Microsoft 365、Google Workspaceにデータを入れることは安全か?
デジタルワークスペースにおいて、企業の機密情報をどのように管理するかは重要な問題であると、ガートナーのマックス・ゴス氏は語る。近年、デジタルワークスペースで生成AIを活用することで、ユーザーがコンテンツを検索、作成する方法を刷新できると期待されているが、そこにはリスクも潜んでいる。Varonisのレポート『The Great SaaS Data Exposure』によると、Microsoft 365を使用している組織では、平均して10個に1個の機密ファイルが全ユーザーに公開されているという。
Gartner for Technical Professionals
コンテンツ/コラボレーション/エンドユーザー担当リサーチ・チーム
リサーチディレクター マックス・ゴス(Max Goss)氏
このような懸念に対し、MicrosoftとGoogleは以下のような主張をしている。
- Copilot for Microsoft 365/Gemini for Google Workspaceとユーザー間のやりとりは、組織内にとどまる
- プロンプトデータは、ファウンデーションモデルであるLLMのトレーニングには使用されない
- データの保管場所やプライバシーに関する規則が尊重される
- 生成AIツールは、Copilot for Microsoft 365/Google Workspaceに既存のガバナンスとセキュリティコントロールを継承する
一方で、「両社はクラウド環境を保護するための情報をかねてより多く出していることから、そこに課題があると気づいているはずだ」とゴス氏。ガートナーが2023年に実施したウェビナーで、参加者にCopilot for Microsoft 365の導入にともなう最大のリスク/問題は何か聞いたところ、「従業員に対する機密情報の過剰共有や公開」が72%と最多だった。次いで、「データがLLMによって組織外で処理される」「不明確なユースケースが限定的な導入や低調なROIにつながる」などの懸念が挙げられた。
Copilot for Microsoft 365の導入にともなう最大のリスク/問題【出典:Gartner(2024年8月)】
[画像クリックで拡大]
生成AIの、“情報”に関する4つのリスク
同社がリサーチしていく中で、「生成AIツール活用には大きく4つのリスクがあることがわかった」とゴス氏は述べる。その4つのリスクとは、以下のものだ。
- 過剰共有/公開:アクセス権がないはずの情報に基づく結果をユーザーが受け取る可能性がある
- 不正確さ:陳腐化したコンテンツや無関係なコンテンツに基づくアウトプットが行われ、不正確な情報や誤情報が拡散される可能性がある
- 間違い:ハルシネーションを起こし、誤答する可能性がある
- 無秩序な増加:コンテンツ、コンテナ、その他デジタルワークスペースオブジェクトが、急速に作成される可能性がある
この中から、ゴス氏は機密情報の過剰共有/公開について一例を紹介した。Copilot for Microsoft 365に「セバスチャン・ケンプさんが今仕事で使用しているドキュメントは何か」と尋ねると、AIは「『Tennis Club Society.docx』と『Confidential Salary Structure.docx』を使用している」と答えた。前者は機密情報ではないが、後者は給与体系を記載した機密情報だろうと推測される。続けて、「給与はいくらだったか」と質問すると、そのドキュメント内に記載されている「年俸30,000ポンド」という回答が返ってきた。
この例から、生成AI活用において重要なのは情報の権限の設定であるということがわかる。昨今、データ侵害やハッキングなどのセキュリティインシデントが問題になっているが、攻撃者がCopilot for Microsoft 365のライセンスを持った場合、上記の例のように組織データを容易に閲覧できる状況が出来上がってしまう。情報の権限をきちんと設定することで、こういった事態を防ぐことができる。
