生成AIを使う上で考慮すべき“法律以外の部分” データ保護の正解は？：データ管理責任は丸投げできない

生成AIを利用する上で、ベースとなるデータの保護が急務だ。クラウドで保管する場合は責任共有モデルによってデータ管理の責任はユーザー企業が抱えるため、適切に保護できない場合はリスクになる。どうすればいいのか。

PR／ITmedia

PR

　生成AIのビジネス利用が拡大する中、データのガバナンスやセキュリティ対策といった課題が浮上している。生成AIで企業が成長するにはデータの適切な保護が欠かせない。日本マイクロソフトとヴィーム・ソフトウェア、日本ビジネスシステムズ（以下、JBS）が開催した共同セミナーの内容を基に、生成AIの法的リスク、データ保護、セキュリティ、ガバナンス、バックアップソリューションについて解説する。

生成AIを使うリスク、使わないリスク

　生成AIの利用に当たってはさまざまなリスクがある。ユーザーが生成AIに秘密情報や個人情報を入力したことで外部に漏えいする、生成AIのハルシネーションから損害が発生するといったリスクを考慮せずに利用するのは極めて危険だ。

　生成AIを巡るリスクについて、米ニューヨーク州弁護士の福岡真之介氏は次のように説明した。

　「生成AIの利用には法的リスクが伴いますが、それだけを恐れるべきではありません。逆にAIを利用しないことも問題で、過度に保守的な運用は社員を萎縮させて生成AIの利用を阻害します。効果的な運用にはリスクベースのアプローチが重要です」

福岡真之介氏（西村あさひ法律事務所 弁護士・ニューヨーク州弁護士）（講演資料より抜粋、以下同）《クリックで拡大》

　ビジネスにおける生成AIの法的リスクは上図の8つに大別できる。近年はそれぞれの影響度に合わせた対策を講じる考え方が広がっていると福岡氏は説いた。

データの責任を負うのはクラウドベンダーか、ユーザー企業か

　生成AIの利用における法的リスクの中でも、その影響範囲の広さから特に注意が必要なのがセキュリティとデータ保護だ。福岡氏は「自然な文体のフィッシングメール、音声や映像によるなりすまし、ウイルス作成の容易化など生成AIの普及でセキュリティリスクが増加しています。顧客や取引先がサイバー攻撃を受けてIDやパスワードが盗まれ、自社に波及するケースも増えています」と警鐘を鳴らした。

　クラウドのデータ保護で重要なのは「責任共有モデル」とユーザーの責任範囲だ。「クラウドサービスでは、ベンダーとユーザーがそれぞれの責任範囲を定める責任共有モデルが適用されることがあります」と福岡氏は説明する。「Microsoft 365」のようなSaaSは、インフラの管理はSaaSベンダーが行うがデータの管理、保護、そのデータへのアクセス管理の責任は原則としてユーザーにあるとされることが多い。

　この場合、サイバー攻撃によるデータの暗号化やオペレーションミスによるデータの消失はユーザーが責任を負う。損害賠償が発生すると、多額の賠償金がユーザー企業を襲う。福岡氏は、生成AIガバナンスに向けたルールやポリシーの策定、データを適切に保護するためのセキュリティ機能やシステムの整備が重要だと訴えた。

Microsoftはどのように生成AIのガバナンスとセキュリティを実現したのか

　生成AIとデータに関連するガバナンスやセキュリティ、保護の仕組みはどのように実現すればいいのか。責任共有モデルに基づくとデータのバックアップはユーザーが検討する必要がある。日本マイクロソフトの土江美紀子氏は「生成AIの基となるデータを守り、ガバナンスを効かせるための手だてが重要です」と指摘し、生成AIについての同社の考え方とソリューションを説明した。

　「Microsoftのサービスは国際的なセキュリティ基準に準拠しており、日本のお客さまのデータは日本リージョンで保管されます。Microsoft 365や『Microsoft 365 Copilot』は責任共有モデルに基づいており、データはお客さまご自身で管理します。これは、データはお客さまのものであり、Microsoftが勝手に利用することはないということでもあります。入力されたデータや生成された内容をAIの再学習に使うこともありません」

　データの管理責任はユーザー企業にあるが、これはMicrosoftが何のサポートもしないというわけではない。むしろ、同社はユーザー企業が生成AIを安全に利用できるようにガバナンスとセキュリティを含めた包括的なソリューションを提供している。

　「セキュリティの観点からは、アクセス権の管理やデータ損失の防止、内部リスクからの保護、過剰に共有されているファイル（＝過剰共有リスク）の管理や権限修正などの機能を提供します。ガバナンスの観点からは、ライフサイクルポリシーと監査要件のサポート、コンプライアンス違反や非倫理的な使用の検出、AI規制に準拠するためのガイドとサポートなどを提供します」

　これらは、Microsoft 365 Copilotと「Microsoft Purview」を組み合わせることで実現できるという。

土江美紀子氏（日本マイクロソフト エンタープライズパートナー統括本部 パートナー技術本部）《クリックで拡大》

　過剰共有の問題とは、必要以上に広範なユーザーにファイルのアクセス権限を付与してしまう状態を指す。共有状況を可視化できるようにして、どのくらいのリスクがあるかをアセスメントすれば高リスクの状況に優先的に対応できる。

