“高くて使いこなせない”を解決 ブラウザプラグインで始める生成AIからの情報漏えい対策：急速に高まる生成AIやクラウド経由の情報漏えいリスクに対処

業務効率化に不可欠となった生成AIやクラウドサービス。しかし、従業員のうっかりミスによる機密情報の流出リスクが急増している。人の意識やルールだけに頼る対策ではなく、コストや運用負荷を抑えつつ、現場に負担をかけないセキュリティ対策とは。

[PR／ITmedia]

　ランサムウェアに代表される攻撃による被害は後を絶たない。一方で、従業員のミスやガバナンスの不備に起因する情報漏えいも日々発生している。機密情報や個人情報を保存したUSBメモリを紛失するといった古典的な事故に加え、最近特に増えているのがクラウドサービスを介した情報漏えいだ。

　クラウドサービスは非常に便利で、業務効率化に不可欠な存在だ。だが、例えばクラウドストレージに誰でも閲覧できる状態でデータを保存してしまい、それが情報漏えいにつながるといった事故は残念ながら何度も繰り返されてきた。

　こうしたリスクをさらに高める恐れがあるのが、近年急速に進化した生成AI関連のWebサービスだ。

　生成AIは資料やメール文面の作成・分析など、さまざまな用途に利用できるが、想定外の情報漏えいを起こすリスクもはらんでいる。本来秘密にすべき顧客の売り上げや新製品に関する情報、新システムのソースコードなどを生成AIサービスに入力する行為が挙げられる。これにより、関連情報が意図せぬ形で公開されたり、生成AIの学習に利用されたりする恐れがある。海外の事業者によって提供される生成AIサービスが多く、こうした情報を国外に預けるべきか否かも議論が残る。

　インターネットイニシアティブ（IIJ）の砂田真志氏は、「生成AIは非常に便利な半面、従業員が無意識に業務情報を入力してしまい、社内にとどめておくべき機密情報が社外に分散してしまう時代に突入しています」と指摘する。

人の正義感に頼らず、コストや手間の少ない漏えい防止の仕組みを

　もちろん、従業員に悪意があるわけではない。単により良い成果や価値を生み出すために利用しているという場合が大半だ。だが、そこに何らかのルールや歯止めがなければ漏えいのリスクは高まるばかりだ。

　AI利用やクラウドサービスに関する社内規定やガイドラインを既に設けている企業も多いが、従業員の正義感に頼るだけでは限界がある。さらに、「雇用形態や所属の異なる多様な人材が同じ環境で働くようになり、組織構成が多様化しています。そうした中で、人の意識やルールだけでなく、仕組みでリスクをカバーする必要があります」と砂田氏は警鐘を鳴らす。

　ルールを実効性あるものとして、仮にミスが起きても致命的な事態につながらないように「従業員がどのAIサービスをどのように利用しているかを把握して、機密情報を入力しないようにコントロールする必要があります。これはクラウドサービスについても同じことが言えます」と砂田氏は述べた。

IIJ ネットワークサービス事業本部 DXP推進本部 エンタープライズサービス1部 SSE開発2課長 砂田真志氏

　振り返ってみると、ITシステムが普及してからというもの、便利さと表裏の関係にある情報流出のリスクを抑えるためにさまざまな仕組みが提示されてきた。

　その一例が、どのようなクラウドサービスを利用しているかを可視化して制御する「CASB」やそれを他のセキュリティ機能と統合した「SASE」、トラフィックを監視して個人情報や機密情報を含むデータが外部サービスに入力されそうな場合はブロックする「DLP」といったソリューションだ。

　そうしたソリューションの多くは導入に多額のコストがかかり、既存のネットワークインフラに変更を加える必要もある。投入できるリソースが限られ、大企業ほどの予算をかけられない中堅・中小企業にとってはハードルの高い選択肢だ。

　「CASBにせよDLPにせよ、状況を可視化した上で何がリスクの高いサービスか、何が機密情報に当たるのかを企業ごとに人が判断する必要があります」と砂田氏。ただでさえデジタルトランスフォーメーションや他のセキュリティ施策に追われているIT担当者が、どんどん進化するクラウドサービスや生成AIサービスの良しあしを判断したりデータをラベル付けしたりするのは非常に負担が大きい。他の業務と兼務している中小企業のIT担当者にとってはなおさらだろう。

ブラウザのプラグインを介して通信を可視化し、制御するブラウジング保護

　こうした課題を踏まえ、IIJは、クラウド型統合エンドポイントセキュリティサービス「IIJセキュアエンドポイントサービス」の一機能として「ブラウジング保護（SecureLayer）」を追加した。高度なセキュリティや管理機能を備えたWebブラウザを、プラグイン型で実現するサービスだ。

　エンジンとして「SecureLayer Browser Extension」（SecureLayer）を採用しており、非常に軽量、かつ少ない手間で導入でき、無理なく運用できることが特徴だ。

