生成AI時代に必要な6つの情報漏えい対策とは？ ガートナー調査：セキュリティニュースアラート

ガートナーはAIの普及に伴い企業が直面する情報漏えいリスクへの対応として重要な6つの要素を発表した。同社の調査によると、情報漏えい対策が不十分な状態でのAIを活用したデータ利用の拡大に不安を覚える声が57.2％に上るとされている。

[後藤大地，有限会社オングス]

　ガートナージャパン（以下、ガートナー）は2024年10月30日、AIや生成AIが普及する現代において不可欠な情報漏えい対策の6つの要素を発表した。

　ビジネスでのAI活用が進む一方で、企業はサイバー攻撃や内部要因による情報漏えいリスクの増大に直面しており、同社が2024年3月に日本のセキュリティリーダーを対象に実施した調査では、2023年に情報漏えいを経験した企業が全体の34％、内部からの漏えいが27.7％と報告されている。

ガートナーが提唱するAI時代に必要な6つのセキュリティ対策とは？

　企業のセキュリティ部門では、情報漏えい対策が不十分な状態でAIを活用したデータ利用の拡大に不安を覚える声が57.2％に上るとされ、セキュリティの強化が急務であると指摘されている。ガートナーは、今後のセキュリティ施策として、以下6つの要素が競争力の向上と情報漏えいリスク軽減に寄与すると見込んでいる。

1. 情報漏えい対策の知見：　国内企業の多くはこれまで境界型セキュリティを導入してきたため、セキュリティの知見がサイバーセキュリティに偏っている現状がある。セキュリティ担当者がサイバーセキュリティに詳しくても、必ずしもデータセキュリティに明るいわけではないため、この認識の共有が必要となる。さらに、新たな情報漏えい対策の知見を得るため、先進的な企業にインタビューするなど積極的な情報収集が求められている
2. 情報漏えい対策のフィロソフィ：　従来の境界型セキュリティではデータの自由なアクセスが可能だったが、情報漏えい防止にはユーザーやデータの種類に応じた暗号化や権限付与が求められるようになった。この考え方の転換を進め、従業員が生成AIなどを利用する前に過剰なアクセス権を見直し、リスクを低減させることが重要となる
3. 情報漏えい対策の責任の所在：　情報漏えいの責任は企業の経営陣だけでなく、取引先や顧客情報を扱うユーザー部門にもあることを明確にする必要がある。セキュリティ部門がルール制定や評価を行う一方で、実際のデータ保護とアクセス管理はユーザー部門も担っていることを再認識させることが求められる
4. データマップの作成：　データの生成場所や保存場所、重要度などを示すデータマップを作成し、重要データの扱いを精査する必要がある。法規制に基づく機械的な判断も可能だが、ビジネス的な重要性は主観的要素が強く、ユーザーによる判断が必要だ。また、データマップは生成から廃棄に至るライフサイクルに合わせ、適宜更新することが重要となる
5. テクノロジーの評価と活用：　データ保護にはさまざまなテクノロジーが使われるが、現在は「どのように実装するか」が重要視されている。評価時には機能面だけでなく、運用面での使いやすさも考慮し、セキュリティポスチャマネジメントなどの新技術も冷静に評価する必要がある
6. ユーザーのリテラシー向上：　情報漏えい対策のルールはデータやツールに応じて異なるため、ユーザーも状況に応じたルール適用が求められる。特に重要データを扱うユーザーにはルール順守を促すべく、セキュリティ部門が積極的にサポートし、リアリティーのあるマニュアルの作成が肝要となる

　シニアディレクターアナリストを務める矢野 薫氏は「日本のセキュリティ部門は、今までネットワークセキュリティやマルウェア対策などのインフラセキュリティに重きを置く傾向にあった。情報漏えい対策については、これまで積極的に実行してこなかったと認識しているセキュリティリーダーも多く、実際に、Gartnerの調査でも過半数が積極的に対策を取ってこなかった点について反省していると回答している。その一方で、情報保護の重要性について、従業員の理解をなかなか得られていないことも認識している」とコメントした。

　ガートナーが示した6つの情報漏えい対策要素は、AIと生成AIが普及するビジネス環境において企業の競争力強化とデータ保護に不可欠であると考えられる。情報漏えい対策の実行には、境界型セキュリティからの脱却や、データマップの活用、テクノロジーの評価と適切な実装が求められる。また、全社的な責任の共有とユーザーのリテラシー向上が重要な要素となる。