　データ損失とインサイダーリスクに対する保護では、機密情報の不適切な共有や、与えられたアクセス権の悪用といったリスクが発生しようとしたときに、コンテンツに秘密度ラベルというメタデータを付けて管理できる。これによって、情報漏えいや情報の窃取、悪用の自動的な防止が可能だ。

　ガバナンス機能を使えばAIの利用状況を監視してリスクを可視化でき、ユーザーが勝手に持ち込んだ「Shadow AI」のリスクを軽減するための対応を取れる。

Microsoft 365の保持ポリシーに潜む盲点

　Microsoft 365 Copilotに情報を入力するようになると、クラウドに蓄積されるデータはさらに増える。アクセス権管理や情報漏えい、データ損失、インサイダーリスク対応などと併せて、データそのものを破壊するランサムウェアなどの攻撃への対応も必要になる。そこで重要なのがバックアップだ。

　オンプレミス環境や仮想化環境、クラウド環境を統合的にバックアップするソフトウェアを提供するヴィーム・ソフトウェアの北角聖氏は「日々生成されるMicrosoft 365上のデータは20億件を超えるといわれます。今後も爆発的に増加すると予想されるデータをどうバックアップするかが大きな課題です」と指摘した。Microsoft 365のデータバックアップが必要な主な理由は下図の7つだ。

北角聖氏（ヴィーム・ソフトウェア システムエンジニアリング本部 クラウドソリューションアーキテクト）《クリックで拡大》

　Microsoft 365は、保持ポリシーを設定してデータを一定期間保持する、自動的に古いデータを削除する――といったことができる。ただ、この保持ポリシーが実態と合わなかったり設定ミスを突かれたりしたときにデータを失うことがある。

　ある製造業者は、「SharePoint Online」に保持していた機密設計図をランサムウェア攻撃で暗号化されて復旧できなくなった。ある金融業者は、保持ポリシーのミスで「Exchange Online」に保存していた重要メールが消失した。いずれも顧客やステークホルダーからの信頼の失墜を招き、事業継続が危ぶまれる事態になったという。このような事態によって監査のタイミングでデータが残っていないと、不正を疑われることもある。

　「Microsoft 365の標準的なデータ保持ポリシーは、限定的な方法でデータ損失からユーザー企業を保護するものであって完全なバックアップソリューションを意図した機能ではありません。インシデントを検知したときには保持ポリシーの期限を越えており、データが削除された後だったというケースもあります。確実にデータを保護するためにはバックアップソリューションは欠かせません」

信頼できるバックアップソリューションにサポートを付けて“良いとこ取り”

　バックアップ場所としてはオンプレミスとクラウドがあるが、Microsoft 365のバックアップ環境を構築するとしたらどの方式をどのような基準で選定すればいいのか。

　クラウドを利用するメリットの一つは、システムの運用管理をクラウドプロバイダーに任せることで導入工数や運用工数を抑えながら信頼性の高い最新のサービスを利用できる点にある。

　一方で、責任共有モデルの原則があるためデータはユーザー自身が責任を持って管理することが求められる。データの管理を全てオンプレミスにすると、導入工数や運用工数の削減といったクラウドのメリットが失われる。Microsoft 365のメールデータや「Microsoft OneDrive」のデータをオンプレミスにダウンロードして管理すると、その分のコストが増える。

　そんな中、ハイブリッド方式で高い信頼性とセキュリティ対策、手厚いサポートを「良いとこ取り」するソリューションを提案している企業としてJBSがある。同社はMicrosoft 365やVeeam Backupの取り扱い実績が豊富なSIerだ。JBSの寺田敬佑氏はこう話した。

　「Microsoft 365のデータバックアップの方法には、（1）自社データセンターでの自前構築、（2）VeeamなどのBaaS（Backup as a Service）ソリューションの利用、（3）SIerのBaaSソリューションの利用――があります。（3）は『（3-1）SIerが独自システムを構築する場合』と『（3-2）SIerがVeeam SoftwareのBaaSを利用する場合』に分かれており、JBSはSIerのサポートによる信頼性とVeeam Softwareの技術力を両立させられる（3-2）が最適と考え、『マネージドバックアップ for Microsoft 365』を提供しています」

寺田敬佑氏（日本ビジネスシステムズ クラウドマネージドサービス本部 テクニカルサポートセンター シニアエキスパート）《クリックで拡大》

　マネージドバックアップ for Microsoft 365は、Microsoft 365テナントのデータバックアップに必要な初期設定や日々の運用をJBSが代行するもので、データ復旧時の操作手順書の提供や問い合わせ対応などのサポートを含めたサービスだ。バックアップ基盤には信頼性の高い「Veeam Data Cloud for Microsoft 365」を利用している。

　これを利用すると、クラウドサービスの障害やランサムウェア攻撃などでデータが消失しても、障害発生前や感染前の日付を指定してリストアできる。導入サポートや仕様確認、QA対応、製品運用、定期レポートの提供など支援も充実している。

　生成AIの活用は今後ますます加速し、そのベースとなるMicrosoft 365データのバックアップのニーズはさらに高まる。インシデントに素早く対応しつつ顧客の信頼を維持し、事業拡大を支えるためにもマネージドバックアップ for Microsoft 365のようなソリューションは大きな力になる。生成AI時代を見据え、データのガバナンスやセキュリティ、データ保護環境を効率良く整備したい。