　本サービスは、生成AIはもちろん「Microsoft 365」「Salesforce」「Box」といったクラウドサービスを可視化して制御するCASBや、機密情報の入力およびファイルアップロードを制御するDLPといった機能を持つ。

ブラウジング保護（SecureLayer）の主な機能（提供：IIJ）《クリックで拡大》

　ポイントは、インターネットとの境界部分や外部のクラウドサービスで制御するのではなく、「Google Chrome」や「Microsoft Edge」といった既存のWebブラウザに追加するプラグインによってエンドポイント側で制御することだ。

　「ネットワーク構成を変更したりWebブラウザを新しいものに置き換えたりする必要がなく、プラグインを1つ追加するだけで導入できます。業務手順の更新や従業員への周知といった手間を掛けることなく、容易に社内に展開できます」

　従業員にとっても、さまざまなサービスを利用する際の手順が変わるわけでもなく、以前と同じ操作で利用できるので、ストレスなくセキュリティを確保でき、抑止力としても機能する。

　本サービスのプラグインは管理画面からダウンロードして展開できるため、端末を預かってキッティングする必要はない。月額課金モデルなので、まずIT部門で検証し、次に総務部にも展開し、問題なければ他の部署へも……といった具合に段階的に導入できる。

　ネットワーク経路の途中で制御するのではなく、エンドポイントで直接データを確認し、制御する仕組みだ。プロキシなどで暗号化通信を復号する必要がなく、「いつ」「誰が」「どのWebサービスや生成AIにアクセスして」「どんな文字列を貼り付けたか」といった事柄を細かく把握できる。

従業員が生成AIに何を書き込んだかも確認できる

　これまでCASBやSASE、DLPといったソリューションの導入の障壁になってきたポリシー設定や運用の負荷が少ないこともポイントだ。

　「慣れない方が、ネットワーク通信やヘッダーの内容をイチから学んでポリシーを作成するのは困難です。本サービスのユーザーインタフェースは非常に分かりやすく、『ソースコードのアップロードやペーストは禁止する』といった具合に、行動ベースで設定できます」

　デフォルトで提供されるプリセットルールを活用することで、クレジットカード番号やマイナンバーのような一定のフォーマットに沿った文字列の入力を禁止するといった制御が容易な一方、正規表現を使って企業のポリシーに合わせた厳密なルールも設定できる。

　こうした仕組みによって、外部サービスにデータが入力される、まさに「大本」の部分で通信やデータを把握し、さまざまなクラウドサービスや生成AIの利用を細かく制御する。

　ただ、ブラウジング保護（SecureLayer）だけで必要なセキュリティ対策をカバーできるわけではない。本サービスがフォーカスしているのは、Webブラウザから外部への通信を手軽に、きめ細かく可視化して制御することだ。Webブラウザベースの業務の割合は非常に増えているものの、それ以外の対策も欠かせない。

　砂田氏は「本サービスは既存のセキュリティ製品を置き換えるものではなく、それらも活用しながらプラスアルファで追加するツールです」と述べる。例えば、IIJセキュアWebゲートウェイサービスのセキュアブラウジングオプションを組み合わせると、Webコンテンツを分離して無害化することができ、より安全なWebアクセス環境を実現できる。

　加えて、今後SASEを見据えていく場合は、CASB、DLP以外にもZTNAなどの要素も求められる。IIJは、デバイスにエージェントをインストールしてゼロトラストを実現する「IIJフレックスモビリティサービス/ZTNA」を併用して、デバイス側でSASEに求められる制御を行える、今後の新たなSASEの在り方を提唱する。

デバイスモデルのSASE

“運用しきれる”セキュリティで安心してAIを活用できる世界へ

　うっかりミスや内部不正による情報漏えいは、古くて新しい脅威であり続けてきた。さまざまなソリューションが提示されてきたが、機能が豊富であるが故にコストがかさみ、使いこなすのにもスキルが要求され、活用し切れなかったのも事実だ。

　これに対してブラウジング保護（SecureLayer）は、Webブラウザの中で行動を可視化し、その情報に基づいてクラウドサービスや生成AIへの通信とアップロードするデータを制御するシンプルな仕組みにより、コストや運用負荷と得られる効果のバランスを取れる。IT担当者が管理すべきツールをこれ以上増やさず、細かな判断や設定をする必要もない。

　既に複数社でのトライアルが進み、正式導入に至るケースも出てきているという。導入のしやすさ、運用のしやすさに加え、「過度でも、不足でもない、現場で運用しきれるレベル」が評価の理由として挙がっている。

　IIJではこのように、「当たり前のように安全が守られている環境の実現」を目指している。

　「年々、業務の中でWebブラウザを使った活動が欠かせないものになってきましたが、『本当にこのクラウドサービス、この生成AIを使っても大丈夫なのか』と不安を抱きながら、探り探り利用している場面も見られます。意図的な犯行はもちろん、意図せぬ漏えいも防ぐ仕組みを整えることで、安心して有益なサービスを使える環境が整うと考えています」