ImpervaがシャドウAIの危険性を公開した。企業が取るべき対策には3つのステップがあるという。
この記事は会員限定です。会員登録すると全てご覧いただけます。
Impervaは2023年6月29日(現地時間)、大規模言語モデル(LLM)に基づいた新たな生成AI(人工知能)が内部者によるデータ侵害「シャドウAI」の増加を引き起こす可能性があると警告した。インサイダー脅威はデータ侵害の主要な原因であるが、多くの企業がこの脅威を重視していないと分析されている。
インサイダー脅威はデータ侵害の主要原因だ。Impervaによれば、この5年間に発生したデータ漏えいの24%が人為的なミス(詐欺、窃取、身代金要求、データ損失、認証情報を偶発的にまたは故意に使用するなど)だ。一方、企業の33%はインサイダー脅威を重要な脅威とは認識していない。
従業員はLLMに基づくチャットサービスを業務効率化の目的で使うケースがほとんどだ。Impervaは「企業がこうしたサービスへのアクセスを禁止しても効果が薄い」としている。同社はこうした問題を従業員に対する規制で解決するのではなく、データ保護に注力すべきとする。Impervaが提唱する組織が取るべき対策は以下の通りだ。
全てのデータリポジトリを検出して可視化することが重要で、シャドーデータベースには重要な情報が存在することもある。
全てのデータを種類や機密性、価値などで分類する。効果的なデータ分類は組織におけるリスク低減につながる
異常な動作やデータ流出、特権昇格、疑わしいアカウントの作成などの脅威を検出するために、データ管理および分析機能を実装する。
2022年11月に登場した「ChatGPT」などは業務の効率化を実現しているが、サイバーセキュリティの懸念も増えている。企業内のデータを整理し、適切な対策を取ることが重要だ。
Copyright © ITmedia, Inc. All Rights Reserved.