Netskopeの調査研究部門であるNetskope Threat Labsは米国時間2024年7月17日、企業のAIアプリ活用に関する新たな調査レポート「クラウド・脅威レポート:企業におけるAIアプリ(Cloud and Threat Report: AI Apps in the Enterprise)」を発表した。
調査結果
調査対象となった企業の4分の3は、現在少なくとも1つの生成AIアプリを完全にブロックしているとのことだ。これは、機密データの漏洩リスクを抑えたいという企業の技術部門リーダーの懸念を反映したものだという。しかし、入力内容の照会による機密情報の共有を防ぐ目的でデータセントリックな管理策を適用している組織は半数以下だとしている。企業の大多数では、生成AIの安全な活用を実現するために必要な、高度なDLP(Data Loss Prevention)ソリューションの導入が遅れているとのことだ。
また、現在96%の企業が生成AIを使用していることが明らかになった。この数は、過去12ヵ月間で3倍の伸びを示した結果だという。企業は平均で10近くの生成AIアプリを使用しており、2023年の3から増加した。また、生成AIアプリの採用数で上位1%にあたる企業では、現在平均して80のアプリを使用しており、14から大幅に増加している。使用の増加にともない、企業では機密に該当するソースコードの生成AIアプリ内での共有が増加しており、報告されたデータポリシー違反の46%を占めている。こうした情勢の変化は、企業のリスク管理を複雑なものにしており、より強固なDLPの必要性を示唆しているとのことだ。
そして、組織が採用を進めているセキュリティおよびデータ損失管理における微妙な差異の中には、予防的なリスク管理という良い兆しが見られるという。たとえば、65%の企業が生成AIアプリ上でのユーザー行動をガイドするために、リアルタイムのユーザーコーチングを導入している。同調査結果から、効果的なユーザーコーチングがデータに関連するリスクの軽減において重要な役割を果たすことが示されており、57%のユーザーはコーチングによる警告を受けた後に行動を変更しているとのことだ。
同調査結果では、以下の内容も明らかとなったという。
- 最も人気の高い生成AIアプリは依然ChatGPTで、80%以上の企業が利用
- Microsoft Copilotは2024年1月のリリース以来、57%と利用率が伸びている
- 19%の組織が、GitHub CoPilotの利用を全面的に禁止
企業に向けた推奨事項
Netskopeは各企業に向け、NISTのAIリスク管理フレームワークなどの取り組みを活用し、AIや生成AIに特化したリスク管理フレームワークの見直しと適用、調整を実施することを推奨しているという。生成AIがもたらすリスクへの対処として、以下のような具体的な戦術的ステップがあるとのことだ。
- 組織の現状を知る:現状におけるAIや機械学習、データパイプライン、生成AIアプリケーションの使用状況を評価することから始め、セキュリティ管理の脆弱性とギャップを特定する
- コアコントロールの実施:アクセス制御、認証メカニズム、暗号化など、基本的なセキュリティ対策を確立する
- 高度なコントロールのための計画策定:基本的な対策にとどまらず、高度なセキュリティ管理のためのロードマップを作成する。脅威モデリング、異常検知、継続的モニタリング、行動検知などを検討し、通常のユーザーパターンを逸脱した不審なデータの動きをクラウド環境から生成AIアプリ全体にわたって特定する
- 測定・開始・修正・反復:セキュリティ対策の有効性評価を定期的に実施する。実際の経験や新たに出現する脅威に基づき、適応・改良する
調査概要
- 対象業界:金融サービス、ヘルスケア、製造、通信および小売業界を含む世界各国の業界複数
- 対象者 :Netskope Security Cloudプラットフォームのユーザー数百万人
- 調査期間:2023年6月1日~2024年6月30日
【関連記事】
・Netskope、OpenAI「ChatGPT Enterprise」と統合 データガバナンス強化へ
・Netskope、Google Workspaceのセキュリティアライアンスに参加 セキュリティおよびデータ保護の強化に貢献
・Netskope、生成AIを搭載したCASBを発表 セキュリティリスク分類の速度と精度を向上へ
