeにてChatGPTにマイナンバー等の個人情報を投稿しようとするとDLPにて投稿をブロックするようにした設定と、実際にブロックしている画面を下記に示します。

NetskopeでChatGPTへの投稿を検閲する設定例。赤枠内の設定でChatGPTへのPOSTメソッドを監視しています。
NetskopeでChatGPTへの投稿を検閲する設定例。赤枠内の設定でChatGPTへのPOSTメソッドを監視しています。

NetskopeのDLPが発動し投稿をブロックしている画面。アップロードしようとしたデータは、Netskopeのインシデント管理とフォレンジックに記録され、管理者も確認することが可能です。
NetskopeのDLPが発動し投稿をブロックしている画面。アップロードしようとしたデータは、Netskopeのインシデント管理とフォレンジックに記録され、管理者も確認することが可能です。

 コーチングでは警告に留まっていましたが、POSTメソッドに対するDLPを適用することで、機密情報を含む投稿を禁止し、安全な投稿は制約なく投稿を継続することが可能になります。

 ChatGPTはビジネスシーンでも様々な活用方法が想定され、生産性向上への貢献が期待されます。ChatGPTを禁止するのではなく、安全に配慮した形で自社で利用したいと考える企業にとっては「DLPによる保護」は有効な施策の一つです。

 いずれにせよ「なんの対策もしていない」状態であれば、ChatGPTは社内で既に利用されている可能性があります。企業の経営者、CTO、CISO等は自社での方針検討と対策を検討することを推奨します。

大元隆志
CISOアドバイザー

通信事業者用スパムメール対策、VoIP脆弱性診断等の経験を経て、現在は企業セキュリティの現状課題分析から対策ソリューションの検討、セキュリティトレーニング等企業経営におけるセキュリティ業務を幅広く支援。 ITやセキュリティの知識が無い人にセキュリティのリスクを解りやすく伝えます。 受賞歴:アカマイ社 ゼロトラストセキュリティアワード、マカフィー社 CASBパートナーオブ・ザ・イヤー等。所有資格:CISM、CISA、CDPSE、AWS SA Pro、CCSK、個人情報保護監査人、シニアモバイルシステムコンサルタント。書籍:『ビッグデータ・アナリティクス時代の日本企業の挑戦』など著書多数。

大元隆志の最近の記事